User Lifecycle Management: Der Lebenszyklus von Konten erklรคrt!

Von ihrem ersten bis zum letzten Tag brauchen User Zugriff auf die richtigen Ressourcen. Das Lifecycle Management regelt den Lebenszyklus von Konten und Rechten in einer IT-Umgebung โ€“ von der Account-Anlage bis zur Lรถschung des Zugriffs beim Austritt aus der Organisation. Ein geregeltes User Lifecycle Management ist die Grundlage fรผr eine sichere und produktive IT-Umgebung.

Was ist User Lifecycle Management?

Die Belegschaft einer Organisation befindet sich stรคndig in Wandel. Neue Mitarbeiter treten ein, wechseln in andere Abteilungen und verlassen die Organisation irgendwann auch wieder. Und dabei brauchen sie jederzeit Zugriff auf die richtigen IT-Systeme, abhรคngig von ihrer aktuellen Rolle.

User Lifecycle Management (ULM) bezeichnet das Ausstatten neuer User mit notwendigen Zugriffen, das Anpassen bestehender Rechte und Lรถschen alter Konten bei Austritt des Benutzers โ€“ also alle Aufgaben die im “Leben” eines Benutzerkontos anfallen. User Lifecycle Management wird auch Account Lifecycle Management oder Identity Lifecycle Management genannt.

Aufgaben wie das On- und Offboarding von Benutzern werden in vielen Organisationen von Hand erledigt. Schneller, einfacher und sicherer ist jedoch die Automatisierung des User Lifecycle รผber eine Identity & Access Management Lรถsung.

Welche Phasen hat der User Lifecycle?

Der Lebenszyklus eines Benutzerkontos lรคsst sich grob in drei Phasen aufteilen, die auch als Joiner-Mover-Leaver oder JML Prozess bekannt sind. Neue Mitarbeiter werden angestellt (Joiner), sie wechseln ihre Rolle oder Position (Mover) und zuletzt verlassen sie die Organisation (Leaver).

1

Joiner: Onboarding/Provisionierung

Wรคhrend des Onboardings erhalten neue Mitarbeitende alle notwendigen Konten und Rechte, die sie fรผr ihre Arbeit brauchen. Dieser Prozess wird auch Provisionierung genannt. Fรผr ein treffsicheres Onboarding brauchen Organisationen dabei ein klares Bild davon, welche Rechte fรผr welche Position benรถtigt werden. Nur so lรคsst sich die Einhaltung des Least Privilege Prinzips sicherstellen.

Das Onboarding lรคsst sich erheblich beschleunigen, indem man im Vorfeld fรผr die unterschiedlichen Rollen in der Organisation Berechtigungen bรผndelt und gesammelt vergibt, anstatt den Zugriff fรผr jede Ressource einzeln zuzuweisen. Man spricht dabei von rollenbasierter Berechtigungsvergabe.

2

Mover: Laufende Anpassungen

Auch wenn ein Benutzer einmal mit allem Nรถtigen ausgestattet ist: Anforderungen รคndern sich im Laufe der Zeit und so sind immer wieder Anpassungen notwendig. Beispiel: Ein User wechselt die Abteilung. Das bedeutet, er braucht neue Berechtigungen fรผr seine verรคnderte Aufgabe und muss gleichzeitig alte Berechtigungen verlieren, die er nun nicht mehr benรถtigt.

Vom Abteilungswechsel und Befรถrderungen abgesehen, kann es im User Lifecycle auch zu lรคngeren Unterbrechungen kommen, etwa durch Elternzeit, Fortbildungen, Sabbaticals oder รคhnliches. In diesem Fall muss die Organisation Zugรคnge vorรผbergehend stilllegen.

3

Leaver: Offboarding

Der letzte Schritt im Lebenszyklus eines Accounts ist das Deaktivieren des Zugriffs, wenn die Person die Organisation verlรคsst. Meist wird der jeweilige Account nicht unmittelbar gelรถscht, da es hierbei unterschiedliche rechtliche Aufbewahrungspflichten zu beachten gilt.

In jedem Fall muss das Offboarding vollstรคndig und zeitnah abgeschlossen werden, um zu verhindern, dass der nicht mehr benรถtigte Account zum Sicherheitsrisiko wird. Dieser kann einerseits zum Eintrittspunkt fรผr Hacker werden, andererseits kรถnnten sich ehemalige Mitarbeiter auf diesem Weg Zugang zu sensiblen Daten verschaffen.

Infografik, die die 3 User Lifecycle Management Phasen auflistet: Joiner, Mover und Leaver.
Die 3 Phasen des User Lifecycle Management

Vorteile von geregeltem User Lifecycle Management

User Lifecycle Management ist der Grundstein einer produktiven IT-Umgebung. Ohne den richtigen Zugriff auf die richtigen Systeme kรถnnen Mitarbeitende ihren Aufgaben nicht nachkommen.

