Life Cycle-Prozesse für Berechtigungen

So verärgern Sie Ihre Fachabteilungen nicht mit IAM

| Autor / Redakteur: Daniel Wirth (CISSP, CISM, CRISC) / Peter Schmitz

Manche Unternehmen betrachten IAM immer noch als Thema für das IT-Team und geben sich nicht viel Mühe, die Sichtweise der fachlich orientierten Anwender einzunehmen.
Manche Unternehmen betrachten IAM immer noch als Thema für das IT-Team und geben sich nicht viel Mühe, die Sichtweise der fachlich orientierten Anwender einzunehmen. (Bild: gemeinfrei / Pixabay)

Unternehmen, die sich nicht mit der Qualität der Inhalte für IAM-Prozesse befassen, laufen Gefahr, die Akzeptanz der Anwender in ihren Fachabteilungen zu verlieren, bevor sie ihre mühevoll erarbeiteten neuen IAM-Prozesse im Unternehmen einführen.

Heute möchte ich etwas Licht auf einen der kritischen organisatorischen Aspekte des Identity and Access Management (IAM) werfen. Das Thema, das ich hier diskutieren möchte, ist eine Voraussetzung für die meisten kritischen Access-Governance-Prozesse, einschließlich Antrags- und Genehmigungsverfahren, Periodische Überprüfung von Zugriffsberechtigungen (Re-Zertifizierung), Modellierung von Business Rollen sowie Audit und Revisionsprüfungen.

Betrachtung von IAM als IT-Thema

Einige Unternehmen betrachten IAM immer noch als ein technisches Thema für das IT-Team und geben sich nicht viel Mühe, die Sichtweise der fachlich orientierten Anwender einzunehmen. Die Einbeziehung von Interessengruppen aus den Fachabteilungen ist bei der Einrichtung von IAM-Programmen immer empfehlenswert - Aber das soll nicht der Fokus dieses Artikels sein. Stattdessen möchte ich über die sinnvolle Präsentation von Inhalten für diese Anwender sprechen, damit sie IAM-Aufgaben ausführen können.

Haben Sie schon einmal einen Manager eines weniger IT-nahen Fachbereiches gebeten, die Zugriffsrechte seines Teams zu überprüfen? Und ihm dazu den Auszug der Zugriffsrechte übergeben, den Sie aus Ihren IT-Systemen extrahiert haben?

Wenn Sie Glück hatten, wird er/sie Sie freundlicherweise um eine Erklärung der präsentierten Informationen bitten. In vielen Fällen habe ich jedoch erlebt, wie Manager die Arbeit auf dieser Grundlage abgelehnt haben - und dabei haben sie meine volle Unterstützung. Mit diesen Berichten erhielten die Führungskräfte einfach keine Informationen, mit denen sie arbeiten können.

Unzureichende inhaltliche Qualität der präsentierten Inhalte

Die inhaltliche Qualität der den Nutzern präsentierten Informationen ist - wie in allen IT-Projekten - entscheidend. Für IAM bedeutet dies, Zugriffsrechte in einer geeigneten Weise zu beschreiben, die ein weniger IT-affiner Anwender aus einer Fachabteilung verstehen kann.

Anstatt Informationen wie "Benutzer A71239 ist dem System SAP-P20 zugeordnet und hat die Berechtigungen XPA_PRD_Z120_JBS_CZUP, XBAC_PRD_ZXY_UASDIUX, ..." - und weitere 100s mit ähnlichen technischen Bezeichnungen – zu präsentieren, empfiehlt es sich, eine für fachliche Nutzer interpretierbare Beschreibung der durch die Zuordnung dieser Objekte gewährten Zugriffsrechte anzubieten. Aber welche Schritte sind dafür erforderlich?

Der Weg zu verlässlichen IAM-Kennzahlen

Ahnungslosigkeit beim IAM

Der Weg zu verlässlichen IAM-Kennzahlen

05.08.19 - Im Bereich von IT-Sicherheit und Identity- und Access-Management (IAM) sind aussage­kräftige Kennzahlen in vielen Fällen absolute Mangelware. Einen nachvollziehbaren Grund für das Fehlen gibt es nicht, schließlich setzen Unternehmen bei Geschäftsprozessen schon lange auf vergleichbare Kennzahlen. Es wird Zeit, dass die IT-Security hier nachzieht. lesen

Dokumentation von Berechtigungsstrukturen

Bei der Einführung von Access Governance sind Unternehmen gut beraten, eine Dokumentation der Berechtigungsstrukturen („Access Control Structures) für jede ihrer Geschäftsanwendungen zu erstellen und zu pflegen. Wie oben beschrieben ist das Hauptziel dieser Übung, den Führungskräften der Fachabteilungen die erforderlichen Informationen zur Verfügung zu stellen, um die Zugriffsrechte zu verstehen, für deren Verwaltung sie verantwortlich sind. Weitere Interessengruppen für diese Inhalte sind das interne und externe Audit, das Team, das Business-Rollen für IAM verwaltet - und einfach jeder IT-Anwender in dem Unternehmen.

