Identity and Access Management

Sind Ihre Zugangsberechtigungen noch relevant?

23.06.2021
Von 
Peter Schneider arbeitet als Senior Produkt Manager bei der Qt Company, dem Hersteller der Qt Software Development Platform. In seiner Karriere hat er in verschiedenen Produktmanagementpositionen bei Efecte, Nokia und Siemens zahlreiche Projekte im Bereich Applikationsentwickung und Enterprise Service Management erfolgreich umgesetzt.
Sind die oft in Eile vergebenen Berechtigungen auch nach der Pandemie noch relevant? Um sich eine Übersicht zu verschaffen, sollten Organisationen über ein zentrales Identity and Access Management (IAM) nachdenken und die bestehenden Prozesse auf den Prüfstand stellen.
Veraltete IT-Zugangsberechtigungen können ein Einfallstor für Cyber-Angriffe sein.
Veraltete IT-Zugangsberechtigungen können ein Einfallstor für Cyber-Angriffe sein.
Foto: Evgrafova Svetlana - shutterstock.com

Zu Beginn der Pandemie behalf man sich mit Workarounds, und auch heute sind noch längst nicht alle Organisationen auf echtes Home-Office umgestellt. Da auch künftig deutlich mehr Menschen als zuvor mobil oder von zuhause aus arbeiten werden, müssen Organisationen einen stets aktuellen Überblick über erteilte Zugriffsrechte haben - und von wo aus Mitarbeiter auf sensible Daten zugreifen können. Durch den weitgehend digitalen Austausch nehmen sowohl die Datenmengen als auch Informationsflüsse kontinuierlich zu. Hinzu kommt, dass Mitarbeiter mitunter auch Endgeräte einsetzen, die nicht von der IT-Abteilung administriert werden und dennoch Zugriff auf dienstliche Ressourcen erhalten sollen.

Diese Situation bringt neue Risiken und Anforderungen für das IT-Management mit sich: Einerseits müssen sie Zugang, Sicherheit und Performance gewährleisten. Zudem sieht sich der Support mit einer deutlich gestiegenen Anzahl von Anfragen konfrontiert, die er mit gleichen Ressourcen lösen und beantworten muss. Identity and Access Management (IAM) kann helfen, diese Herausforderungen zu lösen.

Identitäts- und Zugriffsmanagement: Herausforderungen

Für das Nutzermanagement wird üblicherweise ein Verzeichnisdienst wie beispielsweise Microsoft Active Directory eingesetzt. Zur Nutzung von Business-Anwendungen, Kommunikationslösungen und Speicher-Ressourcen sind anwendungsspezifische Accounts erforderlich. Je nach Organisation müssen diese im Rahmen von Service Requests beantragt, geprüft, genehmigt und durch die IT angelegt werden. In vielen Organisationen sind IT-Infrastrukturen und Anwendungslandschaften im Laufe der Jahre sehr komplex geworden und lassen sich nicht zentral administrieren.

Dies hat zur Folge, dass mehrere Administratoren notwendig sind und nicht auf den ersten Blick erkennbar ist, auf welche Anwendungen Mitarbeiter und externe Nutzer Zugriff haben. Außerdem kann von der IT in der Regel nicht geprüft werden, ob Mitarbeiter oder Partner noch für das Unternehmen tätig sind und in welcher Rolle. Der Grund: Die Informationen liegen auf der Business-Seite - meist im Personalmanagement. Dieser Geschäftsbereich hat jedoch weder die technischen Anforderungen noch daraus resultierende Sicherheits- und Compliance-Risiken vollumfänglich im Blick. Dies hat zur Folge, dass verwaiste Accounts und die zugehörigen Berechtigungen oft auch nach Weggang von Mitarbeitern weiter existieren - und damit ungewünschte Einfallstore für Datendiebstahl bilden.

