IdM ist vor allem eine Aufgabe der IT

Nicht selten wird die IT angewiesen, den neuen Mitarbeiter Schulze "mal eben" genauso einzurichten wie den Kollegen Schmidt. Mit dem Ergebnis, dass der Sachbearbeiter Schulze im Bestellsystem plötzlich den gleichen Verfügungsrahmen besitzt wie der Prokurist Schmidt. Auch wenn IdM operativ bei der IT-Abteilung angesiedelt ist, wird an diesem Beispiel deutlich, dass es sich dabei zuallererst um eine Führungsaufgabe handelt. Nur der Einkaufsleiter eines Unternehmens kann die Einkaufsprozesse definieren und entscheiden, welche Rechte die einzelnen Mitarbeiter seiner Abteilung demgemäß besitzen sollen beziehungsweise welche Rollen für den Einkauf eingerichtet werden müssen. Die einmal definierten Policies sowie die für die verschiedenen Abteilungen und Hierarchieebenen festgelegten Rollen und Berechtigungen werden im IdM-Tool hinterlegt. Über ein Provisioning-Werkzeug lassen sie sich nach Benutzer und für alle angeschlossenen Systeme verwalten. Auf diese Weise kann unter anderem auch die Segregation of Duty, wie sie etwa Sarbanes-Oxley fordert, definiert und eingehalten werden: Die Verantwortung für die Datennutzung liegt bei der Fachabteilung, die IT setzt die entsprechenden Anforderungen lediglich um.

Schon mit dem Einsatz eines IdM-Tools lässt sich Compliance gewährleisten

Compliance-Anforderungen, wie sie spätestens seit Basel II und den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) als Schreckgespenster in den Köpfen vieler Firmenlenker herumspuken, lassen sich mittels IdM leichter erfüllen. Doch der Einsatz eines IdM-Tools allein ist noch kein Garant für Compliance. Erst die Verbindung mit geeigneten organisatorischen Maßnahmen führt hier zum Ziel: Ein Audit-Tool etwa dokumentiert alle Vorgänge innerhalb des IdM-Systems und hilft so, Verstöße gegen firmeninterne Zugriffsrichtlinien oder rechtliche beziehungsweise gesetzliche Vorgaben aufzudecken. Dabei wird gespeichert, wer zu welchem Zeitpunkt worauf Zugriff hat und wer den Zugriff gewährt hat. Damit ist die geforderte Transparenz gewährleistet. Das ist allerdings nur der erste Schritt. Entscheidend ist, auf dieser Basis zu reagieren und künftige Verstöße auszuschließen. Als ein wichtiges Instrumentarium hierfür fungiert der Soll-Ist-Abgleich, der entsprechend automatisiert werden muss: Dazu gilt es, den Soll-Zustand zu definieren - was zunächst wieder eine organisatorische Aufgabe ist - und ihn dann im System zu hinterlegen. Bei Abweichungen schlägt das Tool automatisch Alarm, so dass entsprechende Gegenmaßnahmen getroffen werden können.