Um hier eine kleine Abgrenzung vorzunehmen - ich möchte in diesem Artikel nicht auf den Aufbau eines Business-Rollenmodells eingehen, sondern die Grundlage für das Verständnis technischer Zugriffsrechte aus der Perspektive von Fachanwendern schaffen.

Das Thema „Berechtigungsstrukturen“ befassen sich mit der Funktionalität und dem Inhalt für die Steuerung der Zugriff auf eine bestimmte Geschäftsanwendung. Andere in einem ähnlichen Zusammenhang verwendete Begriffe sind z.B. Berechtigungsmatrix, Zugriffskatalog, Rechtestrukturen. Die Bezeichnung ist natürlich unerheblich, aber es sollten erforderlichen Informationen enthalten sein, die fachlich orientierte Anwendung für die Interpretation der Zugriffsrechte benötigen.

Dazu gehören zunächst Informationen zur Definition des fachlichen Rahmens der Geschäftsanwendung:

  • Name der Anwendung
  • Geschäftszweck der Anwendung
  • Fachlicher Eigentümer der Anwendung
  • Technischer Eigentümer der Anwendung

Als nächstes müssen wir verstehen, wie diese Anwendung die Zugriffssteuerung technisch durchsetzt - wir nennen dies als technisches Zugriffssteuerungsmodell („Access Control Model“), das sich anspricht:

  • Verzeichnisdienste, Datenbanken und andere verwendete Repositories
  • Funktionen für die Zugriffskontrolle
  • Beschreibung aller Parameter, die von der Anwendung ausgewertet wurden, um über die Zulässigkeit eines Zugriffs zu entscheiden.
Produktivität im Identity- und Access-Management steigern

Lernen von der Industrie

Produktivität im Identity- und Access-Management steigern

11.04.19 - Produktionsbetriebe kennen seit der Ein­füh­rung von Dampfmaschinen den stetigen Opti­mie­rungs­druck. Methodische Verfahren müssen sich weiter entwickeln, um Produktionsprozesse effizienter zu machen. In der IT und speziell im Identity- und Access-Management ist die Opti­mierung allerdings noch kaum anzutreffen. Dabei lassen sich klassische Produktions­planungs­verfahren der Fertigungsindustrie gewinnbringend auf die digitale Welt übertragen. lesen

Nachdem wir nun dokumentiert haben, wie die technische Zugriffssteuerung für die Anwendung funktioniert, wird ein Katalog erstellt, der sich mit jedem einzelnen Objekt befasst, das wir für die Zugriffskontrolle verwenden. Dies kann Sammelrollen in einem SAP-System, eine Reihe von Active Directory- oder LDAP-Gruppen, RACF-Berechtigungen, Legacy-Parameter in einer Eigenentwicklung oder eine Kombination von Objekten über mehrere technische Plattformen hinweg umfassen, die eben für eine bestimmte Geschäftsanwendung verwendet werden. Für jedes Objekt müssen einige Schlüsselinformationen gepflegt werden:

  • Für Fachbereiche verständliche Bezeichnung des Objekts
  • Für Fachbereiche verständliche Beschreibung der damit erteilten Zugriffsrechte
  • Technischer Name des Objekts, wie es im entsprechenden Verzeichnis referenziert wird
  • Technisches Verzeichnis, in dem hinlegt ist
  • Fachlicher Eigentümer des Objekts („business owner“, häufig auch als "data owner" bezeichnet)
  • Technischer Eigentümer des Objekts
  • Erforderlicher Genehmiger für den Beantragungsprozess
  • Auf Objektebene anzuwendende Zuordnungsregeln (z.B. Aufgabentrennung)

Ein guter Ansatz: Definierte Life Cycle-Prozesse für Berechtigungsstrukturen

Diese Aufgabe darf nicht zu einem einmaligen Unterfangen werden, sondern muss sich zu einem regelmäßigen Prozess entwickeln. Ein guter Ansatz ist es, Life Cycle-Prozesse zu definieren, um Berechtigungsstrukturen für Fachanwendungen zu erstellen, zu pflegen, letztendlich zurückzubauen und diese in Change-Management-Prozesse einzubetten. Als wichtigste Aspekte sollten dabei beachtet werden:

  • Die Festlegung Verantwortung für die Pflege der Berechtigungsstrukturen
  • Der Genehmigungsablauf für Änderungen, einschließlich fachlicher, technischer und redaktioneller Freigaben.
  • Die Prozedur zur Veröffentlichung des geänderten Zugriffskatalogs zur Verwendung in IAM-Prozessen (z.B. Antrags- und Genehmigungsverfahren, periodische Überprüfung von Zugriffsberechtigungen, Business-Rollenmanagement). Dazu gehört auch der Import der Inhalte in den Katalog von Identity Governance & Administration-Systemen.

Je nach Ausgangssituation in einem Unternehmen kann die Erstellung und Pflege von Berechtigungsstrukturen und die Einführung von definierten Lebenszyklusprozessen eine umfangreiche und langwierige Aufgabe sein. Aber ich versichere, dass es die Mühe wert ist.

Über den Autor: Daniel Wirth (CISSP, CISM, CRISC) ist Senior Managing Consultant Identity and Access Management bei IBM.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46066315 / Benutzer und Identitäten)