Aus Identity Management wird Access Governance

Der Wandel des IdM hin zur Access Governance führt zu neuen Aufgaben und Funktionen. Zu den wichtigsten Bausteinen zählen das Antrags- und Genehmigungsverfahren für neue Berechtigungen sowie die Auswertung und Zertifizierung von bestehenden Berechtigungen. Als Basis dafür dient eine Business-orientierte Modellierung der Rollen einschließlich einer Risikobewertung. Im Folgenden soll kurz auf die einzelnen Module von Access Governance eingegangen werden.

Anstatt den Benutzern einfach die Berechtigungen zuzuweisen, wird ein Antrags- und Genehmigungsverfahren für die Zuweisung von Rollen, Zugriffsrechten und dergleichen benötigt. Dieses muss durch einen automatisierten Workflow unterstützt sein. Verlangt wird außerdem eine bessere Transparenz bei den bestehenden Zugriffsrechten. Sie ist die Grundvoraussetzung für den Zertifizierungsvorgang, in dessen Rahmen der Vorgesetzte regelmäßig die Berechtigungen der Benutzer hinsichtlich ihrer Notwendigkeit überprüft und bestätigt. Dadurch lassen sich auch die Risiken hinsichtlich eines Anhäufens von Berechtigungen begrenzen. Die Messlatte dabei sollte das Prinzip des "Least Privileged" sein, also der Begrenzung der Rechte auf das notwendige Minimum.

Die Business-orientierte Modellierung von Rollen beinhaltet das Erstellen von Rollen, die für die Fachabteilung verständlich sein sollten. Das ist die Voraussetzung für das Antrags- und Genehmigungsverfahren, sowie für die Zertifizierungen. Die Fachabteilungen können nur dann Rollen beantragen, genehmigen oder zertifizieren, wenn sie diese kennen und verstehen. Neben der ursprünglichen Aufgabe der Berechtigungskapselung müssen die Rollen daher jetzt auch aus der Sicht der Genehmigungs- und Zertifizierungsfähigkeiten erstellt werden.

Es gibt verschiedene Richtlinien, die bei der Berechtigungsvergabe berücksichtigt werden müssen. Die wichtigste und bekannteste ist die Trennung der Funktionen (Segregation-of-Duty - SoD). Hier gilt es bestimmte Kombinationen von Berechtigungen zu vermeiden, die auch als toxische Kombinationen bezeichnet werden. Im Rahmen von Access Governance müssen die Verantwortlichen die darunterliegenden SoD-Regeln definieren und bei der Berechtigungsvergabe berücksichtigen. Darüber hinaus müssen sich auch die bestehenden Berechtigungen nachträglich kontrollieren lassen.

Bei der Betrachtung von Berechtigungen dürfen die Unternehmen die historische Dimension nicht vernachlässigen. So reicht es nicht aus, nur die aktuellen Berechtigungen auswerten zu können. Vielmehr müssen sich diese auch in der Zeitachse darstellen lassen. Eine Grundfrage dabei ist: Welche Rechte hatte ein Benutzer in der Vergangenheit? Ferner gilt es zu prüfen, wer diese Rechte beantragt, genehmigt und zertifiziert hat. Dies hilft beispielsweise dabei, Unregelmäßigkeiten in betrieblichen Abläufen nachträglich untersuchen zu können.

Durch das User Activity Monitoring lassen sich die Benutzeraktivitäten zu den Berechtigungsstrukturen in Beziehung setzen. Dazu werden die Informationen in den Protokolldateien der Systeme herangezogen, um zum Beispiel Aussagen treffen zu können, wie oft und wann Berechtigungen von den Benutzern überhaupt verwendet werden. Auf Basis dieser Informationen lassen sich die Berechtigungsstrukturen passgenauer an die betrieblichen Anforderungen anpassen.