Identity Management erfüllt Compliance Anforderungen mit erhöhter Produktivität

Identity ManagementDer Begriff Identity Management (Synonym: Identity and Access Management) beschreibt die Verwaltung von digitalen Identitäten und deren Rechten in einem Unternehmen. Es steuert somit, dass die richtigen Personen auf die korrekten Daten zum richtigen Zeitpunkt zugreifen können.

Die Einführung eines Identity Management Systems befähigt Unternehmen nicht nur, gesetzliche Anforderungen transparent zu erfüllen, sondern auch ihre Effizienz im Hinblick auf Berechtigungsprozesse zu steigern.

„Wer hatte zu einem bestimmten Zeitpunkt Zugriff auf ein Laufwerk?“ oder „Welche Berechtigungen benötigt der neue Kollege in der Buchhaltung?“ - Wenn Sie solche Fragen nur durch eine aufwändige Recherche der IT Abteilung beantworten können, sollten Sie sich mit dem Thema Identity and Access Management (IAM) beschäftigen.

Unternehmen setzen eine Vielzahl von Applikationen zur Umsetzung von Geschäftsprozessen ein. Zentrale Verzeichnisse wie Microsoft Active Directory steuern den Zugriff auf einen Unternehmensrechner, Laufwerke oder Client Applikationen. Umfangreichere Applikationen hingegen verfügen in der Regel über eine eigene Berechtigungsverwaltung. In kleinen Unternehmen mag die Anzahl dieser Applikationen gering sein, aber für komplexere Betriebe entstehen eine immense Anzahl von Berechtigungsprozessen mit der sich nicht nur die IT Abteilungen sondern auch die fachlichen Bereiche auseinandersetzen müssen.

So können schnell einige Tage vergehen bis klar ist, welche Berechtigungen für einen neuen Mitarbeiter beauftragt und eingerichtet sind.

Identity Management bringt nicht nur Transparenz in diese Prozesse sondern führt mit der Anbindung relevanter Applikationen zu einer signifikanten Effizienzsteigerung.

Optimierung von Berechtigungsprozessen

Identity ManagementGenerische Workflows lassen sich nutzen, um z.B. Freigaben durch den jeweiligen Vorgesetzten, den fachlich Verantwortlichen der Applikation oder eine zentrale Abteilung (bspw. Human Resources) zu erhalten. So können Berechtigungen automatisiert vergeben und Durchlaufzeiten deutlich reduziert werden.

Self-Service Portale ermöglichen es Anwendern, direkt Berechtigungen anzufordern oder ein neues Passwort zu beantragen. Auf diese Art lassen sich auch Rezertifizierungsprozesse relevanter Berechtigungen etablieren und Durchlaufzeiten und somit Kosten signifikant reduzieren.

Digitalen Identitäten und Rollen

Identity ManagementDigitale Identitäten bilden die Basis für das Identity Management. Diese werden in der Regel anhand von Daten der Personalverwaltung erzeugt und bilden alle Berechtigungen des Anwenders ab.

Für Mitarbeitergruppen lassen sich notwendige Berechtigungen zu Rollen zusammenfassen. Als führendes System für die Vergabe der Basis Zugriffsrechte kann z.B. das HR System eingesetzt werden. Je nach Ausprägung der Implementierung können so regional-abhängige Laufwerksberechtigungen oder fachlich bedingte Applikationsberechtigungen automatisiert zugeordnet werden.

Über Regeln werden Beziehungen zwischen Rollen sowie Abhängigkeiten und Ausschlusskriterien definiert und bei der Provisionierung berücksichtigt. Auch übergreifende Rollen, die weitere Rollen beinhalten, sind möglich.

Erweiterte Use-Cases

Mit einem zentralen Identity Management System ergeben sich Möglichkeiten, die mit herkömmlichen User-Administrations-prozessen nur schwer erreichbar sind. Beispiele hierfür sind:

  • Automatisiertes Onboarding von Mitarbeitern (intern / extern)
  • Reduktion / Sperrung von Berechtigungen im Falle von Abwesenheiten
  • Verhinderung von „verwaisten“ Accounts / Berechtigungen
  • Effizientes wechseln von Mitarbeitern in andere Aufgabengebiete
  • Zentrales Reporting über Berechtigungsstrukturen

Identity ManagementKonsistente Haltung / Steuerung aller Berechtigungen

Die Vergabe von Berechtigungen (und jede weitere Änderung) werden lückenlos in dem Identity Management System revisisionssicher in zentralen Datenbanken dokumentiert. Zu den Informationen gehören:

  • Für wen wurde welche Berechtigung beantragt?
  • Von wem wurde eine Berechtigung beantragt?
  • Wer hat die Berechtigung ggfs. freigegeben?
  • Wann wurde die Berechtigung eingerichtet / entzogen?
  • In welchem Zeitraum hatte ein Anwender eine bestimmte Berechtigung?

Security / Compliance

Zu jeder „digitalen“ Identität ist somit klar, welche Berechtigungen zu welchem Zeitpunkt bestanden haben und wieso diese eingerichtet wurden. Ebenfalls lassen sich Regeln implementieren, die die Vergabe unerlaubter Berechtigungskombinationen ausschließen (z.B. Rechnungsprüfung und Zahlungsfreigabe).

Nicht nur das Unternehmen reduziert so das Risiko von unternehmensinternem Missbrauch sondern es werden auch die IT Bereiche (nicht zuletzt Administratoren) durch die lückenlose Nachweisbarkeit von Berechtigungsprozessen vor falschen Anschuldigungen geschützt.

Insbesondere für regulierte Unternehmen wie Versicherungen, Telekommunikationsanbieter und Banken ist dies mehr als hilfreich und dienst der effizienteren Umsetzung von gesetzlichen Auflagen. Dabei können nationale Besonderheiten zentral über Regeln verwaltet und global angewandt werden.

Regularien

Identity ManagementZahlreiche Richtlinien betreffen den Umgang mit sensiblen Unternehmens - / Kundendaten. Zu den wichtigsten in Deutschland geltenden Richtlinien / Rahmenwerken gehören:

  • Sarbanes-Oxley Act
  • Euro-SOX
  • Basel II / III ...
  • BDSG (Bundesdatenschutzgesetz)
  • KWG (Kreditwesengesetz)
  • BSI (Bundesamt für Sicherheit in der Informationstechnik) – Grundschutzkatalog

 

Fazit - Identity Management Projekte sind keine reinen IT-Vorhaben

Die Einführung eines Identity Management Systems erfordert die Einbindung verschiedener Unternehmensbereiche. Je nach Zielsetzung der Durchdringung geht dies von der HR-Abteilung (als zentrale Trigger für alle primären Berechtigungsprozesse) bis hin zum Facility Management für die Gestaltung der Vergabeprozesse von Zutrittsrechten.

In Zeiten hohen Wettbewerksdrucks ist es immens wichtig die Treiber für ein Identity Management Projekt zu identifizieren:

  • Risk Management
    • Security: Liegt die Priorität auf der Identifizierung von nicht benötigten / erlaubten Berechtigungen / Accounts?
    • Compliance / Audit: Gibt es neue Anforderungen seitens Compliance bzw. gibt es ein Finding, das mit dem Identity Management System zukünftig gelöst werden könnte?
  • Kostenoptimierung / effizientere Berechtigungsprozesse
    • Liegt der Fokus auf der Reduktion der Benutzer-Admini-strationskosten oder der Verkürzung der On-/bzw. Offboarding Dauer?

Ansprechpartner: Atanur Öztürk; Turn on Javascript!