"Ich brauche die gleichen Zugriffsrechte wie mein Kollege" – so oder so ähnlich lautet die typische Anfrage in einem Change-Request, mit dem Zugriffsberechtigungen auf Ressourcen angefordert werden. Daraus ergibt sich normalerweise ein zeitaufwändiger Prozess: Der zuständige Administrator prüft zunächst, welche Rechte der angesprochene Kollege hat. Er versucht dann aufgrund der Gruppenzugehörigkeiten und anderer Objekt-Eigenschaften des Referenzkollegen herauszufinden, welche Rechte der anfragende Mitarbeiter haben darf. Denn schließlich sollte jeder Mitarbeiter nur die notwendigen minimalen Berechtigungen erhalten, um Sicherheits- und Compliance-Regeln einzuhalten. Der Administrator muss demnach Trustee-Eigenschaften analysieren und Access-Control-Listen vergleichen, um schließlich nach aufwändiger Recherche-Arbeit die gewünschten beziehungsweise erlaubten Rechte zu vergeben.

Theorie und Praxis liegen weit auseinander
Der Microsoft-Verzeichnisdienst Active Directory hilft bei der Erfüllung solcher Aufgaben zwar, zeigt jedoch Defizite in Bezug auf Effektivität und Transparenz. Soll heißen: Die Benutzer- und Gruppenobjekte werden im Active Directory losgelöst von den Ressourcen verwaltet, der technologische Bezug ist nicht erkennbar. Die Gruppenzugehörigkeiten des als Referenz benannten Kollegen müssen dem Administrator nun Hinweise geben, welche Rechte dieser Anwender hat. Üblicherweise enthalten die Gruppennamen mehr oder weniger kryptische Hinweise auf die Zielressourcen. Aus der Anfrage und den gegebenen Bedingungen leiten sich zwei Arbeitsweisen ab:

1. Der anfragende Mitarbeiter wird den identischen Gruppen zugeordnet, in denen der Referenzkollege Mitglied ist, oder
2. es wird eine Recherche eingeleitet, die die Gruppenmitgliedschaften und deren Verwendung analysieren, um nur ein notwendiges Mindestmaß an Berechtigungen zuteilen zu können.

Es stellt sich also die Frage, wie sinnvoll es ist, dem anfragenden Kollegen genau die gleichen Rechte zu geben. Oft lässt sich in der Praxis nicht eindeutig nachvollziehen, welche Gruppe wie verwendet wird. Die Gefahr ist sehr groß, dass der Administrator dem anfragendem Mitarbeiter unnötig, wenn nicht sogar fahrlässig mehr Rechte einräumt als notwendig. Ein echtes Problem, sollen interne oder externe Sicherheits-Policies nicht verletzt werden.


Bild 1: Im Gegensatz zum oft in der Praxis angewandten Kopieren einer Berechtigung berücksichtigt eine Lösung zum Access Management mehrere Ebenen innerhalb der Netzwerkstruktur

Nicht zuletzt werden Gruppen deshalb angelegt, um Zugriffsberechtigungen auf bestimmte Informationen auf einen ausgewählten Nutzerkreis zu beschränken. Neben Gruppen mit besonderen Zugangsrechten, die beispielsweise wie die Geschäftsführung oder Personalverwaltung hochsensible Daten verwalten, gibt es zeitlich limitierte Gruppen, die für bestimmte Projektgruppen interessant sind oder gar deaktivierte Gruppen, die nur für bestimmte Prozesse aktiviert werden. Deshalb ist es schwierig zu gewährleisten, dass wirklich nur die Gruppen oder Trustee-Objekte an der vorgesehenen Stelle genutzt werden, die dafür benötigt werden. Der Administrator hat kaum die Möglichkeit, hundertprozentig sicherzustellen, was die Sicherheits-Policy vorschreibt.

Compliance kostet viel Zeit
Um all diese Rahmenbedingungen mit Sicherheit zu erfüllen, müsste der Administrator theoretisch die gesamte Infrastruktur prüfen. Nur so ließe sich zweifelsfrei herausfinden, wo welche Gruppen wie verankert sind. Das mag in kleinen Unternehmen mit 100 oder weniger Nutzern noch möglich sein, wo sowohl Ressourcen als auch hierarchische Strukturen überschaubar sind. Stellt man sich jedoch ein mittelständisches Unternehmen mit 2.000 Mitarbeitern und mehreren Standorten vor, wird das Access Management schnell zur Zeit- und Ressourcen-raubenden Aufgabe.

                                                Seite 1 von 2                     Nächste Seite>>