Suchen

Security Management trifft Identity Management – Teil 2 Identitäten alleine reichen nicht für den Zugangsschutz

| Autor / Redakteur: Johann Baumeister / Peter Schmitz

Identity Management und Security Management wachsen im Zuge der sich ändernden Bedrohungen und neuen Aufgaben immer mehr zusammen. Kern aller Zugriffsrechte ist dabei meist die Benutzer-Identität. An diese, mit einer Person verknüpften digitalen Identität werden dann die Zugriffsrechte gebunden. Das reicht aber für einen effektiven Zugriffsschutz längst nicht mehr aus. Wir zeigen Ihnen wie modernes Rechte- und Rollenmanagement aussehen kann.

Identity Management wird immer komplexer: Ein Benutzer kann viele Rollen haben, viele Benutzer können sich aber auch eine Rolle teilen.
Identity Management wird immer komplexer: Ein Benutzer kann viele Rollen haben, viele Benutzer können sich aber auch eine Rolle teilen.
( Archiv: Vogel Business Media )

Der Kern der Authentifizierung basiert heute meist auf der Benutzer-Identität. An diese Identität werden dann die Rechte gebunden. Der Begriff der Identität wurde in der Vergangenheit in der Regel an eine Person gebunden. Durch die Identität wurde dabei festgelegt, wer die Person ist. Dies greift allerdings zu kurz. Die Identität eines Benutzers alleine reicht nicht aus, um damit die Rechte zu verknüpfen.

Um zu entscheiden, was ein Benutzer darf und was seine Rechte sind, werden heute weitaus mehr Kriterien verlangt. Diese kann der Ort des Benutzers, die Zeit, die Menge der involvierten Daten, das Gerät, dessen Sicherheitslevel und jegliches sonstige Kriterium sein.

So wird man beispielsweise einem Mitarbeiter des Unternehmens, sofern er sich auf dem Unternehmensgelände befindet und während der regulären Arbeitszeit Zugang zu den Daten wünscht, diesen Zugriff dann gewähren, wenn just diese Daten zur Durchführung seiner ihm zugedachten Aufgaben benötigt werden.

Ein Benutzer hat viele Rollen

Erfolgt der Zugriff allerdings von einem Firmennotebook von außerhalb und über das Internet, so werden strengere Regeln gelten. Noch restriktiver wird der Zugriff geregelt werden müssen, wenn er beispielsweise von einem öffentlichen Rechner eines Internet-Cafés erfolgt. Wenn dies dann auch noch mitten in der Nacht passiert, so wird zur Gewährung des Zugriffs ein triftiger Grund dafür vorliegen müssen.

Auch die Menge der abgerufenen Daten wird, aus Gründen des Datenschutz und der Compliance, in Zukunft als Entscheidungskriterium für den Zugriff herangezogen werden müssen. Das Abrufen und Ändern eines Kundenstammsatzes mit persönlichen Daten und der Kontoverbindung gehört zum Tagesgeschäft eines Sachbearbeiters. Vielleicht müssen am Monatsende auch Auswertungen über bestimmte Sachgebiete oder Regionen durchgeführt werden.

Das Abrufen (und Kopieren) der gesamten Kundenstammdatei allerdings ist wohl eher als Indiz für einen Datendiebstahl zu werten, den es zu Unterbinden gilt. Diese wenigen Beispiele zeigen, dass die Identität eines Benutzers nicht mehr ausreichend ist, um daran die Rechte zu knüpfen. Diese Identität muss vielmehr mit weiteren Kriterien verknüpft werden. Ein Benutzer wird folglich unterschiedliche Rollen und Rechte erhalten, je nachdem in welchem Kontext er sich gerade befindet. Dies resultiert in einer 1:n-Beziehung zwischen dem Mitarbeiter und den Rollen oder Rechten.

Seite 2: Viele Benutzer teilen sich eine Rolle

(ID:2022367)