Referenzmodell zur Einrichtung von IAM-Systemen

Zugriffsrechte systematisch regeln

| Autor / Redakteur: Ga-Lam Chang, Peak Solution / Susanne Ehneß

Was muss geregelt werden?

Worauf beziehen sich die Regeln für Berechtigungen? Man spricht in diesem Zusammenhang von Berechtigungsobjekten. Dies sind alle Ressourcen und Funktionen, auf die ein Nutzer erst nach einer Berechtigungsprüfung zugreifen können soll. Ihre komplette Erfassung ergibt die Berechtigungsorganisation. Es muss geklärt werden:

  • Welche Berechtigungsobjekte gibt es?
  • Wie werden sie angelegt und gepflegt?
  • Welche Berechtigungen sind ihnen zugeordnet?

Die Definition von Gebäudebereichen für die Vergabe von Zutrittsberechtigungen ist meist relativ einfach. Doch sobald es um IT-Rechte geht, kann es komplex werden.

Zum Verständnis: Ein Berechtigungsobjekt kann zum Beispiel aus einer Datenbanktabelle bestehen. Wesentlich für seine Definition sind die Funktionen, also das Lesen, das Ändern vorhandener Einträge, das Anlegen neuer Einträge oder das ­Löschen. Darüber hinaus muss dokumentiert werden:

  • Wer hat das Objekt angelegt?
  • Wer ist verantwortlich für welche Funktionen?
  • Wer ist für die Berechtigungsvergabe zuständig?
  • Welche Aufbewahrungsfristen gelten für das Objekt?
  • Unterliegt es einer Geheimhaltungsstufe?

Die Frage nach dem „wer“ bringt uns zum zweiten Teil der Berechtigungsorganisation, den Rollen.

Rechte nach Rollen definiert

Personen, die im IAM mit gleichen Rechten ausgestattet sind, werden abstrakten Rollen zugeordnet. So lassen sich für Personenkreise, wie gewisse Fachbereiche oder Hierarchiestufen, Regeln definieren, um eine automatische Verwaltung von Berechtigungen zu ermöglichen. In der Praxis gibt es verschiedene Ansätze für die Definition von Rollen, die auch kombiniert angewandt werden.

Die einfachste Form ist die organisatorische. Sie ergibt sich aus den disziplinarischen Zusammenhängen und der Zugehörigkeit zu einer fachlichen Abteilung, also etwa „gehobener Dienst“ oder „Baureferat“.

Die zweite Art von Rollenbeschreibung ergibt sich aus der Funktion ­eines Mitarbeiters, sprich, welche Ressourcen der Mitarbeiter benötigt, um seine Aufgaben zu erledigen. Hier wären beispielsweise Personen als Rolle zusammengefasst, die mit ­Verschlusssachen umgehen oder mit personenbezogenen Daten.

Die effektive Umsetzung der aus organisatorischen und funktionalen Rollen abgeleiteten Berechtigungen muss dann als technische Rolle beschrieben werden. Damit wird festgelegt, welche Profile für eine solche Rolle in den IT-Systemen angelegt werden.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 42848286 / Zugangs- und Zutrittskontrolle)