Identity and Access Management: Wie IAM Unternehmen unterstützt

Identity and Access Management ist ein Lösungsansatz, mit dem Organisationen digitale Identitäten und Zugriffsrechte zentral verwalten können. Das Besondere: Im Unterschied zum traditionellen Onboarding-Prozess lässt die Bereitstellung an die HR-Abteilungen oder Manager delegieren. Kommen neue Mitarbeiter ins Unternehmen, muss die Erstellung der benötigten Accounts nur angestoßen und genehmigt werden – die technische Umsetzung läuft automatisch. Gleiches gilt, wenn Mitarbeiter in andere Verantwortungsbereiche wechseln oder die Organisation verlassen (Offboarding).

Mit IAM können Unternehmen schnell auf veränderte Anforderungen reagieren und zugleich Sicherheits- und Compliance-Risiken vermeiden. Aufgrund der teils hohen Komplexität der bestehenden IT-Landschaften handelt es sich bei IAM meist um Lösungspakete oder Plattformen, die über Schnittstellen (API) mit den benötigten Business-Anwendungen integriert sind und die alle notwendigen Prozesse und Genehmigungsworkflows zentral abbilden. Das ist zugleich eine der größten Herausforderungen: Eine IAM-Lösung muss sich in bestehende IT-Landschaften und Cloud-Dienste integrieren und mit wechselnden Anforderungen der jeweiligen Organisation schritthalten können.

Kontaktlose Vergabe von Zugangsberechtigungen für neue Mitarbeiter: Neue Mitarbeiter sollten während einer Pandemie so kontaktlos wie möglich in die Organisation integriert werden. Dafür muss es möglich sein, Benutzerprofile über persönliche Endgeräte zu aktivieren. Ein modernes IAM-System muss daher in der Lage sein, mit Hilfe von SMS-Nachrichten, privaten E-Mail-Konten oder Sicherheitsfragen ein Benutzerkonto vom Home-Office aus zu erstellen – ein Besuch am neuen Arbeitsplatz sollte dazu nicht mehr zwingend notwendig sein.

Re-Zertifizierung von Zugangsberechtigungen: Sobald die Corona-bedingten Einschränkungen wieder entfallen können, wird ein Teil der Mitarbeiter an ihren klassischen Arbeitsplatz zurückkehren. Organisationen sollten spätestens zu diesem Zeitpunkt in der Lage sein, eine automatische Prüfung der bestehenden Zugangsberechtigungen anzustoßen. Außerdem ist zu prüfen, ob die zu Pandemiebeginn oft sehr schnell vergebenen Zugangsberechtigungen noch gültig und notwendig sind und welche zu limitieren oder entziehen sind. Moderne IAM-Systeme sollten Organisationen bei dieser Re-Zertifizierung unterstützen. Zudem sollten sie Manager mit Personalverantwortung mindestens einmal pro Jahr an eine Bestätigung von Zugriffsberechtigungen erinnern. Re-Zertifizierung ist zudem eine Möglichkeit, die DSGVO-Prämisse „so wenig Zugang wie nötig“ zu erfüllen.

Befristete Zugangsberechtigungen: Wenn sich Arbeitsumgebungen und -bedingungen einer Mitarbeiterrolle ändern, wie zum Beispiel durch COVID-19, kommt es oft zu Änderungen von Zugangsberechtigungen. Diese müssen jedoch nicht immer dauerhaft gelten. Ein IAM-System sollte deshalb in der Lage sein, befristete Zugangsberechtigungen zu erteilen. Deren automatische Erneuerung in periodischen Zyklen mit digitaler Überprüfung des Mitarbeiterverhältnisses kann Organisationen zusätzlich unterstützen.

IAM-Systeme: Aufbau in 5 Schritten

Die Corona-Pandemie führt Organisationen sehr deutlich vor Augen, dass sie sich schnell auf neue und unerwartete Anforderungen einstellen müssen. Gute Beispiele sind kontaktloses Onboarding neuer Mitarbeiter, die digitale Zusammenarbeit und die spontane Bereitstellung von Home-Office-Arbeitsplätzen. Sie sollten die aktuelle Situation deshalb zum Anlass nehmen, nicht nur Digitalisierungsprojekte in einzelnen Fachbereichen voranzubringen, sondern auch die Prozesse zur Verwaltung digitaler Identitäten und die Berechtigungen professioneller und flexibler zu gestalten. Sie müssen dabei keineswegs ihre komplette IT umstellen, sondern sollten mit kleinen Schritten starten.

