Wenn Unternehmen wachsen, dann erschwert sich das Management von Zugriffsrechten teilweise enorm. Dies lähmt die Organisation und treibt die Kosten in die Höhe. Ab einer gewissen Anzahl von Accounts schleichen sich falsche Berechtigungen ein. Geringe Compliance und erhöhte Risiken sind die Folge. Fehlen Zugangsregulierungen und Grundsätze zur Dokumentation von Rollen und Identitäten, wird es Zeit, sich traditioneller Modelle für das Identity-und Access-Management (IAM) zu entledigen.

Zum Identity- und Access-Management zählen Identitäts-Management, Authentifizierung und Autorisierung. Diese Prozesse involvieren in Unternehmen IAM-Manager, Rollen-Manager, Benutzer, Vorgesetzte, Administratoren und Auditoren mit unterschiedlichen Aufgaben. Beispielsweise erhält Arbeitnehmer Karl Schmidt eine eindeutige digitale Identität in den Systemen des Arbeitgebers: karl.schmidt@arbeitgeber.org und schmidt15 im SAP-System. Um nachzuweisen, dass digitale Identität und Person zueinander gehören und virtuelle Wege gehen dürfen, authentifiziert Karl Schmidt seine Identität mit seinem Kennwort. Schließlich räumen Berechtigte ihm ihrerseits Rechte für sein Team ein und autorisieren ihn, gewisse Aufgaben und Aktionen in den Systemen des Arbeitgebers durchzuführen. Oder kurz: Autorisierung stellt sicher, dass der Controller zum Beispiel auf Finanzdaten, jedoch nicht auf Forschungsdaten zugreifen darf. IAM-Systeme fokussieren die Einhaltung der Governance, also regulatorischer und gesetzlicher Vorgaben. Je schneller Benutzer die ihren Identitäten entsprechenden Berechtigungen erhalten, desto effektiver unterstützt das IAM die Geschäftsziele. Voraussetzung dabei ist, dass sich personelle Ressourcen und Kosten im Rahmen bewegen.

IAM am Scheideweg

Die Realität sieht jedoch oft anders aus: Laut der IDG-Studie „Identity- und Access-Management 2017“ setzten zum Erhebungszeitraum nur 38 Prozent der befragten Unternehmen eine softwaregestützte IAM-Lösung ein. Der Zustand der eingesetzten IAM-Systeme weicht erheblich vom Optimum ab. Richtlinien fehlen ganz oder widersprechen sich. Begründungen für Zugangsrechte sind schlecht oder gar nicht dokumentiert. Zudem existieren mehrere Quellen der Wahrheit für Schlüsselinformationen, sodass beispielsweise einerseits SAP HR und andererseits Active Directory als tonangebend gelten. Kontrollmechanismen greifen nur oberflächlich oder gar nicht. Denn wenn niemand den Soll-Zustand kennt, lassen sich Abweichungen vom Soll nicht identifizieren. Dass Mitarbeiter nach einem Abteilungswechsel oder dem Verlassen des Unternehmens weiterhin ihre Berechtigungen behalten, ist keine Seltenheit. Dem Missbrauch von Informationen und Daten sind dann Tür und Tor geöffnet. Zudem kämpfen Administratoren mit schlechter Usability und Flexibilität von IAM-Tools, was dazu führt, dass Mitarbeiter in großen Unternehmen Wochen oder Monate auf die Erteilung von Rechten warten.

Da die Betroffenen in dieser Zeit dennoch produktiv sein wollen, entsteht eine Schatten-IT. Dabei findet abseits standardisierter und nachvollziehbarer IT-Strukturen die Verteilung und Verarbeitung schützenswerter Daten statt. Durch dieses Massenphänomen landen Daten zum Beispiel ungesichert in Cloud-Umgebungen.

