Im Berechtigungs-Management ist heute mehr Effizienz und Intelligenz gefordert. Immer zahlreichere gesetzliche Regeln, wie Informationen zu handhaben sind, sowie komplexe IT-Infrastrukturen rund um On-Premise- und Cloud-Systeme, in denen Datenflüsse intelligent gesteuert werden wollen, lassen herkömmliche Identity-Management-Konzepte (IdM) schnell an ihre Grenzen stoßen. Zudem gilt es, alle Beteiligten enger einzubinden, aber auch stärker in die Pflicht zu nehmen.
Eine Governance im Berechtigungs-Management - auch als Access Governance bezeichnet - bedeutet, dass die Fachabteilungen mehr Verantwortung übernehmen müssen. Dies erfordert wiederum mehr Kontrolle im Rahmen der Berechtigungsvergabe, aber auch die regelmäßige Bestätigung von bestehenden Berechtigungen. Eine besondere Herausforderung ist hierbei, die komplexen und umfangreichen Datenstrukturen so aufzubereiten, dass diese in verständlichen Informationen verdichtet und präsentiert werden können.
Um das zu erreichen, können Anwender auf etablierte Verfahren aus dem Bereich Business Intelligence zurückgreifen. Berechtigungsstrukturen mit Hilfe von BI-Methoden aufzubereiten, mündet letztendlich in Access Intelligence. Dafür werden die aus Business Intelligence (BI) erprobten Technologien und Vorgehensweisen für mehr Transparenz über die Berechtigungen genutzt. Bekannte Methoden werden mit neuen Anwendungsgebieten verknüpft.
Identity Management wandelt sich
Foto: Beta Systems
Experten sprechen heute bereits von Identity Managament 2.0 (IdM 2.0), da sich der Community-getriebene Ansatz des Web 2.0 Inhalte zu erzeugen, auch auf das IdM-Umfeld übertragen lässt. Identity Management der ersten Generation (IdM 1.0) war IT-lastig, Administrator-orientiert und stellte den Single-Point-of-Administration, das HR-driven Provisioning sowie Role Based Access Control (RBAC) in den Vordergrund.
Die IdM-2.0-Systeme fungieren dagegen als eine Art Business-Collaboration-Plattform für die Zugriffsverwaltung. Diese Systeme werden seitens der User anders wahrgenommen und genutzt, beziehen die Fachabteilungen in die Entscheidungsprozesse mit ein und sind mit Business-orientierten Funktionen sowie umfangreichen Self-Service-Möglichkeiten ausgestattet. Letztlich ist in einem solchen Umfeld der einzelne Anwender mehr denn je verantwortungsvoll in die sichere und regelkonforme Verwaltung der Zugriffsrechte mit einbezogen.
Doch damit hat sich auch die Zielsetzung eines IdM-Systems gewandelt. Standen früher Faktoren wie Kostensenkung und effizientes User-Management im Vordergrund, suchen Unternehmen heute nach einem System, mit dem sie zusätzlich Regularien und Gesetze sowie das Risiko-Management bewältigen können. Die IdM-2.0-Systeme passen somit auch in den größeren Rahmen einer umfassenden Access Governance.
Aus Identity Management wird Access Governance
Foto: Beta Systems
Der Wandel des IdM hin zur Access Governance führt zu neuen Aufgaben und Funktionen. Zu den wichtigsten Bausteinen zählen das Antrags- und Genehmigungsverfahren für neue Berechtigungen sowie die Auswertung und Zertifizierung von bestehenden Berechtigungen. Als Basis dafür dient eine Business-orientierte Modellierung der Rollen einschließlich einer Risikobewertung. Im Folgenden soll kurz auf die einzelnen Module von Access Governance eingegangen werden.
