von Redaktion IT-A…
Lesezeit
3 Minuten
Nutzerberechtigungen konsistent verwalten
Berechtigungen für Netzwerke, Daten und Anwendungen finden sich an vielen Stellen und nur das Active Directory allein eignet sich kaum, um diese konsistent und nachvollziehbar zu verwalten. Mit Hilfe eines einheitlichen Identity- & Access-Managements lässt sich eine zentrale Stelle zur Steuerung der Benutzerrechte schaffen, die alle Teilbereiche der IT-Infrastruktur einbezieht und zudem die Erstellung von Reporten auf Knopfdruck erlaubt. Dabei sind sehr umfassende Einsatzmöglichkeiten denkbar.
Die Unternehmens-IT ist stets in Bewegung und muss täglich mit wechselndem Personal, Fusionen oder Umstrukturierungen zurechtkommen. So gut wie immer sind dabei Anpassungen im Netzwerk erforderlich. So entstehen komplexe Strukturen, bei denen beispielsweise die Benutzerrechte der Mitarbeiter in vielen unterschiedlichen Systemen gespeichert sind. Änderungen kosten die Administratoren daher oftmals viel Zeit – muss ein neues Benutzerkonto doch in allen relevanten Zielsystemen mit den korrekten Genehmigungen angelegt werden.
Benutzerdaten zusammenfassen
Dabei handelt es sich um eine heikle Aufgabe, denn bei Falscheingaben drohen unberechtigte Zugriffe auf sensible Informationen. Zudem ist die Gefahr von Lücken oder Fehlern groß, schließlich finden sich die benötigten Informationen zum Beispiel im Active Directory, in elektronischen Personenakten sowie dem Facility-Management- oder HRM-System. In vielen Fällen lässt sich zudem nicht mit Sicherheit sagen, ob alle Daten in allen Systemen auf dem aktuellen Stand sind.
Hier kommt es also darauf an, alle Benutzerrechte zu konsolidieren und ohne großen Aufwand auswertbar zu machen. Leisten lässt sich diese Aufgabe fast nur dann transparent und eindeutig, wenn Unternehmen alle Benutzerdaten zusammenfassen. Ziel ist es, nur eine einzige entscheidende Registrierung für alle Identitäten in einer Organisation durchführen zu müssen – die wiederum alle relevanten Systeme zusammenfasst. Hier kommt es also darauf an, den richtigen Ort für diese Konsolidierung zu nutzen.
Active Directory und HRM-Systeme oft wenig geeignet
Viele Administratoren nutzen das Active Directory als Quelle der Benutzerrechte und zur Pflege zusätzlicher Personen- oder Organisationsdaten. Sie erstellen etwa Active-Directory-Gruppen und ergänzen sie mit zusätzlichen Daten wie Zimmernummer, Funktion oder Abteilung. In der Regel sind den Administratoren die Nachteile dieser Vorgehensweise bewusst. Erstens lässt sich per Active Directory kein physischer Zugang regeln. Zudem eignet es sich nicht besonders, um Mitarbeiter zu verorten, die in verschiedenen Abteilungen arbeiten.
Die vielleicht wichtigste Einschränkung des Active Directory: Es zeigt in punkto Genehmigungen nur ein unzureichendes Bild einer Person. Obwohl es den Zugang zu einer Anwendung regelt, lässt sich nicht erkennen, was ein Nutzer innerhalb dieser Anwendung darf. Und bei Ausscheiden eines Mitarbeiters wird dessen Active-Directory-Konto zwar meist automatisch deaktiviert, andere Aktionen unterbleiben häufig. Was etwa passiert mit dem Zugangspass, dem Mobiltelefon, der Telefonnummer aus dem Telefonsystem oder Benutzerkonten in Cloud-Anwendungen?
Andere Organisationen nutzen das HRM-System, um Änderungen im Netzwerk durchzuführen. Legt die Personalabteilung einen neuen Mitarbeiter an, erhält dieser automatisch ein Benutzerkonto. Jedoch sind die wenigsten HRM-Werkzeuge lückenlos; Freiberufler oder externe Mitarbeiter erfasst es oft nicht. Zudem fehlen viele Angaben, die für die Benutzerrechte wichtig sind. So geben HRM-Systeme nur darüber Auskunft, wer eine Person ist und welche Funktion sie in der Organisation erfüllt. Sie enthalten aber keine Daten über Genehmigungen zu Anwendungen oder zu Ressourcen wie Telefon, Räume oder Laptops. Diese Angaben müssen andere Systeme liefern – ein großer Aufwand.
