tenfold Case Study: HWA AG

Auf der Suche nach geeigneten Lösungen für diese Anforderung hat die HWA AG zwei Produkte näher ins Auge gefasst. Beide Anbieter warben damit, die Hoffnung der IT zu erfüllen: Berechtigungen werden in Zukunft durch die Fachverantwortlichen verwaltet und die IT bekommt endlich einen transparenten Überblick über die bereits vergebenen Berechtigungen.

Nach detaillierter Betrachtung beider Optionen ist die Entscheidung auf das System tenfold des gleichnamigen Anbieters aus Österreich gefallen. Ausschlaggebend dafür waren, neben den Mindestanforderungen im Bereich der Fileserver-Berechtigungen, jene Funktionen, die tenfold im User Lifecycle Management bietet.

Verbessertes Reporting und einfachere Administration von Fileserver-Rechten stellen letztendlich nur eine symptomatische Behandlung des Problems dar. Um eine nachhaltige Verbesserung der IT-Sicherheit zu erreichen, müssen die Benutzerprozesse sauber abgebildet werden. Darüber hinaus sollten Vergabe und Entzug von Berechtigungen weitestgehend regelbasiert und automatisch erfolgen. Diese Funktionen standen zwar nicht auf dem ursprünglichen Wunschzettel, aber HWA AG war vom gebotenen Mehrwert überzeugt.

Die Basis für das Deployment bei der HWA AG bildet eine Funktion, die ursprünglich gar nicht im Fokus stand: User Lifecycle Management. Der Ansatz von tenfold war, das Problem an der Wurzel anzugehen: der Verwaltung der Benutzerkonten. Bei der Benutzerverwaltung ist die reibungslose Kommunikation zwischen IT-Abteilung und Personalbereich sehr wichtig. Es müssen laufend Informationen von HR zu IT fließen: Wer wird demnächst neu eingestellt, bei wem ergeben sich Änderungen, und wer wird das Unternehmen verlassen? Diese Informationen immer zuverlässig und zeitgerecht bereitzustellen ist gar nicht so einfach.

Mit tenfold legt die HR-Abteilung der HWA AG neue Mitarbeiter jetzt eigenständig über die Weboberfläche an. Dazu sind keine administrativen IT-Berechtigungen erforderlich, da bereits auf der Benutzerebene von tenfold die Möglichkeiten sehr granular gesteuert werden können. Die technische Durchführung erfolgt anschließend über einen Service Account, der über die notwendigen Systemberechtigungen verfügt. Die restlichen Abläufe, wie Austritte und Datenänderungen, können ebenfalls selbstständig vorgenommen werden, da für die Abwicklung über tenfold keinerlei spezifische IT-Kenntnisse erforderlich sind.

Besondere Einstellungen wurden für Elternzeit und Sabbaticals vorgenommen. Hierbei werden bestimmte Ressourcen, wie zum Beispiel Verteilergruppen, zeitgerecht entfernt und bei der Rückkehr automatisch wieder zugeordnet.

Die notwendigen Basics für den Benutzer werden automatisch bereitgestellt: das Konto im Active Directory, ein Postfach in Microsoft Exchange, sowie ein Home-Laufwerk. Die richtigen Verteilergruppen in Exchange werden anhand der Abteilungszugehörigkeit zugeordnet. Ausgewählte Führungskräfte erhalten darüber hinaus zusätzliche Berechtigungen.

Die automatische Bereitstellung von benötigten Standard-Accounts und Berechtigungen wirkt sich für die IT primär ressourcensparend aus. Für die Datensicherheit ist darüber hinaus aber ein zusätzlicher Vorgang essenziell: Bestimmte Berechtigungen, die initial zugeordnet waren, müssen auch wieder entfernt werden, wenn der betroffene Benutzer in eine andere Abteilung wechselt. Das regelbasierte Profilsystem von tenfold erkennt solche Fälle automatisch und erlaubt darüber hinaus die Einstellung von Übergangsfristen. Damit wird verhindert, dass es zum massenhaften Sammeln von Berechtigungen kommt, die anschließend nie wieder entfernt werden – der sogenannte „Privilege Creep“. Nicht nur der HWA AG ist dies im Rahmen des „Azubi-Problems“ nur allzu geläufig.