Anstatt den Benutzern einfach die Berechtigungen zuzuweisen, wird ein Antrags- und Genehmigungsverfahren für die Zuweisung von Rollen, Zugriffsrechten und dergleichen benötigt. Dieses muss durch einen automatisierten Workflow unterstützt sein. Verlangt wird außerdem eine bessere Transparenz bei den bestehenden Zugriffsrechten. Sie ist die Grundvoraussetzung für den Zertifizierungsvorgang, in dessen Rahmen der Vorgesetzte regelmäßig die Berechtigungen der Benutzer hinsichtlich ihrer Notwendigkeit überprüft und bestätigt. Dadurch lassen sich auch die Risiken hinsichtlich eines Anhäufens von Berechtigungen begrenzen. Die Messlatte dabei sollte das Prinzip des "Least Privileged" sein, also der Begrenzung der Rechte auf das notwendige Minimum.
Die Business-orientierte Modellierung von Rollen beinhaltet das Erstellen von Rollen, die für die Fachabteilung verständlich sein sollten. Das ist die Voraussetzung für das Antrags- und Genehmigungsverfahren, sowie für die Zertifizierungen. Die Fachabteilungen können nur dann Rollen beantragen, genehmigen oder zertifizieren, wenn sie diese kennen und verstehen. Neben der ursprünglichen Aufgabe der Berechtigungskapselung müssen die Rollen daher jetzt auch aus der Sicht der Genehmigungs- und Zertifizierungsfähigkeiten erstellt werden.
Es gibt verschiedene Richtlinien, die bei der Berechtigungsvergabe berücksichtigt werden müssen. Die wichtigste und bekannteste ist die Trennung der Funktionen (Segregation-of-Duty - SoD). Hier gilt es bestimmte Kombinationen von Berechtigungen zu vermeiden, die auch als toxische Kombinationen bezeichnet werden. Im Rahmen von Access Governance müssen die Verantwortlichen die darunterliegenden SoD-Regeln definieren und bei der Berechtigungsvergabe berücksichtigen. Darüber hinaus müssen sich auch die bestehenden Berechtigungen nachträglich kontrollieren lassen.
Bei der Betrachtung von Berechtigungen dürfen die Unternehmen die historische Dimension nicht vernachlässigen. So reicht es nicht aus, nur die aktuellen Berechtigungen auswerten zu können. Vielmehr müssen sich diese auch in der Zeitachse darstellen lassen. Eine Grundfrage dabei ist: Welche Rechte hatte ein Benutzer in der Vergangenheit? Ferner gilt es zu prüfen, wer diese Rechte beantragt, genehmigt und zertifiziert hat. Dies hilft beispielsweise dabei, Unregelmäßigkeiten in betrieblichen Abläufen nachträglich untersuchen zu können.
Durch das User Activity Monitoring lassen sich die Benutzeraktivitäten zu den Berechtigungsstrukturen in Beziehung setzen. Dazu werden die Informationen in den Protokolldateien der Systeme herangezogen, um zum Beispiel Aussagen treffen zu können, wie oft und wann Berechtigungen von den Benutzern überhaupt verwendet werden. Auf Basis dieser Informationen lassen sich die Berechtigungsstrukturen passgenauer an die betrieblichen Anforderungen anpassen.
Access Governance braucht Verfahren für die Fachabteilung
Die zusätzlichen Anforderungen im Rahmen von Access Governance müssen Unternehmen durch neue Verfahren in der Berechtigungsverwaltung abgebilden. Das klassische IdM-System benötigt in diesem Zusammenhang eine fachabteilungstaugliche Komponente, die den Mitarbeitern dort eine am Geschäftsprozess ausgerichtete Sicht auf Identitäten und deren Rechte vermittelt.
Dazu müssen die bestehenden IdM-Systeme um Business-orientierte Aspekte erweitert werden. Dies kann beispielsweise durch eine weitere Schicht im IdM-System erfolgen. Eingeschlossen sein sollten außerdem Funktionen für die Analyse der Zugriffsrechte, Reporting-Funktionen sowie die regelmäßige Überwachung der Zugriffe durch Prüfroutinen. Um den Zugang für die Mitarbeiter der Fachbereiche zu vereinfachen, bietet sich ferner ein Webportal an.
