Rollenmodell für Berechtigungen erstellen: So funktionierts!
Um die Vergabe von IT-Berechtigungen zu vereinfachen braucht es strukturierte Prozesse. Ein Rollenmodell für Berechtigungen legt Standardrechte für bestimmte Aufgabenbereiche fest, um die Zuweisung zu erleichtern oder über ein Identity & Access Management System zu automatisieren. Wir verraten, wie Sie in 5 Schritten ein eigenes Rollenmodell für Berechtigungen entwickeln.
Wozu brauche ich ein Rollenmodell für Berechtigungen?
Um ihrer Arbeit nachzugehen, brauchen Benutzer Zugriffsrechte. Doch wenn Admins Berechtigungen einzeln an jeden Benutzer vergeben, sorgt das schnell für Chaos. Die manuelle Vergabe von Berechtigungen sorgt für hohen Aufwand, Anpassungen sind dadurch nicht nachvollziehbar und niemand hat den Überblick, wer genau auf welche Daten zugreifen kann.
Die Verwaltung von IT-Berechtigungen sollte stattdessen einem klaren Berechtigungskonzept folgen. Darin dokumentiert die Organisation, welche Benutzer Zugriff auf welche Ressourcen benötigen. Diese Einteilung orientiert sich oft an dem Aufgabenfeld bzw. der Geschäftsrolle eines Users. Man spricht daher auch von rollenbasierter Berechtigungsvergabe.
Die Verwendung eines Rollenmodells für Berechtigungen hat mehrere Vorteile:
Einfache Provisionierung neuer Benutzer
Grundlage für die Automatisierung des User Lifecycle
Einheitliche Zugriffsrechte für Benutzergruppen mit gleichen Anforderungen
Bessere Nachvollziehbarkeit, auf welche Ressourcen ein User zugreifen kann
Erleichtert Änderungen auf User-Ebene durch Zuweisung von Rollen
Erleichtert Änderungen auf Abteilungs-Ebene durch Bearbeiten von Rollen
Um die Zugriffskontrolle in der Organisation mithilfe von Rollen zu vereinfachen, müssen Firmen jedoch zuerst ein Rollenmodell für Berechtigungen erstellen.
Wie funktioniert ein Rollenmodell für Berechtigungen?
Ein Rollenmodell für Berechtigungen legt fest, welche Zugriffsrechte Benutzer innerhalb der Organisation erhalten sollen – und zwar abhängig von Faktoren wie ihrer Abteilung oder dem Standort, an dem sie beschäftigt sind.
Anstatt jedem Benutzer einzeln die notwendigen Zugriffsrechte für seine Aufgabe zuzuweisen, erstellt die Organisation dazu Berechtigungsrollen und legen im Vorfeld fest, welche Zugriffsrechte an welche Rolle geknüpft werden sollen. Wird ein neuer User zu einer Rolle hinzugefügt, erhält er automatisch alle vorgesehenen Rechte. Umgekehrt werden Zugriffsrechte bei Verlust der Rolle wieder entfernt.
Rollenmodell für Berechtigungen in Active Directory
In Active Directory lässt sich ein Rollenmodell für Berechtigungen über die Gruppenstruktur AGDLP umsetzen: Dazu erstellt man globale Benutzergruppen, welche den unterschiedlichen Rollen entsprechen, und fügt diese zu lokalen Berechtigungsgruppen hinzu, über die jeweils der Zugriff auf eine bestimmte Ressource gesteuert wird. Dies hat den Vorteil, dass die Liste der Gruppenmitgliedschaften die enthaltenen Berechtigungen klar nachvollziehbar macht.
Um ein Rollenmodell systemübergreifend zu nutzen, brauchen Organisationen eine zentrale Plattform für Identity und Access Management, welche die vorgesehenen Rechte eines Users in allen Zielsystemen anpassen kann. Eine IAM-Lösung hat zudem den Vorteil, dass die Zuweisung zu Rollen anhand der HR-Datenbank des Unternehmens automatisieren kann.
Berechtigungskonzept-Vorlage: Gratis Download
Rollenmodell für Berechtigungen erstellen in 5 Schritten
IT-Assets inventarisieren
Um IT-Zugriffe effektiv zu verwalten, muss eine Organisation sich zunächst darüber im Klaren sein, welche Daten und Systeme das eigene Netzwerk genau umfasst. Das Inventar der IT-Assets auf Hardware- und Software-Ebene bildet die Grundlage für ein treffsicheres Berechtigungskonzept.
Um ein genaues Abbild der eigenen IT zu erhalten, müssen sämtliche Fachbereiche in die Auswertung einbezogen werten. Oft sorgen Workarounds und externe Tools für unerwartete Abweichungen vom Netzplan der IT-Abteilung: Stichwort Schatten IT.
