Identity-Management (IdM)

Halbherzige Benutzerverwaltung

28.11.2012
Von Klaus Scherrbacher
Die wenigsten Unternehmen legen ihr Identity-Management komplett an - mit problematischen Konsequenzen.

Etwa 33 Prozent der Unternehmen verfügen derzeit über ein System zum Identity-Management (IdM). Dies ergab die Anwenderstudie "Identity Management - Security & Compliance" des Beratungshauses Deron. Mit der automatisierten Benutzerverwaltung muss der Administrator nicht mehr jeden Mitarbeiter für E-Mails, Datenbanken, CRM, Data Warehouse und andere Anwendungen jeweils einzeln anlegen. Vielmehr genügt das einmalige Anlegen des Benutzers, der Rest läuft automatisch im Hintergrund ab.

Problematisch: Selbst in Unternehmen mit IdM können 54 Prozent der Befragten weder Benutzerleichen noch kritische Rechtekombinationen mit Sicherheit ausschließen.
Problematisch: Selbst in Unternehmen mit IdM können 54 Prozent der Befragten weder Benutzerleichen noch kritische Rechtekombinationen mit Sicherheit ausschließen.
Foto: Deron

Mit einem modernen IdM-System braucht der Administrator im Idealfall gar keinen Benutzer mehr anzulegen, weil die Berechtigungsvergabe schon von der Personalstelle durch das Anlegen der Personaldaten angestoßen werden kann. Wird der Mitarbeiter dann befördert oder scheidet er aus, so genügt wiederum die Änderung, welche die Personalstelle ohnehin in ihren Daten vornimmt, um alle angeschlossenen Applikationen automatisiert folgen zu lassen. So erhält der Mitarbeiter bereits von derjenigen Stelle, die immer am schnellsten und besten über organisatorische Veränderungen informiert ist, über hinterlegte Regeln sofort sämtliche Berechtigungen maßgeschneidert zugewiesen und, was mindestens genauso wichtig ist, auch wieder entzogen.

Doch unabhängig davon, ob die Personalstelle ins IdM eingebunden ist oder nicht: Laut Studie sind in der Praxis nur zwölf Prozent der Systeme absolut lückenlos angelegt. 38 Prozent der Unternehmen mit IdM legen eigenen Angaben zufolge immer wieder Accounts und Berechtigungen provisorisch außerhalb der Prozesse an. Wer wissen möchte, ob das in seinem Unternehmen auch so ist, sollte einmal darauf achten, wie Einzelnen der Zugriff auf Projektdaten oder als Urlaubsvertretung ermöglicht und wie Accounts und Berechtigungen von Partnern, Kunden und Lieferanten eingerichtet werden. Meist sind es diese Bereiche, die beim IdM zunächst ausgespart werden, sodass keine Prozesse definiert sind. Braucht man sie dann aber, improvisiert die IT und legt Accounts und Berechtigungen "vorerst" außerhalb der Richtlinien und des IdM-Systems an.