Im Bereich der Personalprozesse wurde das Potential von tenfold bewusst noch nicht zu hundert Prozent ausgeschöpft. Über standardisierte Schnittstellen ist grundsätzlich das automatisierte Einlesen von Informationen aus gängigen HR-Systemen möglich. Angesteuert werden die IT-Prozesse dann bereits durch die initiale Erfassung der Mitarbeiter- beziehungsweise Vertragsdaten im Personalsystem. Aktuell hat die HWA AG die Personalfluktuation mit der Erfassung über die Weboberfläche sehr gut im Griff. Sofern es in Zukunft zu einem erhöhten Volumen von Eintritten und Änderungen kommt, wird man eventuell auf die Möglichkeit der automatischen Übernahme zurückkommen.

Die Standardberechtigungen von Benutzern müssen früher oder später durch individuelle Berechtigungen erweitert werden. Arbeitet der Benutzer zum Beispiel an bereichsübergreifenden Projekten mit oder benötigt Zugriff auf Daten einer anderen Abteilung, so müssen die dafür notwendigen Zugriffsrechte bei der IT angefordert werden.

Im Gegensatz zur bisherigen, vorwiegend manuellen Vorgehensweise haben Vorgesetzte und Benutzer jetzt die Möglichkeit, zusätzliche Berechtigungen über den Self-Service zu beantragen. Neben dem Active Directory ist dafür auch die SAP ERP-Landschaft der HWA AG integriert worden. Dass hierbei das Projektbudget nicht gesprengt wurde, ist der einfachen Integration von Drittsystemen in tenfold zu verdanken. Für SAP-Anwendungen steht ein sogenanntes Plugin zur Verfügung, mit dem sich tenfold binnen weniger Schritte technisch mit der standardisierten Schnittstelle eines SAP-Systems verbinden lässt. Neben dem Plugin für SAP existieren auch für andere wichtige Anwendungen und Systeme Schnittstellen.

Für die Nutzung des Self-Service wurden im ersten Schritt für alle Objekte die Verantwortlichen aus den Fachbereichen – die sogenannten „Dateneigentümer“ – definiert. Diese auch als „Data Owner“ bezeichneten Mitarbeiter sind anschließend für die Freigabe von Zugriffsanfragen verantwortlich. Um den Gesamtprozess abzurunden, besteht darüber hinaus die Möglichkeit, dass eine regelmäßige Überprüfung der bereits vergebenen Berechtigungen stattfindet. Dieser Vorgang wird als Rezertifizierung bezeichnet – auch hier treffen die Dateneigentümer die Entscheidungen.

Die Self-Service-Funktion von tenfold ist bewusst einfach gehalten und orientiert sich an der Funktionsweise eines Onlineshops. Die Erfahrung hat gezeigt, dass auch nicht IT-affine Mitarbeiter die Bedienung als sehr einfach empfinden. Für die Akzeptanz und den Erfolg einer Self-Service-Lösung ist letztlich das Benutzererlebnis ausschlaggebend. Wenn nunmehr ein Antrag zur Bearbeitung vorliegt, werden die Dateneigentümer automatisch per E-Mail benachrichtigt. Die Genehmigung oder Ablehnung kann dann direkt per Link initiiert werden. Erst wenn die notwendigen Genehmigungen erteilt wurden, werden die angefragten Berechtigungen per Schnittstelle automatisch vergeben.

Die IT-Abteilung der HWA AG schont ihre Ressourcen dabei nicht nur wegen der wegfallenden manuellen Ausführung der Berechtigungsänderungen in den jeweiligen Systemen. Die manuelle Steuerung des Informationsflusses zwischen IT, HR, Führungskräften und Mitarbeitern entfällt ebenfalls. Davon profitiert letztlich das gesamte Unternehmen.

Ein Punkt, welcher der IT-Abteilung in der Vergangenheit immer wieder Kopfschmerzen bereitet hat, konnte durch die Einführung von tenfold wesentlich verbessert werden: die Transparenz bei der Berechtigungsvergabe. Die Abwicklung wurde bisher primär durch E-Mails und Tickets unterstützt. Diese Vorgehensweise ist nicht nur relativ zeitaufwändig und fehleranfällig. Es mangelt dabei vor allem an Nachvollziehbarkeit.

Dadurch, dass jetzt jede Änderung über einen strukturierten Antrag abgebildet wird, sind alle wichtigen Informationen auf Knopfdruck erhältlich. Unter anderem ist ersichtlich, von wem ein Antrag erstellt wurde und welche Stellen den Antrag zu welchem Zeitpunkt freigegeben haben. Verpflichtende Begründungen für Anträge und Freigaben sind dabei für die Nachvollziehbarkeit von Entscheidungen sehr hilfreich.