Berechtigungsmanagement: Warum Integration der entscheidende Erfolgsfaktor ist

Was ist Gesetz?

Nicht zuletzt die neue EU-DSGVO hat bei vielen Unternehmen für einen Innovationsschub in der IT-Sicherheit gesorgt. Unter den zahlreichen Maßnahmen, die es umzusetzen gilt, findet sich auch immer wieder das Thema Benutzer- und Berechtigungsverwaltung.

Im Rahmen der Zugriffskontrolle geht es darum, unerlaubte Zugriffe auf IT-Systeme außerhalb der Möglichkeiten der tatsächlich notwendigen Berechtigungen zu verhindern. Das bedeutet, dass vom Unternehmen sichergestellt werden muss, dass jeder Mitarbeiter in den IT-Systemen nur über die Zugriffe verfügt, die für die aktuelle Tätigkeitsausübung tatsächlich benötigt werden.

Darüber hinaus fordert der Standard auch Transparenz im Vergabeprozess an sich: Die Verantwortlichkeiten für die Berechtigungsbewilligung (diese wird vom Leiter der Fachabteilung erteilt) und für die Berechtigungsvergabe (die technische Zuordnung der Berechtigung, welche von der IT-Abteilung durchgeführt wird) müssen getrennt sein. Außerdem ist jeder Vorgang nachvollziehbar zu dokumentieren.

Der Mehrwert von tenfold als Managementplattform liegt darin, die Verantwortlichkeiten zentral zu hinterlegen, die Durchführung auf technischer Ebene zu automatisieren und die Workflows zu steuern und zu dokumentieren. Integration ist dabei der Schlüssel, denn nur, wenn ein bereinigter, von Fehlern beseitigter, Ausgangszustand vorliegt und anschließend alle beteiligten Personen und Systeme ineinandergreifen, erreicht man den gewünschten Effizienzgewinn und nur dann kann die IT-Sicherheit nachhaltig verbessert werden. Lesen Sie weiter, wenn Sie erfahren möchten, warum Berechtigungsmanagement Integration so wesentlich ist.

HR-Integration garantiert Prozessqualität

Viele Änderungen an Benutzerkonten oder Berechtigungen sind das Resultat einer organisatorischen, personellen Veränderung. Neue Benutzer werden angelegt und mit Berechtigungen ausgestattet, wenn ein neuer Kollege beginnt, im Unternehmen zu arbeiten. Berechtigungen werden verändert, bestehende Benutzerkonten werden deaktiviert, neue Benutzerkonten werden angelegt – immer dann, wenn ein Mitarbeiter sich beruflich verändert und in eine neue Abteilung wechselt. Wenn ein Mitarbeiter das Unternehmen dann schlussendlich verlässt, so müssen Benutzerkonten gelöscht und Daten archiviert werden.

Von diesen Änderungen erfährt zuallererst das Team im Personalbereich. Hier werden Verträge unterschrieben und aufgelöst und in Folge alle weiteren Unternehmensprozesse in Gang gesetzt. Es ist daher für das Benutzermanagement in der IT unausweichlich, sich an diesen Prozessen zu orientieren. Häufig geschieht dies durch formlose E-Mails oder Tickets von HR an die IT – häufig lässt die Zuverlässigkeit und Datenqualität zu wünschen übrig. Dadurch ergeben sich aufwändige Rückfragen und Unklarheiten. Die Fehlerquote ist demnach hoch – im Falle eines Eintritts drohen erste Arbeitstage ohne IT-Berechtigungen. Schlimmer noch wiegt der Fehler im Falle eines Austritts: Verwaiste Konten und mitunter organisationsweit „gesammelte“ Berechtigungen bleiben zurück – ein Sicherheitsrisiko, das oftmals jahrelang unbemerkt bleibt. Die richtige Vorgangsweise und das richtige Tool bei der Berechtigungsmanagement Integration kann hier Abhilfe schaffen.

Mit tenfold kann dieser Prozess wesentlich verbessert werden, indem – ganz dem Plattformgedanken entsprechend – die HR-Abteilung aktiv eingebunden wird. Dies geschieht bei kleineren Unternehmen mit weniger Fluktuation dadurch, dass tenfold der HR-Abteilung ein Formular zur An-, Um- und Abmeldung von Mitarbeitern zu Verfügung stellt. Dieses Formular und die nachgelagerten Prozesse können ganz an die spezifischen Anforderungen angepasst werden.
In mittleren und großen Unternehmen wird tenfold direkt mit dem HR-System integriert – über das Import Plugin von tenfold werden sowohl neue Mitarbeiter, als auch jegliche Änderungen an den HR-Daten automatisch erkannt und verarbeitet. Es werden somit automatisch neue Benutzerkonten, Postfächer und andere Ressourcen erstellt, oder eben mit neuen Daten aktualisiert.

Vorteile durch die HR-Integration mit tenfold:

  • Automatische Erkennung von neuen Mitarbeitern inkl. Erstellung der notwendigen Accounts. Das verringert den Arbeitsaufwand für den Administrator.
  • Datenänderungen werden erkannt und führen zu automatischer Aktualisierung der Accounts. Berechtigungen werden automatisch angepasst, sodass kein „Sammeln“ von Berechtigungen im Laufe der Betriebszugehörigkeit stattfinden kann.
  • Austritte werden zuverlässig erkannt und verarbeitet – verwaiste Konten („Karteileichen“) werden vermieden. Damit wird die IT-Sicherheit nachhaltig verbessert, da ein häufig genutztes Einfallstor geschlossen wird.