Fรผr Organisationen, die ihr User Lifecycle Management hรคndisch abwickeln, ist dieser notwendige Prozess jedoch mit gewaltigem Aufwand verbunden โ€“ insbesondere wenn Unternehmen und IT-Systeme wachsen. Bei hunderten Benutzern und dutzenden Systemen wird manuelles Onboarding und Offboarding zum Zeitfresser.

Daher hat es viele Vorteile, das Lifecycle Management รผber eine geeignete Governance Lรถsung zu automatisieren:

  • Jederzeit korrekte Rechte: Automatisches Lifecycle Management stellt sicher, dass User zu jedem Zeitpunkt รผber genau die Berechtigungen verfรผgen, die sie fรผr ihre Arbeit brauchen. Wรคhrend Benutzer kommen und gehen, wird ihr Zugriff jederzeit an ihre aktuelle Rolle angepasst.

  • Weniger IT Aufwand: Da das On/Offboarding automatisch ablรคuft, verliert das IT-Team kaum noch Zeit durch das Anlegen oder Anpassen von Konten. Dadurch kรถnnen sich Admins wichtigeren Aufgaben widmen.

  • Transparenz und Nachvollziehbarkeit: Eine Identity & Access Management Lรถsung automatisiert nicht nur den User Lifecycle, sondern dient als zentrale Plattform fรผr die Steuerung von Konten und Rechten. So lรคsst sich jederzeit nachvollziehen, wer worauf Zugriff hat.

User Lifecycle Management: Best Practices

1

Rollenbasierter Zugriff

Benutzern jede benรถtigte Berechtigung einzeln zuzuweisen macht die Provisionierung zeitaufwรคndig und fehleranfรคllig. Rollenbasierter Berechtigungsvergabe vereinfacht diesen Prozess erheblich, indem zunรคchst Sets von Berechtigungen angelegt werden, die den unterschiedlichen Abteilungen und Rollen in der Organisation entsprechen.

Dieses Rollenmodell fรผr Berechtigungen verbindet alles was ein Benutzer braucht in einem Paket. Dadurch muss ein neuer User nur zu der richtigen Rolle hinzugefรผgt werden und erhรคlt alle vorgesehenen Konten und Rechte. Somit ist keine manuelle Provisionierung mehr notwendig.

In lokalen Windows-Umgebungen lรคsst sich rollenbasierte Zugriff รผber das AGDLP-Modell abbilden. In Microsoft 365 lassen sich Rollen teilweise รผber (dynamische) Gruppenmitgliedschaften und sogenannte Access Packages modellieren.

2

Integration von HR-Daten

Eine der hรคufigsten Fehlerquellen im User Lifecycle Management ist die Kommunikation zwischen der Personal- und IT-Abteilung. Wenn die IT erst bei dessen Eintritt von einem neuen Kollegen erfรคhrt, erfolgen Onboarding-Prozesse nicht zeitgerecht. Das gilt ebenso, wenn keine Benachrichtigung bei einem Abteilungswechsel oder einer Kรผndigung erfolgt.

Glรผcklicherweise lรคsst sich der Informationsfluss automatisieren, indem Personal-Updates direkt aus der HR-Datenbank ausgelesen werden. Eine IAM-Lรถsung kann durch die Anbindung an das HR-System automatisch Verรคnderungen erkennen und alle notwendigen Prozesse in Gang setzen. So gelingt das Onboarding und Offboarding mรผhelos.

Whitepaper

Access Governance: Best Pratices fรผr Microsoft-Umgebungen

Ein umfassender Leitfaden zur Umsetzung bewรคhrter Best Practices fรผr die Zugriffsverwaltung in Microsoft-Umgebungen.

3

Self-Service Freigaben

Durch rollenbasierten Zugriff erhalten Mitarbeiter automatisch alle benรถtigten Standardrechte. Darรผber hinaus brauchen Benutzer jedoch auch immer wieder zusรคtzliche Rechte, die nicht Teil ihrer Rolle sind. Zum Beispiel kรถnnen zusรคtzliche Rechte fรผr Projekte, die Zusammenarbeit mit anderen Abteilungen oder die Vertretung von Kollegen gebraucht werden.

Deshalb gehรถrt der Umgang mit Zugriffsanfragen zu den wichtigsten Aufgaben im Berechtigungs-Management. In vielen Organisationen gibt es hierfรผr aber keinen strukturierten Prozess: Stattdessen werden Berechtigungen auf Zuruf vergeben, per E-Mail oder Chat-Nachricht angefordert und in Excel-Tabellen dokumentiert.

Ein ausgereifter Prozess sieht anders aus und sollte ein Self-Service Portal als zentrale Anlaufstelle fรผr End User bereitstellen, anpassbare Freigabe-Workflows fรผr die Bearbeitung der Anfragen bieten und sรคmtliche Rechte zentral dokumentieren.