Einheitliches Identity- und Access Management
Diese Probleme lassen sich vermeiden, indem die Benutzerdaten aus allen relevanten Systemen in ein einheitliches Identity- und Access Management (IAM) wie etwa UMRA von Tools4ever fließen. Dieses sollte alle wichtigen Daten des jeweiligen Mitarbeiters enthalten, wie etwa Name, Adresse, Wohnort, Vertragsdaten, Raum, Funktion, Kostenstelle oder den direkten Vorgesetzten. Zu diesen wichtigen Daten gehören auch die verwendeten Ressourcen wie Telefon und Zugangspass.
Ist eine vollständige Datengrundlage geschaffen, zeigen sich Fehler oder Unstimmigkeiten sehr schnell – alle Genehmigungen im Netzwerk lassen sich prüfen. Ein IAM konsolidiert die vorhandenen Nutzerdaten; Administratoren müssen nicht auf die Einzelsysteme zugreifen, weil das IAM alle Eingaben in die IAM-Oberfläche automatisch an die Quellsysteme überträgt, etwa an das Active Directory oder das Gebäudemanagement. Diese Datenübertragung kann auch automatisch dafür sorgen, dass Abgänge die Deaktivierung von Konten bewirken.
Weil ein IAM physische und logische Zugänge zuweisen kann, wissen die Administratoren, wer jemand ist, wo er Zutritt besitzt, was er darf und welche Geräte ihm überlassen sind. Steht ein Mitarbeiter nicht im IAM, kommt er nicht ins Netzwerk und hat keinen physischen Zugang zu Gebäuden oder Teilen davon. Jede Änderung im Quellsystem modifiziert das IAM. Alle Daten sind durchsuchbar, daher können Sicherheitsverantwortliche direkt erkennen, in welchen Systemen und unter welchen Identitäten eine Person vorkommt und was sie alles darf. Ein IAM lässt sich zudem breit nutzen. Ein Abteilungsleiter zum Beispiel kann sein Team überprüfen und damit unerwünschte Abweichungen in der Rechtevergabe sehr schnell abstellen.
Fazit
Nicht zuletzt lässt sich ein IAM für Audits nutzen. Ein zentrales Dashboard speichert, wer Zugang zu welchen Anwendungen, wer und wann die Rechte vergeben hat und ermöglicht, jederzeit Listen zu generieren und damit interne oder externe Reportings durchzuführen. Damit können Unternehmen auch jederzeit nachvollziehen, welche Software-Lizenzen es besitzt und die fälligen Lizenzkosten überprüfen.
Wer zudem die Rollen der Mitarbeiter kennt, kann die korrekten Anwendungen pro Organisationsrolle identifizieren. Zeigt ein solcher Abgleich beispielsweise, dass 90 Prozent der Sachbearbeiter eine bestimmte Anwendung nutzen, fällt auf, wenn ein Mitarbeiter in gleicher Rolle über abweichende (teure) Anwendungen zugreifen darf. So lassen sich hier also im Idealfall unnötige Lizenzkosten sparen.
ln/Jan Pieter Giele, Managing Director DACH bei Tools4ever Informatik GmbH
Benutzerdaten zusammenfassen
Dabei handelt es sich um eine heikle Aufgabe, denn bei Falscheingaben drohen unberechtigte Zugriffe auf sensible Informationen. Zudem ist die Gefahr von Lücken oder Fehlern groß, schließlich finden sich die benötigten Informationen zum Beispiel im Active Directory, in elektronischen Personenakten sowie dem Facility-Management- oder HRM-System. In vielen Fällen lässt sich zudem nicht mit Sicherheit sagen, ob alle Daten in allen Systemen auf dem aktuellen Stand sind.
Hier kommt es also darauf an, alle Benutzerrechte zu konsolidieren und ohne großen Aufwand auswertbar zu machen. Leisten lässt sich diese Aufgabe fast nur dann transparent und eindeutig, wenn Unternehmen alle Benutzerdaten zusammenfassen. Ziel ist es, nur eine einzige entscheidende Registrierung für alle Identitäten in einer Organisation durchführen zu müssen – die wiederum alle relevanten Systeme zusammenfasst. Hier kommt es also darauf an, den richtigen Ort für diese Konsolidierung zu nutzen.
Active Directory und HRM-Systeme oft wenig geeignet
Viele Administratoren nutzen das Active Directory als Quelle der Benutzerrechte und zur Pflege zusätzlicher Personen- oder Organisationsdaten. Sie erstellen etwa Active-Directory-Gruppen und ergänzen sie mit zusätzlichen Daten wie Zimmernummer, Funktion oder Abteilung. In der Regel sind den Administratoren die Nachteile dieser Vorgehensweise bewusst. Erstens lässt sich per Active Directory kein physischer Zugang regeln. Zudem eignet es sich nicht besonders, um Mitarbeiter zu verorten, die in verschiedenen Abteilungen arbeiten.
