Die derzeitige IAM-Landschaft setzt sich hauptsächlich aus dem klassischen Identity-Management (IdM) und Business-orientierter Access Governance zusammen. Hatte IdM bisher mehr den Single-Point-of-Administration-Ansatz einschließlich Provisioning im Fokus, konzentriert sich Access Governance dagegen auf die Einbindung der Fachabteilungen in die Vergabe der Berechtigungen und nutzt dafür beispielsweise Antrags- und Genehmigungs-Workflows sowie Rezertifizierungsprozesse.

Zunehmend besteht jedoch der Bedarf, die Berechtigungsstrukturen vielseitig bezüglich deren Qualität, aber auch im Hinblick auf Compliance-Anforderungen zu untersuchen. Beta Systems liefert mit dem Garancy Access Intelligence Manager einen Business-Intelligence-basierenden Ansatz (BI), der die bisherige IAM-Landschaft mit umfangreichen und leistungsfähigen Analysefähigkeiten ergänzen soll.
Ein separates Access-Intelligence-System liegt darin begründet, dass leistungsfähige Analysemethoden Datenstrukturen erfordern, die sich wesentlich von den Datenstrukturen in den operativen Systemen unterscheiden. Die Überführung der Daten aus den operativen Systemen in ein BI-orientiertes Data Warehouse bedingt zudem eine spezielle Datenaufbereitung. Neben den bekannten Auswertungsanforderungen lassen sich aufgrund der aufbereiteten Daten neuartige Analysemethoden entwickeln. Eine dieser neuen Methoden ist die Berechtigungspfadanalyse, die komplexe Berechtigungsstrukturen in einzelne Pfade zerlegt und damit effektive Analysemöglichkeiten bereitstellt. Es ist sinnvoll, die Berechtigungspfadanalyse zu betrachten und zwei darauf aufbauende Untersuchungen im Detail zu betrachten.
 
Neue Analysemöglichkeiten für das Berechtigungs-Management
Viele Unternehmen sind von einer heterogenen Systemlandschaft geprägt, die aus der Sicht des Berechtigungs-Managements unterschiedliche Berechtigungskonzepte nutzt. Das Ziel aller Berechtigungskonzepte besteht darin, den Anwendern die für ihre Arbeit notwendigen Zugriffsrechte auf Ressourcen zu vergeben. Eine dazu notwendige Benutzer- und Berechtigungsadministration kann sich als enorm komplex und zeitaufwändig erweisen. Eine Ursache dafür ist die hohe Anzahl an Benutzern und die zu schützenden Ressourcen sowie die unterschiedlichen Zugriffsrechte. Abhängig von den jeweiligen Systemen haben sich unterschiedliche Techniken in Form von verschiedenen Security-Objekten (beispielsweise: Ressourcengruppen, Berechtigungsprofile, Benutzergruppen, Rollenmodelle) herausgebildet. Das Grundprinzip aller dieser Security-Objekte ist Kapselung: Anstelle der Zuweisung von einzelnen Zugangsrechten werden Objekte in Gruppen zusammengefasst und entsprechend zugewiesen. Dies führt einerseits zur gewollten Vereinfachung der Berechtigungsadministration, andererseits erhöht sich dadurch aber auch die Komplexität der Berechtigungsstrukturen.
Die Komplexität ergibt sich dadurch, dass die Berechtigungsstrukturen nun auf einer Vielzahl von Beziehungen zwischen den einzelnen Security-Objekten basieren. Für die Auswertung der Berechtigung ergeben sich dadurch neue Fragestellungen, die der Garancy Access Intelligence Manager von Beta Systems beantworten soll. Neben der typischen Frage „Wer hat welche Berechtigung auf welche Ressource?“ entsteht aufgrund der weitverzweigten Berechtigungsstrukturen eine weitere wichtige Frage: „Über welche Zuweisungen (Rollen, Gruppen, Autorisierungsobjekte etc.) wurden dem Benutzer die Berechtigungen vergeben?“ Dazu hat Beta Systems eine Methode entwickelt, die die gesamte Berechtigungsstruktur in einzelne Pfade aufgliedert, die die Grundlage für leistungsfähige Analysemöglichkeiten bilden.
Die vorangestellte zweite Frage wird somit zu einer wesentlich nachvollziehbareren Fragestellung: Über welche Berechtigungspfade hat der Benutzer Zugriff auf die Ressourcen? Mit diesem pfadorientierten Ansatz sind eine Vielzahl von neuartigen Auswertungen möglich, die Beta Systems unter den Namen „Berechtigungspfadanalyse“ zusammenfasst.
 
Berechtigungspfadanalyse
Der größte Teil der Zuweisungen von Berechtigungen erfolgt üblicherweise mithilfe von zusätzlichen Security-Objekten. Die typischen Vertreter hierfür sind Rollen- und Gruppenobjekte. Gruppen sind systemspezifische Security-Objekte mit unterschiedlichen Ausprägungen, denen Berechtigungen und Benutzer zugeordnet werden können. Rollen dagegen sind systemübergreifende Security-Objekte, mit denen man die Benutzerzuordnungen zu Gruppen unternehmensweit steuern kann. Da die Rollen und Gruppen zum Teil als eigenständige Hierarchien angeordnet sind, sprechen Experten auch von Rollen- und Gruppenmodellen. So entstehen beispielsweise durch die Beziehungen zwischen verschiedenen Rollen sogenannte Top- und Sub-Rollen, wobei die Top-Rollen die Sub-Rollen „beinhalten“. Um gute Rollenmodelle aufzusetzen und zu administrieren, hat sich eine eigenständige Disziplin im Berechtigungs-Management etabliert: das Role-Lifecycle-Management.
Aus der Sicht der Berechtigungspfadanalyse bilden die Rollen- und Gruppenmodelle jeweils eine eigenständige Sammlung von (Einzel-)Pfaden. Der Gesamtpfad einer Berechtigung, beispielsweise für die Zuordnung eines Benutzers zu einer Ressource, entspricht dabei der Summe der Einzelpfade (Bild 1).
Zur Verdeutlichung soll das folgende Beispiel (Bild 2) dienen, das eine einfache Berechtigungsstruktur darstellt. Das Beispiel umfasst drei Benutzer, denen über verschiedene Wege unterschiedliche Ressourcen zugeordnet sind. Für die Zuordnung existieren Rollen- und Gruppenhierarchien, die in ihrer Gesamtheit auch als Modelle bezeichnet werden. Daraus ergeben sich folgende sechs verschiedene Pfade für die Benutzer-Ressource-Zuordnungen:
Path1: User 1 ? RoleA \ RoleA1 \ Grp1 ? Resource I (Path Length: 3)
Path2: User 1 ? RoleA \ RoleA2 \ Grp2 \ Grp2a ? Resource II (Path Length: 4)
Path3: User 1 ? RoleA \ RoleA2 \ Grp2 \ Grp2b ? Resource III (Path Length: 4)
Path4: User 2 ? RoleA2 \ Grp2 \ Grp2a ? Resource II (Path Length: 3)
Path5: User 2 ? RoleA2 \ Grp2 \ Grp2b ? Resource III (Path Length: 3)
Path6: User 3 ? Grp2b ? Resource III (Path Length: 1)
Neben der Benutzer-Ressource-Betrachtung existieren noch weitere Zuordnungen:
Benutzer-Rolle, Benutzer-Gruppe,
Rolle-Rolle, Rolle-Gruppe, Rolle-Resource und
Gruppe-Gruppe, Gruppe-Resource.
So könnte für die Pflege von Rollenmodellen die Analyse von Rollen und deren zugeordneten Gruppen einschließlich der jeweiligen Pfade interessant sein. Die Analyse würde für die Rolle A ergeben, dass vier verschiedene Gruppen über diese Rolle zugeordnet sind. Dabei wurden folgende Pfade verwendet:
Group1: Path: RoleA1,
Group2: Path: RoleA2,
Group2a: Path: RoleA2\Grp2 und
Group2b: Path: RoleA2\Grp2.
Das Konzept der Berechtigungspfade ermöglicht jetzt neuartige Untersuchungen, wie beispielsweise die Redundanzanalyse und die Pfadlängenanalyse.
 
Redundanzanalyse
Die Redundanzanalyse untersucht die Berechtigungsstrukturen hinsichtlich redundanter Pfade. Als redundante Pfade bezeichnen Experten mehrfache Berechtigungszuweisungen, die durch die Zuweisung von verschiedenen Security-Objekten und dessen Beziehungen untereinander entstehen können. Eine typische Ursache dafür sind beispielsweise überlappende Rollen- oder Gruppenmodelle. Dabei gibt es folgende grundsätzliche Szenarien:
Redundanzszenario 1 (Bild 3): Rollen- und Gruppenmodell haben für sich keine redundanten Pfade. Erst wenn man Rollenstrukturen mit Gruppenstrukturen verbindet, können Redundanzen entstehen. Im Beispiel von Bild 3 ist der Rolle A die Gruppe 3 über die zwei verschiedenen Pfade zugewiesen: RoleA1\Grp1 und RoleA2\Grp2.
Redundanzszenario 2 (Bild 4): Im Rollenmodell ist eine Gruppe mehrfach zugewiesen. Da die beteiligten Rollen selbst wieder zu einer übergeordneten Rolle zusammengefasst sind, entstehen die redundanten Pfade zur Gruppe 4.
Redundanzszenario 3 (Bild 5): Innerhalb des Rollenmodells existieren bereits redundante Pfade, und zwar aufgrund der mehrfachen Zuordnung einer gleichen Rolle.
Redundanzszenario 4 (Bild 6): Diese Abbildung zeigt ein besonderes Szenario für eine Redundanz von Berechtigungsstrukturen. Dort sind die Rollen- und Gruppenmodelle in sich redundanzfrei. Erst durch die Zuweisung von Rollen zu Benutzern entstehen Überlappungen. Im Beispiel von Bild 6 hat der Benutzer 5 zwei verschiedene Pfade auf die Gruppe 2, die durch die gemeinsame Zuweisung von Rolle A und Rolle B entstehen. Dagegen haben die Benutzer 1 und 2 keine redundanten Pfade.
Die Bewertung, ob Redundanzen positive oder negative Auswirkungen auf die Verwendung und Pflege von Berechtigungsstrukturen haben, ist sehr anwenderindividuell und hängt von der Zielsetzung der jeweiligen Modelle ab. Die Betrachtung der Auswirkungen ist aufgrund der verschiedenartigen Sichtweisen ein separates Thema und steht daher in diesem Beitrag nicht zur Diskussion.
 
Pfadlängenanalyse
Die Pfadlängenanalyse dagegen untersucht die einzelnen Zuweisungen bezüglich ihrer Pfadlänge. Als Pfadlänge bezeichnen Experten die Anzahl der beteiligten Security-Objekte. Je mehr Berechtigungsobjekte „durchlaufen“ werden, desto länger ist der Berechtigungspfad. Je mehr Berechtigungsobjekte jedoch beteiligt sind, desto geringer ist die Kontrolle der Benutzerzuweisungen. Der Grund liegt darin, dass durch jedes neue Objekt die Berechtigungsvergabe auf eine höhere Ebene delegiert wird. Da auf jeder neuen Ebene weitere Berechtigungen hinzukommen können, besteht zudem die Gefahr einer „Verwässerung“.
Auf der Basis dieser Prinzipien ist bei der Erstellung von Berechtigungsmodellen folgender Grundsatz zu beachten: Je kritischer die zu schützende Ressource ist, desto kürzer sollte der Berechtigungspfad sein, sodass eine höhere Kontrolle möglich ist. Durch die Pfadlängenanalyse lässt sich mit dem Garancy Access Intelligence Manager die Einhaltung dieses Grundsatzes prüfen und eventuelle Schwachstellen aufspüren. Die Anpassung der jeweiligen Strukturen führt langfristig aus Sicht der Benutzerverwaltung sowie der Security zu einer hohen Qualität des Berechtigungsmodells. Bild 7 zeigt anhand eines Beispiels das Prinzip der Pfadlängen-analyse.
In diesem Bild sind zwei verschiedene Ressourcen dargestellt: Ressource I und Ressource III, wobei die Ressource III als kritisch eingestuft ist. Für die Zuweisung der unkritischen Ressource I hat die Pfadlänge (hier mit einer Länge von 3) aus Risiko-Management-Sicht keine Relevanz. Bei der Gestaltung der darunterliegenden Rollen- und Gruppenmodelle stehen hauptsächlich Aspekte wie Pflegeaufwand und Lesbarkeit im Vordergrund.
Relevant im Hinblick auf das Risiko-Management ist dagegen die Art der Zuweisung der Ressource III, die als kritisch eingestuft wurde. Die Zuweisung dieser Ressource zu Benutzer 3 erfolgt nur über die direkte Gruppe 2b und somit über einen „kurzen“ Pfad. Dadurch wäre eine hohe Kontrollierbarkeit gegeben. Da aber der Gruppe 2b zudem eine weitere Gruppe und dieser wiederum weitere Rollen zugeordnet sind, sinkt die Kontrollierbarkeit mit steigender Pfadlänge. So wird die kritische Ressource dem Benutzer 1 mit einer Pfadlänge von 4 zugewiesen, die aus Risikoaspekten als bedenklich einzustufen ist. Die Ergebnisse dieser Analyse sollten zur Folge haben, dass die Berechtigungsstruktur angepasst wird oder dass die beteiligten Rollen und Gruppen einem intensiveren Monitoring unterliegen, was unberechtigte Zuweisungen verhindert.
Durch die Pfadlängenanalyse lässt sich mit dem Garancy Access Intelligence Manager die Einhaltung des Grundsatzes „Je kritischer die zu schützende Ressource ist, desto kürzer sollte der Berechtigungspfad sein“ prüfen und eventuelle Schwachstellen aufspüren. Die Anpassung der jeweiligen Strukturen führt langfristig aus Sicht der Benutzerverwaltung sowie der Security zu einer hohen Qualität des Berechtigungsmodells.
 
Use-Cases: Redundanzanalyse
Als Use-Case 1 soll die Rollenmodellierung dienen. Vordergründig dient die Redundanzanalyse zur besseren Gestaltung des Berechtigungsmodells. Hintergrund ist dabei folgender Gedanke: Jedes Security-Objekt (zum Beispiel Rollen), das durch verschiedene Beziehungen (etwa durch Rollenhierarchien) eine bestimmte Anzahl an Berechtigungen kapselt, muss nach außen eine eindeutige und verständliche Semantik aufweisen. Das Verständnis von Rollen wird erheblich verbessert, wenn die Rollen sich klar und eindeutig voneinander abgrenzen. Eine Abgrenzung kommt unter anderem dadurch zustande, wenn möglichst wenig Redundanz zwischen den Rollen existiert.
Use-Case 2 bezieht sich auf so genannte „Multiple Accounts For Single System“, einem speziellen Indikator im „Compliance Indicator Overview“-Report. Besitzt ein Benutzer mehrere Accounts für Berechtigungen auf eine Ressource oder für ein System, könnte dies zur Umgehung von Security-Maßnahmen führen und ist daher als kritisch einzustufen. Accounts dienen zur Identifikation der Benutzer. Hat ein Benutzer mehrere Accounts und somit mehrere Identitäten gegenüber einer Autorisierungsstelle, so könnten dadurch SoD-Regeln (Segregation of Duties) unwirksam werden, da das System die verschiedenen Identitäten nicht der gleichen Person zuordnen kann. Mehrere Accounts werden aber erst kritisch, wenn damit eine Überlappung der Berechtigungen auf gleiche Ressourcen gegeben ist. Dieser Zustand lässt sich durch die Redundanzanalyse erkennen.
Beim Use-Case 3, der Pfadlängenanalyse, geht es um die direktere Kontrolle von kritischen Ressourcen. Risiken können oft nicht beseitigt werden, vielmehr gilt es, diese zu erkennen und zu minimieren. So sollten die Berechtigungen für kritische Ressourcen nur an einen ausgewählten Benutzerkreis vergeben sein, wobei die Vergabe einer hohen Kontrolle unterliegt. Je direkter die Vergabe solcher Berechtigungen erfolgt, das heißt, je weniger Rollen und Gruppen beteiligt sind, desto größer ist die Kontrolle. Mittels der Pfadlängenanalyse lässt sich die Anzahl der beteiligten Security-Objekte für kritische Ressourcen ermitteln und somit eine Aussage über den Grad der Kontrollierbarkeit treffen.
Abschließend Use-Case 4, die Tiefe von Rollenhierarchien: Deren Komplexität steigt in der Regel exponenziell mit deren Tiefe an. Die Tiefe ist durch die Anzahl der Subrollenebenen bestimmt. Um den Administrationsaufwand von Rollenhierarchien zu minimieren, sollten beispielsweise Business-Rollen und IT-Rollen definiert werden, wobei grundsätzlich die Business-Rollen aus einer Sammlung von IT-Rollen bestehen und sich nur die Business-Rollen Benutzern zuordnen lassen. Business-Rollen könnten nochmals in übergeordneten Business-Rollen zusammengefasst sein. Bei der Verwendung dieses Design-Patterns entstehen „natürliche“ Pfadlängen (zum Beispiel eine Länge von zwei bis drei Rollen). Alle Abweichungen ließen sich durch die Pfadlängenanalyse erkennen und bezüglich ihrer Richtigkeit bewerten und bei Bedarf korrigieren.

Bild 2. Beispiel einer einfachen Berechtigungsstruktur.

Bild 3. Redundanzszenario 1.

Bild 4. Redundanzszenario 2.

Bild 5. Redundanzszenario 3.

Bild 6. Redundanzszenario 4.

Bild 7. Berechtigungspfade und kritische Ressourcen.

Bild 8. Der User-Risk-Analysis-Report.

Bild 1. Prinzip der Pfade (Beispiel Rollen- und Gruppenpfade).