Berechtigungsmanagement: 4 Tipps für die Auswahl der richtigen Software

Wir schauen uns vier wichtige Aspekte an, die Sie bei der Auswahl Ihrer Berechtigungsmanagement-Software beachten sollten, und geben wertvolle Tipps für eine erfolgreiche Systemintegration.

Eine Berechtigungsmanagement-Software muss mit allen wichtigen IT-Systemen Ihrer Organisation integrierbar sein. Dazu gehören Kernsysteme wie Active Directory sowie Systeme, die auf diese aufbauen und in denen Berechtigungen eine Rolle spielen: Freigaben (Netzwerk-Shares), Exchange, SharePoint oder Citrix. Die Integrierbarkeit mit Drittsystemen macht es beispielsweise möglich, sämtliche Berechtigungen in Exchange unkompliziert auszulesen und das AD mit SAP zu synchronisieren.

Bei vielen Anwendungen werden User und Berechtigungen in einer zusätzlichen, eigenen Benutzerdatenbank verwaltet. Diese Benutzerkonten und Berechtigungen spielen eine mindestens genauso wichtige Rolle und müssen daher in das zentrale Berechtigungsmanagement integriert werden.

Eine Software für das Management von Berechtigungen muss alle wichtigen Prozesse in Ihrem Unternehmen vollständig abbilden. Schauen wir uns als Beispiel das Best Practice eines Onboarding-Prozesse mit der Berechtigungsmanagement-Sofware tenfold an.

Ein Unternehmen stellt einen neuen Mitarbeiter ein. Zunächst wird der Mitarbeiter Herr Müller in der Personalabteilung erfasst. Diese Daten werden automatisch in die Software übernommen.

Die Software vergibt die (initial einmal definierten) Standardberechtigungen automatisch auf Basis der Abteilungszugehörigkeit, der Niederlassung und/oder weiteren Attributen. Bei der Berechtigungsvergabe anhand der Rolle im Unternehmen sprechen Experten von Role-Based Access Control. Diese hat den Vorteil, dass die Rechte von Nutzern auch bei späteren Änderungen wie Abteilungswechseln automatisch an die vordefinierten Standards angeglichen werden.

Der Vorgesetzte von Herrn Müller wird rechtzeitig vor Dienstantritt informiert und kann zusätzlich benötigte Berechtigungen zuordnen (Data-Owner-Konzept). Gleichzeitig legt die Software automatisch ein E-Mail-Konto und ein Home-Verzeichnis für Herrn Müller an. In der Nacht vor dem Dienstantritt aktiviert sie die Konten, generiert sämtliche Initialpasswörter und sendet sie dem neuen Vorgesetzen von Herrn Müller automatisch per E-Mail zu.

Neben dem Onboarding muss eine Berechtigungsmanagement-Software auch in der Lage sein, andere wichtige Prozesse im User Lifecycle abzubilden. Steht z.B. ein Wechsel in eine andere Abteilung an, sieht das Best Practice folgendermaßen aus:

Die Software definiert einen Übergangszeitraum, in dem der Mitarbeiter sowohl die Zugriffsberechtigungen der alten als auch der neuen Abteilung behält. Diese Funktion ist beispielsweise für die Einarbeitung des Nachfolgers sinnvoll.

Mit Zeitpunkt X laufen die Berechtigungen für die alte Abteilung automatisch aus. Der Mitarbeiter hat ab diesem Zeitpunkt nur noch die Rechte, die für seine neue Position erforderlich sind, da die Berechtigungsstrukturen konsequent nach dem Least-Privilege-Prinzip aufgebaut sind. Verlässt ein Mitarbeiter das Unternehmen, dann entzieht die Software automatisch alle Berechtigungen und sperrt oder löscht sämtliche verknüpfte Konten.

Eine Berechtigungsmanagement-Software ist nur dann wirklich effektiv, wenn sie alle Mitglieder der Organisation in den Workflow mit einbezieht. Mit anderen Worten: Die Berechtigungsvergabe sollte mit der jeweiligen Organisationsstruktur verknüpft sein und alle Verantwortlichen in einem Workflow einbinden:

Die Einbindung muss, wie in tenfold üblich, proaktiv sein, beispielweise über E-Mail-Benachrichtigungen. Die meisten Mitarbeiter sind nicht für den Umgang mit Berechtigungen geschult, daher muss eine Software dem Mitarbeiter eine einfach zu bedienende Oberfläche liefern und Komplexität im Back-End verpacken.

Die Integration einer Berechtigungsmanagement-Software kann in einem Tag abgeschlossen sein. Je komplexer die abzubildenden Prozesse und Workflows sind, desto länger dauert die Einführung für gewöhnlich. Wichtig ist in jedem Fall, dass Sie die Integration gut planen.

Gehen Sie schrittweise vor und nehmen Sie jeden fertig implementierten Schritt umgehend in Betrieb. Auf diese Weise wird das System schrittweise aber stetig durch Funktionen erweitert. Wenn Sie versuchen, direkt im ersten Schritt sämtliche Workflows abzubilden und alle Systeme zu integrieren, könnten Sie ein Problem mit Ihren Zeit- und Budgetplänen bekommen.

Vom technischen Standpunkt aus gesehen sind Software-Lösungen, die Best Practices implementieren und Schnittstellen zu gängigen Anwendungen und Systemen bereitstellen, in der Regel leichter zu integrieren.

In diesem Zusammenhang sollten Sie auch erkundigen, ob eine Software Out-of-the-box-Lösungen anbietet, die sie mit einer Vielzahl von Anwendungen und Systemen kompatibel macht. tenfold stellt in der Enterprise Edition beispielsweise einen Generic Connector zur Verfügung, der es möglich macht, auch Systeme und Anwendungen zu integrieren, für die es kein Standard-Plugin gibt.