Komplexe Tradition

Je mehr Mitarbeiter, desto höher fallen Komplexität und damit auch die Kosten aus. Nicht selten kümmern sich bis zu 150 Personen um Provisionierung und Deprovisionierung von Rechten. Hohe Personalkosten und Kosten durch Unproduktivität – erzeugt durch Mitarbeiter, die auf das Ausrollen ihrer Rechte warten – wirken sich negativ auf die Geschäfte aus. Klar ist: Eine technische Modernisierung bringt Firmen ein Mehr an Flexibilität und Agilität. Jedoch scheuen sich die Abteilungen, technisch und organisatorisch sinnvolle Änderungen umzusetzen. Ihr Einfluss auf eine Vielzahl von Rollen schreckt ab.

Rezertifizierung von Berechtigungen im übersichtlichen Dashboard. Bild: Key Identity

Wie komplex sich die Arbeit der Admins mit einem typischen IAM-Tool gestaltet, zeigt sich an einem einfachen Beispiel: Ein Benutzer erhält Zugriff auf ein System oder nicht. Der Administrator arbeitet bei einer Identität und einem System mit zwei Möglichkeiten. Bei zwei Systemen und einem User gibt es schon vier Möglichkeiten. Es handelt sich um eine exponentielle Komplexitätsklasse.

Unter Beachtung der Rollen, von denen Unternehmen heutzutage üblicherweise mehrere Tausend besitzen, zeigt sich die extreme Diskrepanz zwischen Rollenanzahl und Summe der HR-Positionen. In großen Konzernen verfügt eine HR-Position über durchschnittlich 50 Rollen. Die Klarheit, wer warum welche Rolle besitzt und worauf Zugriff hat, geht in konservativen, technokratischen IAM-Systemen im Laufe der Zeit und mit steigender Mitarbeiterzahl verloren. Es herrscht keine Transparenz über die Rollenvergabe, geschweige denn ein systematisches Verständnis. Ein radikal neuer Ansatz muss her, der unabhängig von der Unternehmensgröße mit hohem Automatisierungsgrad kostengünstig, transparent und automatisiert funktioniert.

Rolle plus Team

Eine nichttechnokratische Denkweise und ein neues semantisches Konstrukt zur Lösung des Dilemmas liegt dem MIRA-Ansatz – Managed Identity Role Access – von Key Identity zugrunde. Basis ist die Einsicht, dass ein Benutzer stets eine Rolle in einem Team besitzt und nie nur einem Team oder einer Rolle entspricht. Durch die Kombination beider Variablen ergeben sich die Benutzerrechte (siehe Bild). Mehrere Fragen bilden die Basis:

  1. Identität: Wer soll Zugang erhalten?
  2. Rolle: Was benötigt der User für den Zugang?
  3. Team: Wo wird der Zugang genutzt?

Die ersten drei Fragen, die von Technik entkoppelt und voneinander unabhängig sind, beantwortet die Leitungsebene im Unternehmen. Eine vierte Frage erfordert eine technische Sicht und stellt sich den Administratoren, die in der Folge Aktivitäten verlinken. So teilt sich eine Berechtigung in verschiedene Variablen auf, die eine autarke Verwaltung zulassen. Einerseits ermöglicht dies den richtigen Personen, Entscheidungen in ihrem Kompetenzbereich zu treffen. Andererseits bildet das Modell ein dynamisches Rechtekonzept in Vektorform mit nahezu konstant kleiner Komplexitätsklasse.

Einmalig definiert

Entscheider definieren jede Rolle genau einmal durch die Zuordnung von Aktivitäten. Die Rolle „Entwickler“ umfasst so zum Beispiel Aktivitäten zum Schreiben von Code, Testen und Bereitstellen. Im Unternehmenskontext betrachtet, verstehen alle Ebenen diese Aktivitäten. Jedoch verknüpft die technische Instanz sie zwingend mit technischen Entitlements. So bekommt der Entwickler im Asset GitLab Commit-Berechtigungen. Ob formal oder virtuell – dem Team kommt in diesem Zusammenhang eine ebenso wichtige Bedeutung zu: Es definiert die Anzahl der IT-Assets oder Daten, über die eine Rolle innerhalb eines Teams verfügt.

Die Kombination der Rolle mit dem Team führt für den Benutzer zur Bereitstellung der Zugriffsrechte auf die richtigen Assets. Einmal definiert, gilt die Rolle „Entwickler“ dank gleicher Aktivitäten also für alle Entwickler in der Organisation. Arbeitet ein Entwickler im Team Web und im Team Mobile, unterscheidet sich sein Berechtigungssatz abhängig vom Team entsprechend der Team-Assets. Er verfügt jeweils über die teamspezifischen Zugänge. Wer eine neue Rolle anlegt, kann Mehraufwand vermeiden, indem er Aktivitäten verwendet, die bereits für andere Rollen existieren.

Unbelastete Administratoren

Neue Mitarbeiter kennen ihre Rolle und ihr Team. Sie beantragen ihre Rolle selbstständig beim Teamleiter und dem hierarchischen Vorgesetzten. Diese prüfen den Antrag im Dashboard nach dem Vier-Augen-Prinzip, erteilen ihr Einverständnis per Klick und die Rolle ist ausgerollt. Nach den konservativen Modellen hätte der Administrator die Rolle manuell anlegen und provisionieren müssen. Im nichttechnokratischen Modell vergibt das System die Berechtigung automatisch entsprechend der Aktivitäten.

Änderungen in Aktivitäten wirken sich ad hoc auf alle Rollen aus. Ähnlich verhält es sich mit den technischen Berechtigungen, die Aktivitäten auf Systeme abbilden. Ein Aufwand entsteht nur an einer Stelle – gleichgültig, wie viele Identitäten, Rollen, Aktivitäten oder Systeme involviert sind. Verglichen mit heute eingesetzten IAM-Systemen bringt dieser neue Ansatz eine wesentlich geringere Komplexitätsklasse mit sich. Warum?

  • Der Grund für die Berechtigung ist in der Berechtigung und dem Modell inhärent enthalten,
  • es gibt eine einfache Bedienung, weil das System von der Technik losgelöst und jedem verständlich ist,
  • es gibt schnelle, weil automatisierte Bereitstellungen und Außerbetriebnahmen von Rechten,
  • es erfolgt eine sofortige Aktivierung von abgesegneten Änderungen, da Neuberechnung von Abweichungen in Echtzeit stattfinden,
  • es gibt mehr Sicherheit dank Wahrung des Vier-Augen-Prinzips durch Team-Leiter und Vorgesetzten. Es entsteht ein intuitiver und selbststeuernder Prozess der einzelnen Rechteanfrage einer Rolle in einem Team und doppelter Genehmigung. Kreation, Änderung oder Löschung einer Rolle sowie Rechtevergabe bedürfen zweifacher Autorisierung, der Rechteentzug gelingt durch Einzel­entschluss,
  • toxische Kombinationen beim Benutzerzugriff durch die Vermeidung technischer Verbindung zwischen Aktivitäten und Anwendung treten nicht auf. Dies verhindert beispielsweise, dass derselbe User die beiden Aktivitäten „Kreditorenrechnung erfassen“ und „Kreditorenrechnung veranlassen“ erhält,
  • es gibt eine einfache turnusmäßige Rezertifizierung von Zugriffsrechten zur Bestätigung der weiteren Rechtmäßigkeit und
  • das System generiert Abweichungs­berichts durch Gegenüberstellung von Ist- und Soll-Zugriffsrechten. Auditoren sichten im sogenannten Delta-Report in regelmäßigen Abständen Abweichungen vom Soll-Zustand, wenn etwa eine Person an Zusatzrechte gelangte oder abgelaufene Zeitfenster zur Rezertifizierung von Rechten bestehen.

Fazit

Nach langjähriger Betrachtung von IAM-Prozessen in großen Unternehmen aller Branchen fallen die vier größten Baustellen schnell ins Auge: Transparenz, Skalierbarkeit, Flexibilität und Automatisierung. Die IT-Experten von Key Identity haben eine potenzielle Kostenersparnis von bis zu 20 Prozent durch Einführung eines zukunftsfähigen, agilen Identity- und Access-Managements errechnet.

Dr. Amir Alsbih ist CEO von Key Identity und spezialisiert auf Identity- und Access-Management-Lösungen, www.keyidentity.com.