Die vielleicht wichtigste Einschränkung des Active Directory: Es zeigt in punkto Genehmigungen nur ein unzureichendes Bild einer Person. Obwohl es den Zugang zu einer Anwendung regelt, lässt sich nicht erkennen, was ein Nutzer innerhalb dieser Anwendung darf. Und bei Ausscheiden eines Mitarbeiters wird dessen Active-Directory-Konto zwar meist automatisch deaktiviert, andere Aktionen unterbleiben häufig. Was etwa passiert mit dem Zugangspass, dem Mobiltelefon, der Telefonnummer aus dem Telefonsystem oder Benutzerkonten in Cloud-Anwendungen?
Andere Organisationen nutzen das HRM-System, um Änderungen im Netzwerk durchzuführen. Legt die Personalabteilung einen neuen Mitarbeiter an, erhält dieser automatisch ein Benutzerkonto. Jedoch sind die wenigsten HRM-Werkzeuge lückenlos; Freiberufler oder externe Mitarbeiter erfasst es oft nicht. Zudem fehlen viele Angaben, die für die Benutzerrechte wichtig sind. So geben HRM-Systeme nur darüber Auskunft, wer eine Person ist und welche Funktion sie in der Organisation erfüllt. Sie enthalten aber keine Daten über Genehmigungen zu Anwendungen oder zu Ressourcen wie Telefon, Räume oder Laptops. Diese Angaben müssen andere Systeme liefern – ein großer Aufwand.
Einheitliches Identity- und Access Management
Diese Probleme lassen sich vermeiden, indem die Benutzerdaten aus allen relevanten Systemen in ein einheitliches Identity- und Access Management (IAM) wie etwa UMRA von Tools4ever fließen. Dieses sollte alle wichtigen Daten des jeweiligen Mitarbeiters enthalten, wie etwa Name, Adresse, Wohnort, Vertragsdaten, Raum, Funktion, Kostenstelle oder den direkten Vorgesetzten. Zu diesen wichtigen Daten gehören auch die verwendeten Ressourcen wie Telefon und Zugangspass.
Ist eine vollständige Datengrundlage geschaffen, zeigen sich Fehler oder Unstimmigkeiten sehr schnell – alle Genehmigungen im Netzwerk lassen sich prüfen. Ein IAM konsolidiert die vorhandenen Nutzerdaten; Administratoren müssen nicht auf die Einzelsysteme zugreifen, weil das IAM alle Eingaben in die IAM-Oberfläche automatisch an die Quellsysteme überträgt, etwa an das Active Directory oder das Gebäudemanagement. Diese Datenübertragung kann auch automatisch dafür sorgen, dass Abgänge die Deaktivierung von Konten bewirken.
Weil ein IAM physische und logische Zugänge zuweisen kann, wissen die Administratoren, wer jemand ist, wo er Zutritt besitzt, was er darf und welche Geräte ihm überlassen sind. Steht ein Mitarbeiter nicht im IAM, kommt er nicht ins Netzwerk und hat keinen physischen Zugang zu Gebäuden oder Teilen davon. Jede Änderung im Quellsystem modifiziert das IAM. Alle Daten sind durchsuchbar, daher können Sicherheitsverantwortliche direkt erkennen, in welchen Systemen und unter welchen Identitäten eine Person vorkommt und was sie alles darf. Ein IAM lässt sich zudem breit nutzen. Ein Abteilungsleiter zum Beispiel kann sein Team überprüfen und damit unerwünschte Abweichungen in der Rechtevergabe sehr schnell abstellen.
Fazit
Nicht zuletzt lässt sich ein IAM für Audits nutzen. Ein zentrales Dashboard speichert, wer Zugang zu welchen Anwendungen, wer und wann die Rechte vergeben hat und ermöglicht, jederzeit Listen zu generieren und damit interne oder externe Reportings durchzuführen. Damit können Unternehmen auch jederzeit nachvollziehen, welche Software-Lizenzen es besitzt und die fälligen Lizenzkosten überprüfen.
Wer zudem die Rollen der Mitarbeiter kennt, kann die korrekten Anwendungen pro Organisationsrolle identifizieren. Zeigt ein solcher Abgleich beispielsweise, dass 90 Prozent der Sachbearbeiter eine bestimmte Anwendung nutzen, fällt auf, wenn ein Mitarbeiter in gleicher Rolle über abweichende (teure) Anwendungen zugreifen darf. So lassen sich hier also im Idealfall unnötige Lizenzkosten sparen.
ln/Jan Pieter Giele, Managing Director DACH bei Tools4ever Informatik GmbH
