Was bedeutet Access Governance?

Access Governance, Identity Governance und Identity Management werden in IT-Kreisen zum Teil synonym verwendet. In unserem Glossar erklären wir, was es mit diesen Begriffen auf sich hat.

Definition

Grundsätzlich sind die Themen „Identity Management/Governance“ und „Access Management/Governance“ nicht allgemeingültig definiert und daher auch im öffentlichen Diskurs weitestgehend austauschbar. Wir versuchen trotzdem eine Abgrenzung der Begriffe zu erreichen.

Unter Access Governance verstehen wir die Maßnahmen, die zur Herstellung von Strukturen, Prozessen und Verantwortlichkeiten für den sicheren Zugriff auf Unternehmensdaten dienen.

Elemente

Access Governance kann unterschiedliche Elemente beinhalten. Wenn man die unterschiedlichen Begriffsdefinitionen zusammenführt, kommt man zu folgendem Ergebnis:

  • 1

    Rollenkonzept: Teil einer erfolgreichen Access Governance ist die Abbildung der IT-Berechtigungen in einem Rollenkonzept. Das bedeutet es werden Berechtigungen (gegebenenfalls auch systemübergreifend) in Rollen für bestimmte Abteilungen, Niederlassungen oder Stellen zusammengefasst. Das ist zum einen effizienter und außerdem sicherer, da die unbeabsichtigte Vergabe unnötiger Berechtigungen unwahrscheinlicher wird (Kopieren von Referenzbenutzern und ähnliches).

  • 2

    Workflows: Workflows dienen dazu, die Entscheidung über die Berechtigungsvergabe an einen fachlichen Verantwortlichen (nicht-IT-Mitarbeiter) zu delegieren. Das setzt voraus, dass das Access Governance-System die jeweiligen Verantwortlichen zu den unterschiedlichen Ressourcen kennt (die sogenannten Dateneigentümer oder Data Owner).

  • 3

    Rezertifizierung: Die Rezertifizierung von Berechtigungen kann man sich als das quasi nochmalige Durchlaufen des Workflows vorstellen. In regelmäßigen Abständen sind die Data Owner dazu aufgerufen, die bestehenden Berechtigungen zu kontrollieren und auf Ihre Erforderlichkeit hin zu überprüfen. Wird eine Berechtigung nicht mehr benötigt, weil beispielsweise ein Benutzer aus einem Projekt ausgeschieden ist, wird diese im Rahmen der Rezertifizierung durch den Data Owner gelöscht.

Verfasst von: Helmut Semmelmayer

Helmut Semmelmayer ist seit 2012 als VP Revenue Operations beim Software-Hersteller tenfold tätig. Er ist damit für den Partnervertrieb und das Produktmarketing verantwortlich und schreibt in diesem Blog regelmäßig themenbezogene Beiträge aus dem Bereich Identity & Access Management.