Was ist zu beachten

1. Rollenmanagement als strategische Aufgabe

Rollen bilden die Schnittstelle zwischen dem eigentlichen Business, das heißt den Geschäftsprozessen und der IT eines Unternehmens. Das Rollenmanagement ist deshalb eine wichtige Organisationsaufgabe und sollte entsprechend etabliert werden. Die Geschäftsprozess-Verantwortlichen müssen entscheiden, welche Rechte die Rollen beinhalten und welchen Personen diese Rollen zugewiesen werden. Wichtig ist, dass die Zahl der Rollen überschaubar bleibt und ihre Definitionen verständlich und nachvollziehbar sind.

2. Aufräumen durch Data Cleansing

Wie bei jedem Neuanfang, so sollte auch die Einrichtung einer rollenbasierten Rechteverwaltung zunächst mit einem grundlegenden Aufräumen beginnen. Dieser „Cleansing“ genannte Vorgang schafft die Voraussetzung für ein künftig sauberes Rollenmanagement und besteht aus einer Bereinigung von Informationen. Je nach Stellenbeschreibung oder Arbeitsplatzprofil arbeiten die Beschäftigten eines Unternehmens mit unterschiedlichen IT-Ressourcen. Daten und Anwendungen werden auf vielfache Weise kombiniert und von Menschen innerhalb und außerhalb einer Organisation genutzt. Role-Mining-Tools ordnen die einzelnen Accounts den konkreten Benutzern zu, um so die Frage zu beantworten, welche Berechtigungen ein Benutzer im Unternehmensnetzwerk hat. Blinde Flecken und „Karteileichen“, das heißt verwaiste Benutzerkonten oder Berechtigungen, zeigt dann ein gesonderter Bericht schnell auf. Abgesehen von den Sicherheitsrisiken kosten nicht benötigte Anwendungs-Lizenzen auch viel Geld.

3. Erhöhung der Automatisierung

Bei der anschließenden Analyse werden auf der Ebene der bestehenden Prozesse und ihrer Organisation die aktuell gültigen Zugriffsberechtigungen in Abhängigkeit zueinander gesetzt. Auf Basis der ermittelten Informationen lassen sich sowohl übergeordnete Business-Rollen als auch Systemrollen mit unterschiedlichen Detailberechtigungen erkennen. Role-Mining-Software unterstützt bei der Definition und fortlaufenden Optimierung der Berechtigungsrollen. Übergeordnetes Ziel der IT-Abteilung und der Geschäftsführung sollte es sein, durch die Berechtigungsbündel, also Rollen, den Administrationsaufwand deutlich zu reduzieren und Automatisierungsprozesse zu unterstützen. Die Erfahrung zeigt, dass Unternehmen durch das rollenbasierte Administrieren von Berechtigungen einen Automatisierungsgrad von mehr als 90 Prozent erreichen können und damit sehr hohe Kosteneinsparungen erzielen.

4. Mix aus Top-Down und Bottom-Up

Wichtige Voraussetzung für die standardisierte Modellierung von Rollen ist sowohl eine Top-Down-Modellierung als auch eine Analyse der vorhandenen Berechtigungsstrukturen (Role Mining, Bottom-Up). Organisatorische Rollen entstehen nach dem Top-Down-Prinzip, das heißt sie sind vom Aufbau der Organisation und von den Funktionen oder Positionen der Mitarbeiter geprägt. Mit dem Bottom-Up-Ansatz werden dann die vorhandenen Berechtigungen auf den Zielsystemen auf Gemeinsamkeiten und Standards analysiert und den Rollen zugeordnet.

Mit ihrer Analyse bestehender Benutzerberechtigungen unterstützt die Role-Mining-Software die Bottom-Up-Entwicklung von Rollenmodellen und analysiert den tatsächlichen Status der Berechtigungen in Systemen. Erst eine Soll-Ist-Analyse deckt Abweichungen vom Soll in existierenden Rollenvergaben auf. Die Datenqualität der Identitätsdaten wird somit deutlich verbessert.

5. Anwendung von diversen Analyse-Szenarien

Mit Hilfe eines Role-Mining-Werkzeugs können unterschiedliche Analyse-Szenarien im Rollenfindungsprozess durchgespielt werden. Die Tools bieten hierfür eine Vielzahl einstellbarer Parameter. Beim Role Engineering werden die Rollen nach Abstimmung mit den fachlichen Anforderungen auf Basis der automatisch erstellten Analyseergebnisse definiert. Dabei muss geprüft werden, ob und für welche Anwendungsfälle sich statische und wann sich dynamische Rollen besser eignen. Statische Rollen sind allgemeine Rollen, die z. B. an eine Organisationseinheit gebunden sind und für alle Mietglieder dieser Organisationseinheit relevant sind. Die statischen Rollen haben typischerweise eine geringere Risikobewertung und können durch automatische Vergabeprozesse (Provisioning) vergeben werden. Dynamische Rollen sind dagegen optionale Rollen, die einem Mitarbeiter nur auf Antrag zugewiesen werden können. Da hier aufgrund eines Antrags- und Genehmigungsverfahren (Workflow) eine zusätzliche Kontrolle besteht, werden diese Rollen auch häufig für die Zuteilung von kritischen Berechtigungen verwendet.

Die effiziente Erstellung und Implementierung der gewünschten Rollen ergibt sich in der Regel im Rahmen eines iterativen Vorgehens.

Neben der Analyse und Definition von Rollen im Role Mining und ihrer Nachbearbeitung durch Role Engineering ist stellenweise durchaus auch eine manuelle Definition von Rollen nötig oder angebracht. So wird das Rollenmodell Schritt für Schritt und unter Berücksichtigung aller bestehenden organisatorischen Vorgaben für die Zugriffsberechtigungen optimiert.

6. Management von Rollen über deren gesamten Lebenszyklus hinweg

Mit der einmaligen Rollendefinition ist es nicht getan: Permanente Änderungsprozesse (Role-Life-Cycle) erfordern es, die Rollen und das übergeordnete Rollenmodell einfach und rasch an neue Stellencharakteristika oder IT-Anwendungen anzupassen. Die gewählte Role-Mining-Software sollte daher ein effizientes Role-Life-Cycle-Management unterstützen – unter Berücksichtigung der Einhaltung und Kontrolle unternehmensweiter und gesetzlicher Vorgaben (Security Policies) bei der Vergabe von Zugriffsberechtigungen.

7. Hohe Integrationsfähigkeit

Die Software sollte vollständig in die im Unternehmen ggf. bereits vorhandene Identity und Access-Management-Software integrierbar sein. So sind automatisierter Import, eine schnelle und kosteneffiziente Rollenoptimierung bzw. -umsetzung sowie die Implementierung eines ganzheitlichen und intelligenten User-Role-Life-Cycle-Management-Konzepts garantiert. Auch sollte auf Plattformunabhängigkeit der Software geachtet werden, die auf Basis der importierten Daten (HR-Daten und bestehende Berechtigungsinformationen) Rollen vorschlägt und optimiert. Ebenso bedeutend sind Import- und Export-Schnittstellen für die Übergabe der Informationen mittels definierter Dateiformate (CSV- oder XML-Format). Wichtig ist zudem, dass das gewählte Produkt auf dem RBAC-Standard des National Institute of Standards and Technology basiert. (ph)