Active Directory + Fileserver sind Pflichtprogramm

Zu Beginn eines Projektes stehen häufig die Berechtigungen im Active Directory, beziehungsweise weiterführend auf den Fileservern und in Exchange im Fokus. Das ist selbstverständlich wichtig, befinden sich auf den Fileservern wichtige Excel-Auswertungen oder schützenswerte Schriftsätze. Nicht vernachlässigt werden dürfen Berichte, deren Daten ursprünglich aus dem ERP- oder CRM-System kommen. Die dort eingestellten Rollen greifen am Fileserver nicht mehr – es gilt ein anderes Berechtigungskonzept.

Bevor jedoch tenfold als Berechtigungsmanagement-Software sinnvoll eingesetzt werden kann, gilt es, die gewachsenen Strukturen auf dem Fileserver zu analysieren und zu bereinigen. Die Software migRaven der Berliner aikux.com GmbH ist das etablierte Tool der Wahl, um eine Einführung von tenfold sauber vorzubereiten. Mit migRaven wird aus jedem noch so gewachsenen Chaos eine sowohl technisch, als auch inhaltlich, saubere Struktur erzeugt.
Im anschließenden täglichen Betrieb stellt sich darüber hinaus das Problem der Trennung der Verantwortlichkeiten: nur die IT-Abteilung ist in der Lage die Berechtigungen tatsächlich zu ändern. Über die Bewilligung der Berechtigung sollte aber im Vorfeld der Verantwortliche auf dem Fachbereich entscheiden. tenfold als Managementplattform bringt beide Stellen in einem System zusammen und steuert den Workflow.

Vorteile durch die Active Directory- und Fileserver-Integration:

  • Analyse und Bereinigung von Berechtigungen und Daten durch migRaven als notwendige Voraussetzungen für die saubere Implementierung von tenfold.
  • Transparentes und einfaches Reporting („Wer hat Zugriff auf welches Verzeichnis?“) für Fileserver, Exchange und SharePoint.
  • Automatische Umsetzung der empfohlenen Vorgehensweise (Microsoft Best Practices) bei der Berechtigungsvergabe.
  • Verwaltung der Verantwortlichen für Verzeichnisse und Einbindung in den Genehmigungsworkflow.

Wichtige Daten – oft vernachlässigt

Auch wenn Active Directory de facto immer die Basis der IT-Infrastruktur bildet und dementsprechend viel Schutz benötigt, wird oft vernachlässigt, dass sich wichtige Daten vielleicht sogar vor allem in anderen Systemen befinden. Folgende Beispiele sollen dies verdeutlichen:

  • ERP: Finanzdaten, Preise, Aufträge, etc.
  • HR: Private Daten zu Mitarbeitern, Gehälter, etc.
  • CRM: Personenbezogene Kundendaten, wichtige Vertriebsdaten, etc.

Branchenspezifisch können zusätzlich auszugsweise genannt werden:

  • Industrie – MES: Aufträge, Performancedaten, etc.
  • Gesundheitswesen – KIS: Personenbezogene Patientendaten, Krankenhistorie, etc.
  • Öffentliche Hand – E-GOV: Personenbezogene Daten zu Bürgern, Behördenverfahren, etc.

Es gelten für diese Systeme selbstverständlich die gleichen Anforderungen hinsichtlich der Berechtigungsvergabe und Transparenz der Vorgänge, wie bei Active Directory. tenfold bildet hierfür die Plattform, um sowohl die zuverlässige Vergabe der richtigen Berechtigungen zu realisieren, als auch über entsprechende Workflows dafür zu sorgen, dass die Verantwortlichkeiten klar getrennt und entsprechend dokumentiert sind.

Vorteile der vertikalen Integration von tenfold:

  • Viele Anwendungen sind out-of-the-box über passende Plugins einzubinden. Hierdurch entfallen zusätzliche manuelle Aufgaben für den Administrator, wie beispielsweise die mehrfache Anlage von Benutzerkonten.
  • Ein systemunabhängiger Ansatz erlaubt auch die Einbindung von nicht direkt unterstützten Anwendungen und Systemen. Der Großteil des Workflows kann dennoch in tenfold abgebildet werden.
  • tenfold ermöglicht für alle Systeme und Anwendungen die transparente Dokumentation aller Änderungen.

So viel zu unserem Thema: Berechtigungsmanagement: Warum Integration der entscheidende Erfolgsfaktor ist.

Dieser Beitrag könnte ebenfalls für Sie interessant sein:

Aus der Praxis: Die SAP-Integration von tenfold Berechtigungsmanagement

Kontakt aufnehmen:

By |2019-04-29T11:52:42+00:0024 / 09 / 2018|BLOG|

About the Author:

Helmut Semmelmayer
Helmut Semmelmayer ist seit 2012 als Senior Manager Channel Sales beim Software-Hersteller tenfold tätig. Er ist damit für den Partnervertrieb und das Produktmarketing verantwortlich und schreibt in diesem Blog regelmäßig themenbezogene Beiträge aus dem Bereich Identity & Access Management.
📢 Melden Sie sich jetzt zu unserem kostenlosen Webinar "TOP 5 Gefahren im Access Management" an! 🔔🔔Jetzt anmelden!
+