Berechtigungsmanagement vs. IAM – wo ist der Unterschied?

Die beiden Begriffe Berechtigungsmanagement und Identity/Access Management werden häufig synonym verwendet. In der Praxis bedeuten sie jedoch nicht das gleiche. Wir schauen uns an, wo der Unterschied zwischen Software für Berechtigungsmanagement und Identity/Access Management bzw. IAM-Lösungen liegt.

Ist Berechtigungsmanagement Identity & Access Management?

Nein, grundsätzlich ist Berechtigungsmanagement nicht identisch mit IAM-Lösungen. Allerdings sind die Übergänge zwischen den beiden Begriffen in vielerlei Hinsicht fließend, weshalb auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) in Baustein ORP.4 ohne explizite Unterscheidung von “Identitäts- und Berechtigungsmanagement” spricht.

Uns geht es heute jedoch darum, jene Unterschiede zwischen beiden Lösungen herauszuarbeiten, die die Berechtigungsmanagement-Software zur idealen Lösung für kleinere und Identity und Access Management zur idealen Lösung für größere Unternehmen machen.

Berechtigungsmanagement

Software für Berechtigungsmanagement besteht üblicherweise aus Tools, mit denen das Reporting und die Administration für bestimmte Produkte, üblicherweise das Active Directory (Microsoft), die unterschiedlichen Fileserver (Windows, Linux, diverse SAN/NAS Systeme) und andere Produkte (z.B. Exchange oder SharePoint), erleichtert werden kann.

Manchmal werden außerdem rudimentäre Funktionen für Workflows und Self Service angeboten. In unserem Beitrag Berechtigungsmanagement für Microsoft und andere Systeme erfahren Sie, wie Software für Berechtigungsmanagement genau funktioniert, und welche Vorteile sie bietet.

Berechtigungsmanagement nicht für komplexe Workflows geeignet

Lösungen dieser Art sind normalerweise schnell auszurollen und unkompliziert in der Bedienung. Der Vorteil der Software liegt u.a. darin, dass sie Gruppen- und Rollenstrukturen angelegt und sämtliche Prozesse und Abläufe standardisiert.

Allerdings reichen ihre Funktionen in der Regel nicht darüber hinaus. So gibt es beispielsweise keine Möglichkeiten, aus den starren Strukturen der Software auszubrechen: Was nicht per Programmierung durch den Hersteller vorgesehen ist, wird auch nicht unterstützt.

Das stellt natürlich ein Problem für mittelständische oder große Unternehmen mit komplexen Strukturen dar, für welche in der Regel anspruchsvollere Aufgaben abgebildet und/oder zusätzliche Systeme in den Workflow eingebunden werden müssen.

Identity & Access Management

Identity & Access Management-Lösungen sind auf die Bereiche Identity Management, Autorisierung, Single Sign On, Public/Private Key Management und Access Governance ausgerichtet. Die Produkte sind sowohl im Hinblick auf ihren Funktionsumfang als auch im Hinblick auf ihre strukturellen Voraussetzungen explizit auf die Anforderungen und Bedürfnisse von sehr großen Organisationen ausgerichtet.

Bei IAM-Lösungen werden sowohl komplexe Workflows als auch die Einbindung von unterschiedlichen Systemen über vordefinierte Schnittstellen unterstützt.

IAM ist aufwändig in der Implementierung

IAM-Lösungen bieten sämtliche Funktionen, die von großen und sehr großen Unternehmen benötigt werden. Es ist jedoch häufig ein beträchtlicher Anpassungsaufwand notwendig, um diese Schnittstellen in einer konkreten Kundenumgebung in Betrieb zu nehmen.

Häufig verzweifeln mittelständische Unternehmen schon im Laufe der Evaluierung an den Lizenzmodellen, dem voraussichtlichen Anpassungsaufwand und nicht zuletzt an den laufenden Kosten, die durch Wartung und ständige Anpassung entstehen.

Berechtigungsmanagement & IAM – der Unterschied

Der konkrete Unterschied zwischen Software für Berechtigungsmanagement und Software für Identity und Access Management besteht in der jeweiligen Flexibilität der beiden Lösungen. Berechtigungsmanagement funktioniert über standardisierte Gruppen- und Rollenstrukturen sowie fix definierte Abläufe und Prozesse, wodurch sich auch der administrative Aufwand minimiert.

Es besteht jedoch nicht die Möglichkeit, aus diesen vordefinierten Strukturen auszubrechen und beispielsweise komplexere Workflows zu integrieren. IAM Lösungen hingegen können flexibel an die Strukturen und Anforderungen eines Unternehmens angepasst werden.

Die Programmierung ermöglicht nicht nur die Einbindung aller denkbaren Anwendungen, sondern auch die Abbildung anspruchsvoller Workflows. Dieses hohe Maß an Anpassungsfähigkeit erfordert allerdings viel Zeit in Sachen Implementierung und setzt die Bereitschaft der Firma, für ständige Wartung und Anpassung aufzukommen, voraus.

Berechtigungsmanagement & IAM kombinieren

Was wäre, wenn sich die Einfachheit und schnelle Einsatzbereitschaft der Lösungen aus dem Berechtigungsmanagement mit der Flexibilität und der Anpassbarkeit von typischen IAM-Lösungen kombinieren ließe? Ja, das geht! Mit tenfold. Denn das tenfold Lizenzmodell ermöglicht ein schrittweises Vorgehen. Durch die verschiedenen Lizenz-Möglichkeiten können wir die Software ideal an die Bedürfnisse Ihres Unternehmens anpassen.