Die Herausforderung liegt in der Datenmenge
Foto: Beta Systems
Die feingranulare Aufschlüsselung der Rechte und deren detaillierte Überwachung, die auch die Historie betrachten sollte, führt jedoch zu einer besonderen Herausforderung: Die Menge der Daten wächst kontinuierlich an. So umfassen große IdM-Lösungen beispielsweise im Bankenbereich bis zu 100.000 Benutzer mit zusammen 500.000 Accounts und 35.000 Rollen sowie 700.000 Berechtigungsgruppen aus einer Vielzahl von Anwendungen. Dazu kommt, dass diese Daten keine statischen Strukturen aufweisen. Das zeigen die Änderungsprotokolle der Systeme. Diese weisen zum Teil mehr als 250 Millionen Einträge pro Jahr auf.
Damit entsteht eine unglaubliche Datenfülle, die es zu handhaben gilt. Hinzu kommt außerdem, dass die Berechtigungen und damit die generierte Datenbasis permanenten Veränderungen unterworfen sind. Änderungen innerhalb der Organisation, neue Anwendungen und modifizierte Richtlinien erweitern beständig die Datenbasis. Diese manuell auszuwerten, ist fast unmöglich. Nur durch den Einsatz von Automatismen lässt sich letztendlich die durch das IdM verursachte Datenfülle bewältigen.
Business Intelligence für das Berechtigungsmanagement
Foto: Beta Systems
Anstelle der sonst typischen Frage "Make or Buy" stellt sich an dieser Stelle für die Unternehmen die Frage nach dem "Make-self or Reuse". Die IT bietet bereits heute viele wieder verwendbare Techniken, um große Datenmengen schnell und effizient zu bearbeiten. Die eigenständige Entwicklung von Softwaresystemen ist dagegen teuer und aufwändig. Dies gilt insbesondere für den Bereich Business Intelligence (BI). Zu dessen Kernfunktionen gehört es, Daten durch ETL-Tools aufzubereiten, die Informationen in einem Data Warehouse zu speichern und in der Folge zu analysieren sowie die Ergebnisse mit ansprechenden Auswertungen in Form von Grafiken, Pivot-Tabellen oder KPIs zu präsentieren.
Warum sollten diese Techniken nicht auch für die Analyse von Berechtigungen herangezogen werden? Statt Umsatz- oder Marktzahlen werden nun eben Berechtigungsstrukturen analysiert. Für die in den BI-Tools integrierten Methoden und Verfahren macht das keinen Unterschied. Unter dem Einfluss der BI-Werkzeuge entwickelt sich die Access Governance zur Access Intelligence. Dabei werden die technischen Hilfsmittel und Möglichkeiten aus dem Bereich BI mit der Datenbasis der Access Governance verknüpft. Für die Access Governance eröffnet das völlig neue und vor allem sofort nutzbare Möglichkeiten zur Analyse und Aufbereitung der Datenbasis der Berechtigungssysteme.
Trennung in operative und analytische Daten
Von Vorteil ist dabei die Trennung der Datenbasis in einen Anteil für operative Systeme und einen zweiten für die Datenanalyse. Diese Trennung findet sich heute in nahezu allen gängigen BI-Lösungen und hat sich bewährt, da auf diese Weise für eine gesicherte Basis gesorgt wird. Zudem bringen operative und analytische Daten hinsichtlich der Datenaufbereitung unterschiedliche Anforderungen mit sich. Während operative Datenbanken (auch Operational Data Store genannt) normalisierte Datenmodelle benötigen, um die Update-Operationen schnell bedienen zu können, sind analytische Daten redundant organisiert. Sie sind auf schnelle Lese-Operationen von komplexen Strukturen ausgelegt.
Zusätzlich lassen sich durch die Aufteilung die Systeme für das Reporting von den operativen Systemen entkoppeln. Das sorgt für eine bessere Skalierbarkeit und Performance. Ebenso können Anwender auf diesem Weg Sicherheitsaspekte leichter umsetzen.
Eigenentwicklung oder offene Plattform
Foto: Beta Systems
Bei der Auswahl der BI-Plattform stellt sich den Anwenderunternehmen die Frage, selbst eine eigenständige Lösung zu entwickeln oder auf eine offene BI-Infrastruktur auf dem Markt zurückzugreifen. Hier zeigt sich, dass eigenständige Implementierungen meist mit mehr Nachteilen als Vorteilen einhergehen. Diese führen oft zu Silo-Anwendungen. Ferner sind Erweiterungs- und Skalierbarkeitsmöglichkeiten meist begrenzt.