4

Rezertifizierung

Um sicherzustellen, dass jeder Benutzer nur den Zugriff hat, den er fรผr seine Arbeit braucht, mรผssen Zugriffsrechte nicht nur korrekt vergeben, sondern auch regelmรครŸig รผberprรผft werden.

Bei der Rezertifizierung von Berechtigungen werden diese auf Aktualitรคt geprรผft und nicht mehr benรถtigte Rechte entfernt. Das verhindert Privilege Creep, die schleichende Ansammlung immer mehr Rechte.

Leider ist die Rezertifizierung ohne Governance-Lรถsung nicht mรถglich. Da es in einer typischen IT-Umgebung tausende Rechte zu kontrollieren gibt, ist der Zeitaufwand schlicht zu groรŸ. Auch hier schafft IAM Abhilfe, indem es laufend mitverfolgt, welche Zugriffsrechte รผberprรผft werden mรผssen und anschlieรŸend einfache Checklisten an die zustรคndigen Stakeholder versendet.

5

Automatisches Offboarding

Wenn Konten und Rechte fehlen, die ein User fรผr die Arbeit braucht, meldet er sich zu Wort. Werden hingegen beim Austritt aus dem Unternehmen Konten nicht gelรถscht, gibt es niemanden, der darauf hinweisen kรถnnte. Das macht verwaiste Konten zur stillen Gefahr.

Bleiben nach dem Austritt Konten zurรผck, kรถnnen sich ehemalige Angestellte unerlaubt Zugang verschaffen und sensible Daten stehlen โ€“ sie werden somit zum Insider Threat. Verwaiste Konten sind aber auch ein beliebtes Einfallstor fรผr Hacker, denn hier gibt es keinen echten Benutzer, der verdรคchtige Aktivitรคt melden kรถnnte.

Um diese Gefahr zu bannen, mรผssen Mitarbeiter umgehend und vollstรคndig deprovisioniert werden. Das heiรŸt, die Organisation muss alle Konten und Zugรคnge deaktivieren, sobald die Person aus dem Unternehmen austritt. Auf dem Papier ist dies in den meisten Organisationen auch vorgesehen. In der Praxis werden aber leicht Schritte vergessen oder Konten รผbersehen. Insbesondere, wenn es keinen รœberblick gibt, welche Konten ein User รผberhaupt hat.

Der einfachste Weg um Fehler im Offboarding auszuschlieรŸen, ist das SchlieรŸen von Accounts zu automatisieren. Ebenso wie eine IAM-Lรถsung automatisch erkennt, wenn neue Benutzer zur HR-Datenbank hinzukommen, kann sie auch den Austritt von Usern erkennen und darauf reagieren. Der Zugang jedes Users wird somit jederzeit an seinen aktuellen Status angepasst und beim Verlassen des Unternehmens zeitnah geschlossen.

User Lifecycle Management leicht gemacht mit tenfold IAM

Vom reibungslosen Onboarding dank rollenbasiertem Zugriff bis zur Einbindung der Abteilungen in Freigabe-Workflows: Es gibt viele Wege, das User Lifecycle Management zu vereinfachen.

Doch der grรถรŸte Fortschritt, der sich im Bereich User Lifecycle Management erzielen lรคsst, ist die vollstรคndige Automatisierung รผber eine IAM-Lรถsung. Ihr IT-Team verbringt unzรคhlige Stunden damit, Accounts zu erstellen oder Zugriffsrechte nach personellen Verรคnderungen anzupassen? Dann ist die Investition in ein IAM-System ein No-Brainer, der einen enormen Produktivitรคtsgewinn mit sich bringt.

Aber Achtung: Die Wahl der richtigen IAM-Lรถsung macht einen groรŸen Unterschied. Sparen Sie sich endlose Setups und explodierende Kosten! tenfold macht IAM einfacher als je zuvor โ€“ dank sofort einsatzbereiten Plugins und No-Code Konfigurierung. Wo andere Jahre brauchen kommen Sie so in nur zwei Wochen zum fertigen IAM-System.

Buchen Sie jetzt Ihre persรถnliche Demo und entdecken Sie, warum tenfold durch Effizienz und Einfachheit begeistert.

Berechtigungen spielend einfach managen:
Entdecken Sie jetzt tenfold!

Verfasst von: Joe Kรถller

Als tenfolds Content Manager verantwortet Joe Kรถller den IAM Blog, wo er Themen rund um Compliance, Cybersecurity und digitale Identitรคten tiefgehend beleuchtet. Komplexe Materie verstรคndlich zu erklรคren ist sein oberstes Ziel, egal, ob es um gesetzliche Regelwerke oder technische Hintergrรผnde der Zugriffssteuerung geht. Vor seiner Rolle bei tenfold hat Joe viele Jahre รผber Games und digitale Medien berichtet.