Mit tenfold Essentials unkompliziert starten

Kunden können mit der tenfold Essentials Edition schnell und einfach loslegen. Die physischen Benutzer des Active Directory werden kostengünstig lizenziert. Anschließend wird das System aufgesetzt. Der Zeitbedarf hierfür beträgt inklusive Administratorschulung normalerweise ein bis zwei Tage. Ab sofort sind Administration und Reporting ein Kinderspiel.

Active-Directory-Konten werden automatisch inklusive Home-Verzeichnis und Exchange-Postfach mit wenigen Klicks angelegt. Übersichtliche Berichte zeigen an, wer zu welchem Zeitpunkt auf welchem Ordner effektiv berechtigt ist. Die Fachverantwortlichen können selbst Berechtigungen per Drag & Drop vergeben und die Berechtigungsstrukturen werden automatisch nach Best Practices aufgebaut.

Darüber hinaus verwendet tenfold ein sogenanntes Profilsystem, das zu Beginn definiert wird. Es verknüpft die Zuteilung von Berechtigungen mit dem jeweiligen Organisationsprofil bzw. der jeweiligen Organisationsstruktur, wodurch die Standardrechte aufgrund von Abteilungszugehörigkeit oder anderen Attributen automatisch zugeteilt werden.

Alternativ können Benutzer neue Berechtigungen selbst beantragen (Self Service) und der Dateneigentümer kann den Zugang in einem Workflow freigeben. Die initial über Profile zugeteilten Standardberechtigungen können bei Bedarf erweitert und individuell angepasst werden. Diese individuelle Erweiterbarkeit der rollenbasierten Berechtigungsvergabe hebt tenfold von den statischen Systemen der Wettbewerber ab.

Berechtigungen werden automatisch geprüft

Die Vergabe von Zugriffsberechtigungen läuft in den meisten Unternehmen recht strukturiert ab. Schließlich ist allen Beteiligten daran gelegen, dass neue Mitarbeiter schnell die für ihre Arbeit erforderlichen Berechtigungen erhalten.

Das Chaos entsteht in der Regel erst im umgekehrten Arbeitsschritt: Wenn Berechtigungen wieder entzogen gehören. Denn hier gibt es niemanden, der unmittelbar verantwortlich ist, oder den genauen Überblick darüber hat, welche Berechtigungen ein Mitarbeiter im Laufe seiner Karriere im Unternehmen überhaupt “gesammelt” hat.

Die Folge: Ohne professionelles Berechtigungsmanagement können Unternehmen schnell die Kontrolle über die Zugriffsrechte ihrer IT-Nutzer verlieren. Und das wiederum erhöht das Risiko für Datenmissbrauch und Datendiebstahl durch Mitarbeiter und macht das Unternehmen außerdem anfälliger für Angriffe mit Ransomware.

Dieser Gefahr setzt tenfold Essentials die sogenannte Rezertifizierung entgegen. Rezertifizierung bedeutet, dass dem zuvor definierten Dateneigentümer (das kann z.B. der jeweilige Abteilungsleiter sein) sämtliche für seinen Bereich relevanten Berechtigungen in regelmäßigen Abständen automatisch zur Überprüfung vorgelegt werden. Der Data Owner hat dann die Möglichkeit, veraltete Berechtigungen zu entziehen.

Essentials Plus Exchange® und SharePoint®

Durch ein Upgrade auf die tenfold Essentials Plus wird der Funktionsumfang der Essentials Edition um die Systeme Exchange® und SharePoint® erweitert. Der Administrator und der Fachverantwortliche erhalten ab sofort nicht nur Überblick darüber, wo ein bestimmter Benutzer Zugriffsberechtigungen auf den Fileservern hat. Auch Exchange® Mailbox- und Ordnerberechtigungen sowie SharePoint® Berechtigungen auf Sites, Listen und Items werden transparent angezeigt und in den Workflow integriert.

Volle Flexibilität mit der tenfold Enterprise Edition

Für gehobene Anforderungen bieten wir die tenfold Enterprise Edition an. In dieser Ausbaustufe ist die Abbildung anspruchsvoller Workflows und die Einbindung aller denkbaren Anwendungen über flexible und einfach einzurichtende Plugins möglich. Diese ermöglichen die Einbindung gängiger Systeme wie z.B. SAP®, Microsoft Dynamics® NAV, HCL Notes und vieles mehr. Die Einbindung weiterer Systeme wird über unseren REST-basierten Generic Connector ermöglicht.

tenfold jetzt testen – Kontakt

Wenn Sie glauben, dass tenfold auch die richtige Lösung für Ihr Unternehmen ist, dann zögern Sie nicht! Kontaktieren Sie uns noch heute und lassen Sie sich in einem Webcast von tenfold begeistern. Wenn es Ihnen gar nicht schnell genug gehen kann, dann fordern Sie direkt hier eine unverbindliche Teststellung an.

Unverbindlich testen

Jetzt gratis testen: Lernen Sie den vollen Funktionsumfang von tenfold kennen!

Verfasst von: Michael Ugrinovich

Michael Ugrinovich ist VP Product Management beim Software-Hersteller tenfold. Der diplomierte IT-Experte war richtungsweisend an der Entwicklung des Standard-Software Produkts tenfold beteiligt.