Vieles spricht daher für die Nutzung einer offenen Plattform. Dabei kümmert sich bereits der Anbieter der BI-Tools um genügend Leistung und die Skalierbarkeit der Systeme. Des weiteren sind diese Systeme in der Regel offen für kundenspezifische Erweiterungen. Durch den Ausbau mit weiteren Lösungspaketen entsteht dabei eine unternehmensweite Informationsplattform.
Beta System beispielsweise kooperiert in dieser Hinsicht mit Microsoft und nutzt deren BI-Suite basierend auf dem SQL Server. Durch die Nutzung der vorhandenen BI-Tools lassen sich die Benutzerdaten, deren Rollen und Berechtigungen in ein völlig neues Licht rücken. Dies lässt sich an einem einfachen Datenmodell verdeutlichen:
Foto: Beta Systems
Die Datenaufbereitung in einem Data Warehouse erfolgt primär nach dem Star-Schema. Dabei werden Daten und Metadaten sternförmig angeordnet. Im Mittelpunkt stehen die eigentlichen Fakten zum Beispiel die Gruppenzuweisungen eines Benutzers. Der Benutzer und seine Berechtigungspfade sind an diese Gruppenzuweisung gekoppelt. Weiter außen hängen weitere Attribute wie etwa die Funktion des Benutzers oder seine Lokation (der Beschäftigungsort). Auf Basis dieses sternförmigen Datenmodells lassen sich die Berechtigungsstrukturen so abbilden, dass diese nach verschiedensten Kriterien effizient analysiert werden können.
Das Datenmodell dient nicht nur für die effiziente Auswertung, sondern stellt mit seinen Business-verständlichen Metainformationen auch eine Art "Business Access Semantik Modell" dar. Unterstützt durch die bestehenden Werkzeuge lassen sich Analysen und Auswertungen beschleunigen und vereinfachen. Dabei helfen auch die modernen Bedienlogiken in Windows mit Drag-and-Drop, Drilldown und einem breiten Set an Visualisierungsmöglichkeiten.
Bessere Analysen und Auswertungen
Die bestehenden Analysetools geben Antworten auf typische Fragen in der Berechtigungsverwaltung wie etwa: "Wer hat aktuell welche Berechtigung?" oder "Wie waren dessen Rechte in der Vergangenheit?". Ferner lassen sich darüber hinaus auch weitergehende Analysen nach dem Risiko und der Zertifizierungsvorgänge leichter gewinnen.
Beispielsweise erhalten Anwender Kennzahlen (KPI) über verschiedene Kriterien der Berechtigungsverwaltung. Dies gilt sowohl für die Analysen von Einzelobjekten wie etwa den Anwendern oder Rollen, aber auch den Beziehungen zwischen diesen Objekten. Des weiteren lassen sich Schwellwerte überwachen. Benutzer, die beispielsweise ein erhöhtes Risiko aufweisen, lassen sich sehr einfach auffinden. Und schließlich liefern die vorbereiteten BI-Werkzeuge einen Fundus an Analysen zum Trendverhalten, der Mustererkennung oder anderen komplexeren Auswertungen.
Fazit
Foto: Beta Systems
Das Thema Access-Governance und -Intelligence wird an Bedeutung gewinnen und wesentlich die weitere strategische Ausrichtung im Bereich IdM beeinflussen. Entsprechende Lösungen bieten ein Workflow-basiertes Antrags- und Genehmigungsverfahren, sowie zukünftig eine Business-Intelligence-Infrastruktur für Business-orientierte Auswertungen in Form von Analysen, Reports und Dashboards. Dies alles sorgt für mehr Kontrolle und Transparenz. Die Anbieter bauen dabei auf ihre Kompetenzen beim automatisierten Provisioning (Verteilen von Berechtigungen) und eine breite Unterstützung von Zielsystemen durch Standard-Konnektoren. Durch die Nutzung von bestehenden BI-Systemen lassen sich so die Möglichkeiten des Berechtigungs-Management hin zur Access Intelligence erweitern. (ba)