Um das Management digitaler Identitäten und Zugriffsberechtigungen zu zentralisieren, muss nicht zwingend ein IT-Großprojekt initiiert werden. Organisationen sollten sich jedoch Klarheit über ihren aktuellen Ist-Zustand sowie künftige Anforderungen und Prozesse verschaffen - und sich erst dann für eine Lösung entscheiden.

1. Identifikation eines zentralen, digitalen Master Data Management Systems

Es sollte zunächst festgelegt werden, welche Lösung die Stammdaten für die Erstellung digitaler Identitäten liefern soll. In der Praxis ist dies meist eine Lösung für das Personalmanagement oder ein Active Directory. Die darin enthaltenen Informationen werden später zur Erstellung von Logins verwendet.

2. Definition, welche Anwendungen digital oder händisch anzubinden sind

Viele Business-Anwendungen verfügen bereits über Schnittstellen, um Daten mit anderen Lösungen auszutauschen und ermöglichen die Authentifizierung von Benutzern über Drittanwendungen - zum Beispiel via OAuth oder OpenID Connect. Da vielerorts noch Legacy-Systeme im Einsatz sind, müssen diese identifiziert und in die IAM-Lösung integriert werden. Zwar sind die Identitäten und Zugangsberechtigungen durch einen Administrator zu vergeben, doch Genehmigungsprozesse und Aktualisierungen können mit IAM effizienter gemanaged werden. Außerdem ist zu entscheiden, ob neue Mitarbeiter tatsächlich Zugang brauchen oder in Kürze sowieso eine digital integrierbare Neuanschaffung geplant ist.

3. Rollen, Ressourcen und Berechtigungsebenen festlegen

Anschließend sollten Organisationen typische Rollen (zum Beispiel Manager, Team Lead, Experte), Ressourcen (Anwendungen, Software, Onlinedienst, Hardware) und Berechtigungsebenen (welche Rollen zu welchen Diensten Zugang brauchen) definieren. Gerade wenn Organisationen wachsen oder mit veränderten Marktbedingungen oder Krisensituationen umgehen müssen, ist dieser Punkt von entscheidender Bedeutung.

4. Verantwortlichkeiten und Freigabeprozesse definieren

Organisationen sollten möglichst exakt festlegen, wer künftig die zentrale Erstellung digitaler Identitäten anstoßen soll, Freigaben erteilt sowie Benachrichtigungen über veränderte Jobrollen oder die Beendigung von Arbeitsverhältnissen erhält. Dies sind in der Regel Management-Rollen wie HR-Manager, IAM-System-Manager oder Team-Manager. Gerade Unternehmen, die eine Bereitstellung von Accounts und Ressourcen bisher eher "Hands-on" handhaben, sollten bereits vor der Implementierung einer IAM-Lösung Verantwortlichkeiten definieren und einen möglichst klaren Freigabeprozess definieren.

5. Anforderungskatalog erstellen und gründlich evaluieren

Aus den oben genannten Erkenntnissen sollten Verantwortliche von IT- und Fachabteilungen einen gemeinsamen Anforderungskatalog erstellen. Dieser sollte neben organisatorisch-technischen Parametern auch Anforderungen berücksichtigen, die durch Change-Prozesse, eine Modernisierung der IT-Systeme sowie eine Neuausrichtung des Service-Portfolios entstehen. Ist dies geschehen, steht einer Marktrecherche mit anschließender Evaluierung nichts mehr im Wege. TIPP: Verantwortliche sollten darauf achten, dass die Lösung ihrer Wahl nicht nur gut funktioniert, sondern leicht bedienbar ist und von Mitarbeitern auch akzeptiert wird. (bw)