13. Juli 2015 - Zugangs- und Zugriffskontrolle

Update für das Rollenkonzept

Die Definition von Nutzerberechtigungen ist komplex und aufwändig. Viele Unternehmen nutzen deshalb Rollenkonzepte zur Vereinfachung. Doch ohne regelmäßige Pflege und Kontrolle geht es hier nicht.

Aktuelle Rollenkonzepte sind unentbehrlich Rollenkonzepte sind ohne Pflege nutzlos (Bild: Rawpixel Ltd / iStock / Thinkstock)

Rollenkonzept: Strukturierung der Berechtigungen

Selbst in kleinen Unternehmen mit wenigen Nutzern sind so viele verschiedene Anwendungen und Geräte im Einsatz, dass die damit verbundenen Berechtigungen ausgesprochen komplex sind. Anstatt für jeden Nutzer zu definieren, welche Berechtigungen sie oder er bei einer bestimmten Applikationen oder bei einem speziellen IT-System haben soll, greifen Unternehmen zu Rollenkonzepten.

Die Nutzerrollen entsprechen bestimmten Aufgaben, für die definierte Berechtigungen erforderlich sind. Jeder Nutzer mit der Aufgabe erhält die passende Rolle und damit den entsprechenden Satz an Berechtigungen. Solche Rollenkonzepte bilden die Organisationsstrukturen im Unternehmen, in den Abteilungen, aber auch in Projekten ab. Diese Strukturen sind im Idealfall übersichtlich, was sie aber nicht sind, ist statisch.

Nur aktuelle und transparente Rollen helfen wirklich

Es versteht sich, dass Nutzerrollen nur dann der Zugangs- und Zugriffskontrolle im Datenschutz helfen können, wenn sie tatsächlich dem aktuellen Bedarf an Berechtigungen und den gegenwärtigen Aufgaben und Zuständigkeiten der Nutzer entsprechen. Doch dieser Bedarf und die Aufgaben ändern sich fortlaufend, mit zunehmender Dynamik.

Wie der Branchenverband BITKOM meldete, verändert die Digitalisierung nicht nur Produkte und Geschäftsmodelle, sie führt auch zu tiefgreifenden Veränderungen in der Organisation der Unternehmen in Deutschland. Unter anderem verändern sich die Kommunikation und die Flexibilität in den betrieblichen Abläufen. Dies bedeutet auch, dass sich Rollen und Berechtigungen fortwährend ändern können.

Cloud Computing lässt Zahl der Anwendungen massiv steigen

Neben den sich ändernden Abläufen und Strukturen sind es die Anwendungen und Geräte, die zunehmend Änderungen unterworfen sind. Cloud Computing zum Beispiel beschert Unternehmen eine Vielzahl neuer Anwendungen. Aktuelle Studien zeigen, dass beispielsweise allein das Marketing im Durchschnitt 59 Cloud-Anwendungen einsetzt. Bei dieser Vielfalt reicht oft eine Rolle Marketing-Mitarbeiter nicht, neue und geänderte Rollen werden notwendig.

Änderungen bei Rollen sind riskant, keine Änderungen auch

Wenn Nutzerrollen aufgrund der Einführung neuer Technologien, Anwendungen und Geräte häufig geändert werden müssen, steigt das Risiko für Fehler in der Rollendefinition.

  • Solche Fehler können zum einen die Produktivität belasten, da Nutzer womöglich bestimmte Aufgaben nicht ausführen können.
  • Möglich sind aber auch Gefahren für vertrauliche Daten, für die ungewollt Berechtigungen erteilt werden.

Auf Änderungen im Rollenkonzept zu verzichten, geht aber auch nicht. Unternehmen sollten deshalb prüfen, ob ihr Berechtigungsmanagement, meist Teil der IAM-Lösung (Identity and Access Management), eine Rollenanalyse unterstützt, mitunter auch Role Mining genannt. Eine solche Funktion hilft bei der automatischen Suche nach veralteten Rollen und nach Rollenkonflikten, sie spürt also Widersprüche in den Rollendefinitionen und Rollenzuordnungen auf.

Rollenkonzepte werden sich in Zukunft noch stärker ändern

Datenschutzbeauftragte müssen in Zukunft mit weiteren massiven Änderungen im Rollenkonzept ihres Unternehmens rechnen, was sie bei der Zugangskontrolle und Zugriffskontrolle berücksichtigen sollten:

  • Unter anderem werden Maschinen und Geräte eigene Identitäten und Rollen haben,
  • Rollen werden zwischen Systemen importiert und exportiert werden, und
  • Rollen müssen zunehmend abhängig vom aktuellen Kontext, also der IT-Umgebung, in der sie genutzt werden sollen, definiert werden.

Nutzerrollen und damit Rollenkonzepte werden also risikoabhängig und kontextsensitiv sein. Ein regelmäßiger Blick auf die Rollenkonzepte im Unternehmen tut also Not. Unterstützung dabei bietet die Checkliste:


Download:


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker (Universität Bonn), Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen.


Noch mehr Datenschutz-Checklisten finden Sie unter den Praxishilfen.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln