Identitätsmanagement – Rechte vergeben mit System

Die IT-Durchdringung nahezu aller administrativen Prozesse in Wirtschaft und Verwaltung bedingt heute eine Vielzahl einzelner Systeme, die mehr oder weniger verbunden sind.

Sie machen es erforderlich, die Zugangsberechtigungen so zu verwalten, dass sie auch wirklich mit den Aufgaben der Beschäftigten korrespondieren.

Sind die Prozesse der Berechtigungsvergabe nicht eindeutig und klar festgelegt (und werden sie nicht so gelebt), kann dies schnell zu einer Gesamtsituation führen, die die eingangs erwähnten Phänomene erzeugt.

Wie lassen sich solche Situationen vermeiden, entsprechende Prozesse etablieren und (möglichst) diszipliniert leben? Mit System!

An dieser Stelle bietet es sich an, ein Identitätsmanagement-System (IDMS) einzuführen. Es muss die Berechtigungen ganzheitlich mit Blick auf die Aufgaben, die die einzelnen Stellen zu erledigen haben, verwalten. Es geht dabei nicht darum, einzelne Personen zu identifizieren.

Gute Argumente für ein IDMS

Ein solches System schafft nicht nur Ordnung in der eigenen IT-Administration. Es setzt auch auf elegante und strukturierte Weise die Vorgaben des neuen Datenschutzrechts um.

Denn die Verarbeitungsgrundsätze nach Art. 5 Datenschutz-Grundverordnung (DSGVO), die Pflichten des Verantwortlichen nach Art. 24, der Grundsatz der datenschutzfreundlichen Technikgestaltung nach Art. 25 und die Berücksichtigung der technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO setzen voraus, dass nur Berechtigte Zugriff auf personenbezogene Daten haben.

Hier ist der Verantwortliche nach Art. 24 DSGVO auch nachweispflichtig!

WICHTIG: Das mitunter etwas stiefmütterlich behandelte Thema des Berechtigungswesens ist aufgrund der möglichen verheerenden Auswirkungen auch in den Fokus des Risikomanagements geraten.

Interne oder externe (Wirtschafts-)Prüfer prüfen heute u.a., wie eine Organisation ihre Berechtigungen verwaltet. Das geht so weit, dass sie schon die Auftragserteilung unter die Lupe nehmen, alle am Genehmigungsprozess Beteiligten, die Berechtigungsdauer und den Berechtigungsumfang.

Für die Banken- und Versicherungswelt gibt es schon einige Zeit „aufsichtliche Anforderungen an die IT“ (BAIT und VAIT), die die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) erlassen hat. Hier findet das Thema „Berechtigungswesen“ gleichfalls seinen Niederschlag.

Die Vorbereitungen

Ein IDMS steuert nicht selbst Berechtigungen oder greift in die Anwendungen, die zu berechtigen sind, ein.

Es übernimmt vielmehr die Arbeit des Administrators: Das heißt, es beauftragt die eigentlichen Berechtigungsmodule der jeweiligen Anwendungen, Rechte für die Mitarbeitenden einzurichten.

Anwendungen und Schnittstellen erfassen

Dafür muss das IDMS mit den Anwendungen bzw. ihren Berechtigungsmodulen kommunizieren können.

Zu diesem Zweck bieten viele Lösungen fertige Schnittstellen (wie z.B. zur ADS als zentralem Dienst oder zur SAP-Benutzerverwaltung). Fehlen einige Schnittstellen, sind sie ggf. erst zu erstellen.

Rollenkonzept erstellen

Soll möglichst viel automatisiert ablaufen, ist es sinnvoll, dem IDMS nicht für jeden Auftrag, also für jeden Mitarbeitenden, einzeln eine Liste der gewünschten Berechtigungen mitzugeben.

Daher muss ein funktionsbezogenes Rollenkonzept her. Was heißt das genau?

Idealerweise lassen sich alle Mitarbeitenden der Organisation in ein solches Rollenkonzept zwängen, das den Bereich, die Funktion und ggf. den Status umfasst.

Damit lassen sich Rollencluster anlegen, die bei einem Sachbearbeiter z.B. zunächst alle Basis-Rollen einschließen (ADS, Exchange, Office-Anwendungen, Zeiterfassung, NAS-Zugriff, Zutrittskontrolle usw.), dann alle Rollen aus dem Fachsystem und alle Rollen aus den Umsystemen wie Archiv, In- und Exkasso-Lösung, Geschäftspartner-/CRM-Lösung usw.

So entsteht ein Mustersachbearbeiter für eine bestimmte Organisationseinheit eines bestimmten Fachbereichs.

Beispielhafter Auszug aus einem
funktionsbezogenen Rollenkonzept

Der Mustersachbearbeiter

Dieser Mustersachbearbeiter wird nun im IDMS gespeichert und lässt sich beliebigen Personen mittels Klonen zuordnen.

Das IDMS „beauftragt“ dann die eigentlich zuständigen Anwendungen, die zum Muster passenden Rollen und Rechte für eine Person einzurichten.

Der wesentliche Vorteil dieser Vorgehensweise ist, dass bei entsprechender Pflege und Disziplin feststeht, welche Berechtigungen im Rahmen der Mitarbeiterfluktuation jeweils zu vergeben oder zu entziehen sind.

Schluss mit „so wie immer“!

Auch an dieser Stelle wird der Gewaltenteilung Genüge getan: Der Fachbereich oder Herr der Daten als Auftraggeber kann aus dem Katalog bestehender Rollen und Rechte auswählen und beauftragen.

Anweisungen z.B. bei neuen Mitarbeitenden wie „so wie immer“ oder „genau wie Kollege XYZ“ mit der Gefahr, auch weitere, nicht gewünschte Rechte einzuräumen, gehören damit der Vergangenheit an.

Diese Vorgehensweise allein birgt schon erhebliche Vereinfachungspotenziale in der Berechtigungsverwaltung.

Ändern sich die erforderlichen Berechtigungen, reicht es, sie bei der Muster-Rolle zu ändern. Automatisch werden sie dann allen Mitarbeitenden vererbt, denen diese Rolle zugewiesen wurde.

Zwischenstand Vorarbeiten

Damit werden nun schon zwei wesentliche Vorarbeiten deutlich, die maßgeblich zum Einführungskonzept eines Identitätsmanagement-Systems dazugehören:

• Zum einen ist eine Übersicht nötig mit allen Anwendungen innerhalb der Organisation (ggf. auch außerhalb der Organisation, z.B. über Web-Zugriffe), die über ein Berechtigungsmodul verfügen. Dann sind die möglichen Schnittstellen für die einzelnen Module zu ermitteln. Ziel muss sein, dass sich möglichst alle vorhandenen Anwendungen über das IDMS verwalten lassen. Diese Übersicht schafft nicht nur Klarheit und Vollständigkeit für die Organisation selbst. Sie dient auch als vergaberechtliche Basis: Welche Schnittstellen sind bereits verfügbar, welche muss der Lösungsanbieter erst erstellen?
• Zum anderen braucht die Organisation ein funktionsbezogenes Rollenkonzept. Einzel-Rechte zuzuteilen, muss am Ende die absolute Ausnahme bleiben. Das ist sicherlich eine Fleißarbeit, aber lösbar.

Erst wenn diese beiden Voraussetzungen erfüllt sind, lässt sich abgleichen, welches der am Markt angebotenen Identitätsmanagement-Systeme für die vorhandene Organisation infrage kommt.

Beispielhaftes Muster für eine Systemübersicht im
Vorfeld

Auch das noch …

Neben den sorgfältigen Vorarbeiten ist allerdings eine ganze Reihe weiterer Eigenschaften und Funktionen der Systeme wichtig, um die eingangs angesprochenen Zustände zu vermeiden, dass jeder alles darf. Eine Übersicht zeigt die Tabelle:

Anforderungen an eine Identitätsmanagement-Lösung

Jetzt aber …

Ganzheitlich betrachtet ist ein Identitätsmanagement-System, das weitestgehend den genannten Anforderungen entspricht, fast schon wie eine eierlegende Wollmilchsau.

Anforderungen aus Praxis und Betrieb – man denke nur an große, diversifizierte Unternehmen / Organisationen –, aus der Prüfung (Ordnungsmäßigkeit und datenschutzrechtliche Konformität) sowie operativer Nutzen rechtfertigen die Einführungskosten, die im Vergleich zu den Entstehungskosten mancher Fachlösung eher niedrig sind.

Sicherlich ist aber einige Vor- und Fleißarbeit notwendig, um einen Stand zu erzielen, der der angestrebten finalen Lösung entspricht.

Diese Lösung ist diszipliniert und zielstrebig zu verfolgen, damit sich der Nutzen des Identitätsmanagement-Systems auch in jeder Hinsicht entfalten kann.