Organisationsstruktur analysieren
Nachdem die Organisation erfasst hat, auf welche Ressourcen User theoretisch zugreifen könnten, stellt sich als zweiter Schritt die Frage: Wer braucht was? Welche Daten sind für welche Benutzer relevant? Wie lassen sich User sinnvoll in Gruppen einteilen?
Ein Rollenmodell für Berechtigungen orientiert sich meist an dem Organigramm des Unternehmens, da User innerhalb einer Abteilung meist ähnliche Aufgaben und daher auch ähnliche IT-Anforderungen haben. Je nach Struktur der Organisation kann jedoch ein anderer Aufbau oder die mehrschichtige Einteilung in Rollen für Abteilung plus zusätzliche Faktoren sinnvoll sein.
Standardrechte zu Rollen gruppieren
Sind die IT-Benutzer nun in Rollen mit ähnlichen Zugriffsanforderungen gruppiert, gilt es als nächstes festzulegen, welche Berechtigungen an eine Rolle geknüpft werden sollen.
Dabei können die bestehenden Zugriffsrechte der Rollenmitglieder als Entscheidungsgrundlage dienen. Man wertet also aus, welche Berechtigungen in einer Abteilung häufig vorkommen und fügt diese zu der Rolle hinzu. Bei diesem Prozess spricht man auch von Role Mining.
Aber Achtung: Nur weil User bislang Zugriff auf Daten und Systeme hatten, heißt das nicht, dass dies tatsächlich sinnvoll ist. “Das war schon immer so” ist keine Grundlage für ein Rollenmodell. Stattdessen müssen Firmen kritisch hinterfragen, ob eine Berechtigung zwingend notwendig für eine Aufgabe ist.
Ein Rollenmodell soll nicht nur die Vergabe von Berechtigungen erleichtern, sondern auch unerwünschte Zugriffe verhindern. Es muss daher dem Least Privilege Prinzip folgen.
Best Practices im Access Management in Microsoft Umgebungen
Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.
Provisionierung von IT-Usern automatisieren
Um von den Vorteilen eines Rollenmodells zu profitieren, muss das Konzept nun von der Theorie in die IT-Praxis übertragen werden. Anhand der festgelegten Standardrechte lässt sich die Provisionierung neuer Mitarbeiter, also die Ausstattung mit allen notwendigen Konten und Zugängen, erheblich vereinfachen.
Im simpelsten Fall legen Unternehmen dazu eine Checkliste der vorgesehen Rechte an. Da die manuelle Abwicklung aufwändig und fehleranfällig ist, empfiehlt sich jedoch ein automatisierter Workflow. In Active Directory lässt sich ein Rollenmodell etwa über das AGDLP-Prinzip implementieren.
Noch besser wäre es jedoch, das Onboarding und Offboarding für alle IT-Systeme zu automatisieren und das Rollenmodell auf Windows-, Cloud- und Drittanwendungen auszudehnen. Dazu braucht es eine Schaltzentrale, die all diese Zielsysteme gesammelt verwalten kann: Eine Software für Identity und Access Management.
Berechtigungsrollen laufend aktualisieren
IT-Umgebungen sind ständig im Wandel. Und auch die Anforderungen von Usern ändern sich stetig. Dadurch kann es mit der Zeit notwendig sein, neue Berechtigungen zu einer Rolle hinzuzufügen. Ebenso können alte Berechtigungen mit der Zeit überflüssig werden, weshalb sie aus einer Rolle entfernt werden müssen.
Ein Rollenmodell muss den aktuellen Stand der IT und die Anforderungen der Benutzer abbilden. Die regelmäßige Kontrolle und Anpassung des Konzepts ist daher unerlässlich. Insbesondere veraltete Berechtigungen können die Sicherheit von Daten gefährden und z.B. das Risiko für Datendiebstahl erhöhen.
tenfold: Die No-Code Lösung für rollenbasiertes Berechtigungsmanagement
Sie möchten die Zugriffsverwaltung in Ihrem Unternehmen über ein Rollenmodell für Berechtigungen vereinfachen? Kein Problem! Die IAM-Lösung tenfold unterstützt Sie durch die automatische Auswertung der bestehenden Rechte beim Erstellen von Berechtigungsrollen. Ebenso erlaubt unsere Software die zentrale Verwaltung aller IT-Systeme, von Ihrem Windows-Netzwerk über die Microsoft Cloud bis hin zu Geschäftsanwendungen wie SAP und HCL Notes.
Das Beste an der Sache? Während Sie bei anderen IAM-Anbietern dazu gezwungen sind, IT-Systeme durch langwieriges und aufwändiges Scripting anzubinden, liefert unser No-Code IAM Ihnen fertige Schnittstellen und Workflows, die sich mit ein paar Klicks konfigurieren lassen. So sind Sie in wenigen Wochen startklar für ihr automatisches Berechtigungsmanagement!
Überzeugen Sie sich selbst: Zugriffsmanagement leicht gemacht mit No-Code IAM!