Rollenmodell für Berechtigungen erstellen: So funktionierts!

Um ihrer Arbeit nachzugehen, brauchen Benutzer Zugriffsrechte. Doch wenn Admins Berechtigungen einzeln an jeden Benutzer vergeben, sorgt das schnell für Chaos. Die manuelle Vergabe von Berechtigungen sorgt für hohen Aufwand, Anpassungen sind dadurch nicht nachvollziehbar und niemand hat den Überblick, wer genau auf welche Daten zugreifen kann.

Die Verwaltung von IT-Berechtigungen sollte stattdessen einem klaren Berechtigungskonzept folgen. Darin dokumentiert die Organisation, welche Benutzer Zugriff auf welche Ressourcen benötigen. Diese Einteilung orientiert sich oft an dem Aufgabenfeld bzw. der Geschäftsrolle eines Users. Man spricht daher auch von rollenbasierter Berechtigungsvergabe.

Die Verwendung eines Rollenmodells für Berechtigungen hat mehrere Vorteile:

Ein Rollenmodell für Berechtigungen legt fest, welche Zugriffsrechte Benutzer innerhalb der Organisation erhalten sollen – und zwar abhängig von Faktoren wie ihrer Abteilung oder dem Standort, an dem sie beschäftigt sind.

Anstatt jedem Benutzer einzeln die notwendigen Zugriffsrechte für seine Aufgabe zuzuweisen, erstellt die Organisation dazu Berechtigungsrollen und legen im Vorfeld fest, welche Zugriffsrechte an welche Rolle geknüpft werden sollen. Wird ein neuer User zu einer Rolle hinzugefügt, erhält er automatisch alle vorgesehenen Rechte. Umgekehrt werden Zugriffsrechte bei Verlust der Rolle wieder entfernt.

In Active Directory lässt sich ein Rollenmodell für Berechtigungen über die Gruppenstruktur AGDLP umsetzen: Dazu erstellt man globale Benutzergruppen, welche den unterschiedlichen Rollen entsprechen, und fügt diese zu lokalen Berechtigungsgruppen hinzu, über die jeweils der Zugriff auf eine bestimmte Ressource gesteuert wird. Dies hat den Vorteil, dass die Liste der Gruppenmitgliedschaften die enthaltenen Berechtigungen klar nachvollziehbar macht.

Um ein Rollenmodell systemübergreifend zu nutzen, brauchen Organisationen eine zentrale Plattform für Identity und Access Management, welche die vorgesehenen Rechte eines Users in allen Zielsystemen anpassen kann. Eine IAM-Lösung hat zudem den Vorteil, dass die Zuweisung zu Rollen anhand der HR-Datenbank des Unternehmens automatisieren kann.

Um IT-Zugriffe effektiv zu verwalten, muss eine Organisation sich zunächst darüber im Klaren sein, welche Daten und Systeme das eigene Netzwerk genau umfasst. Das Inventar der IT-Assets auf Hardware- und Software-Ebene bildet die Grundlage für ein treffsicheres Berechtigungskonzept.

Um ein genaues Abbild der eigenen IT zu erhalten, müssen sämtliche Fachbereiche in die Auswertung einbezogen werten. Oft sorgen Workarounds und externe Tools für unerwartete Abweichungen vom Netzplan der IT-Abteilung: Stichwort Schatten IT.

Nachdem die Organisation erfasst hat, auf welche Ressourcen User theoretisch zugreifen könnten, stellt sich als zweiter Schritt die Frage: Wer braucht was? Welche Daten sind für welche Benutzer relevant? Wie lassen sich User sinnvoll in Gruppen einteilen?

Ein Rollenmodell für Berechtigungen orientiert sich meist an dem Organigramm des Unternehmens, da User innerhalb einer Abteilung meist ähnliche Aufgaben und daher auch ähnliche IT-Anforderungen haben. Je nach Struktur der Organisation kann jedoch ein anderer Aufbau oder die mehrschichtige Einteilung in Rollen für Abteilung plus zusätzliche Faktoren sinnvoll sein.

Sind die IT-Benutzer nun in Rollen mit ähnlichen Zugriffsanforderungen gruppiert, gilt es als nächstes festzulegen, welche Berechtigungen an eine Rolle geknüpft werden sollen.

Dabei können die bestehenden Zugriffsrechte der Rollenmitglieder als Entscheidungsgrundlage dienen. Man wertet also aus, welche Berechtigungen in einer Abteilung häufig vorkommen und fügt diese zu der Rolle hinzu. Bei diesem Prozess spricht man auch von Role Mining.

Aber Achtung: Nur weil User bislang Zugriff auf Daten und Systeme hatten, heißt das nicht, dass dies tatsächlich sinnvoll ist. “Das war schon immer so” ist keine Grundlage für ein Rollenmodell. Stattdessen müssen Firmen kritisch hinterfragen, ob eine Berechtigung zwingend notwendig für eine Aufgabe ist.

Um von den Vorteilen eines Rollenmodells zu profitieren, muss das Konzept nun von der Theorie in die IT-Praxis übertragen werden. Anhand der festgelegten Standardrechte lässt sich die Provisionierung neuer Mitarbeiter, also die Ausstattung mit allen notwendigen Konten und Zugängen, erheblich vereinfachen.

Im simpelsten Fall legen Unternehmen dazu eine Checkliste der vorgesehen Rechte an. Da die manuelle Abwicklung aufwändig und fehleranfällig ist, empfiehlt sich jedoch ein automatisierter Workflow. In Active Directory lässt sich ein Rollenmodell etwa über das AGDLP-Prinzip implementieren.

Noch besser wäre es jedoch, das Onboarding und Offboarding für alle IT-Systeme zu automatisieren und das Rollenmodell auf Windows-, Cloud- und Drittanwendungen auszudehnen. Dazu braucht es eine Schaltzentrale, die all diese Zielsysteme gesammelt verwalten kann: Eine Software für Identity und Access Management.

IT-Umgebungen sind ständig im Wandel. Und auch die Anforderungen von Usern ändern sich stetig. Dadurch kann es mit der Zeit notwendig sein, neue Berechtigungen zu einer Rolle hinzuzufügen. Ebenso können alte Berechtigungen mit der Zeit überflüssig werden, weshalb sie aus einer Rolle entfernt werden müssen.

Ein Rollenmodell muss den aktuellen Stand der IT und die Anforderungen der Benutzer abbilden. Die regelmäßige Kontrolle und Anpassung des Konzepts ist daher unerlässlich. Insbesondere veraltete Berechtigungen können die Sicherheit von Daten gefährden und z.B. das Risiko für Datendiebstahl erhöhen.

Sie möchten die Zugriffsverwaltung in Ihrem Unternehmen über ein Rollenmodell für Berechtigungen vereinfachen? Kein Problem! Die IAM-Lösung tenfold unterstützt Sie durch die automatische Auswertung der bestehenden Rechte beim Erstellen von Berechtigungsrollen. Ebenso erlaubt unsere Software die zentrale Verwaltung aller IT-Systeme, von Ihrem Windows-Netzwerk über die Microsoft Cloud bis hin zu Geschäftsanwendungen wie SAP und HCL Notes.

Das Beste an der Sache? Während Sie bei anderen IAM-Anbietern dazu gezwungen sind, IT-Systeme durch langwieriges und aufwändiges Scripting anzubinden, liefert unser No-Code IAM Ihnen fertige Schnittstellen und Workflows, die sich mit ein paar Klicks konfigurieren lassen. So sind Sie in wenigen Wochen startklar für ihr automatisches Berechtigungsmanagement!