Halbherzige Benutzerverwaltung: Was Firmen falsch machen

Von: Klaus Scherrbacher
Letzte Aktualisierung:
2_02402419_2402420.jpg

Aachen. Die wenigsten Unternehmen legen ihr Identity-Management komplett an - mit problematischen Konsequenzen.

Etwa 33 Prozent der Unternehmen verfügen derzeit über ein System zum Identity-Management (IdM). Dies ergab die Anwenderstudie „Identity Management - Security & Compliance” des Beratungshauses Deron. Mit der automatisierten Benutzerverwaltung muss der Administrator nicht mehr jeden Mitarbeiter für E-Mails, Datenbanken, CRM, Data Warehouse und andere Anwendungen jeweils einzeln anlegen. Vielmehr genügt das einmalige Anlegen des Benutzers, der Rest läuft automatisch im Hintergrund ab.

Mit einem modernen IdM-System braucht der Administrator im Idealfall gar keinen Benutzer mehr anzulegen, weil die Berechtigungsvergabe schon von der Personalstelle durch das Anlegen der Personaldaten angestoßen werden kann. Wird der Mitarbeiter dann befördert oder scheidet er aus, so genügt wiederum die Änderung, welche die Personalstelle ohnehin in ihren Daten vornimmt, um alle angeschlossenen Applikationen automatisiert folgen zu lassen. So erhält der Mitarbeiter bereits von derjenigen Stelle, die immer am schnellsten und besten über organisatorische Veränderungen informiert ist, über hinterlegte Regeln sofort sämtliche Berechtigungen maßgeschneidert zugewiesen und, was mindestens genauso wichtig ist, auch wieder entzogen.

Doch unabhängig davon, ob die Personalstelle ins IdM eingebunden ist oder nicht: Laut Studie sind in der Praxis nur zwölf Prozent der Systeme absolut lückenlos angelegt. 38 Prozent der Unternehmen mit IdM legen eigenen Angaben zufolge immer wieder Accounts und Berechtigungen provisorisch außerhalb der Prozesse an. Wer wissen möchte, ob das in seinem Unternehmen auch so ist, sollte einmal darauf achten, wie Einzelnen der Zugriff auf Projektdaten oder als Urlaubsvertretung ermöglicht und wie Accounts und Berechtigungen von Partnern, Kunden und Lieferanten eingerichtet werden. Meist sind es diese Bereiche, die beim IdM zunächst ausgespart werden, sodass keine Prozesse definiert sind. Braucht man sie dann aber, improvisiert die IT und legt Accounts und Berechtigungen „vorerst” außerhalb der Richtlinien und des IdM-Systems an.

So kommt es, dass das System diese Accounts und Berechtigungen nicht erkennt und sie deshalb bei Checks, zum Beispiel auf falsch eingestufte Benutzer oder kritische Rechtekombinationen, auch nicht definieren kann. Es findet und meldet dann zwar eine Abweichung, kann aber nicht angeben, wo sich diese genau befindet. Vom Prüfer zu verlangen, hier nachzuforschen, hieße, die Stecknadel im Heuhaufen zu suchen.

Folglich kann der IT-Leiter die Existenz von Lücken in Accounts und Berechtigungen für Urlaubsvertretungen, Projekte, Partner und Kunden nicht ausschließen. So räumen 54 Prozent aller Unternehmen trotz IdM ein, dass sie weder kritische Rechtekombinationen noch falsch eingestufte Benutzer sicher verhindern können. Und das, obwohl dies schwerwiegende Probleme sind. Schließlich stellen falsch eingestufte Benutzer ein gefundenes Fressen für Datendiebe dar, und kritische Rechtekombinationen führen unter Umständen dazu, dass der Besteller seine eigene Großbestellung genehmigen kann.

Führungskräfte gehen aber davon aus, dass ihre IT nicht improvisiert, sondern bisher ausgesparte IT-Geschäftsprozesse definiert und anlegt, sobald dies notwendig wird. Offensichtlich unterschätzen sie die Forderung, die sie damit stellen. Immerhin sehen 74 Prozent der Unternehmen die Definition der Prozesse als größte Herausforderung eines IdM-Projekts an. Trotzdem müssen Mitarbeiter der IT diese Aufgabe immer wieder im Alltagsgeschäft nebenbei erledigen.

Ein Beispiel macht deutlich, was das im Einzelnen bedeutet: Zunächst erscheint es leicht, festzulegen, welche unterschiedlichen Berechtigungs-Sets Studenten, Mitarbeiter und Dozenten einer Universität bekommen sollten. Sobald aber Studenten einen Aushilfs-Job haben, für den sie auch Rechte eines Mitarbeiters brauchen, wird es schon komplizierter. Wenn diese Studenten gar als Doktoranden an der Hochschule lehren, benötigen sie auch Dozentenrechte. Hat ein Student aber sowohl Studenten- als auch Mitarbeiter- und Dozentenrechte, besteht die Gefahr, dass er in der Dozentenrolle, in der er andere Studenten zu bewerten hat, auch sich selbst eine Note ausstellt und diese dann in der Mitarbeiterrolle in seine Studentenakte einträgt.

Diese Gefahr auszuschließen und den Prozess lückenlos zu definieren erfordert langes, mit viel Erfahrung und Weitblick verbundenes Feilen. Das kann keiner allein und neben seinem Alltagsgeschäft erledigen. Trotzdem wird Vergleichbares oft erwartet. Führungskräfte verlassen sich dabei auf die Wirkung der Policies, welche die IT verpflichten, kritische Rechtekombinationen zu eliminieren. Sie übersehen, dass Policies die Frage, welche einzelnen Rechte nicht miteinander kombiniert werden dürfen, nicht beantworten.

Aber nicht nur bei fehlenden Prozessen missachten Administratoren notgedrungen die Richtlinien. Auch definierte Prozesse werden umgangen, nämlich dann, wenn sie nicht ausgereift sind. So haben viele Unternehmen eine IT-gestützte Kommunikation zwischen IT und fachlich Vorgesetzten eingerichtet, damit der IT einfach, schnell und nachvollziehbar mitgeteilt werden kann, welche Zugriffsrechte benötigt werden. Nicht selten haben dann Betriebswirte, Verkäufer oder Juristen, also Mitarbeiter mit durchschnittlichen IT-Kenntnissen, in schier endlosen Web-Katalogen Hunderte von Checkboxen abzuarbeiten, die sie höchstens zum Teil verstehen.

Die Folge: Entweder sie kreuzen alles an, damit die benötigten Berechtigungen auch sicher dabei sind, oder sie rufen den Administrator an und fragen, was sie ankreuzen müssen beziehungsweise ob er auch ohne das Web-Formular die benötigten Accounts und Berechtigungen anlegen kann. Damit hat sich der Nutzen des Web-Katalogs in Luft aufgelöst. Denn die digitale Abbildung eines Prozesses allein bringt wenig. Prozesse können erst dann gewinnbringend abgebildet werden und für die nötige Sicherheit sorgen, wenn auch wirklich alle Beteiligten mit ihnen umgehen können.

Unternehmen kämpfen heutzutage also mehr mit der Definition ihrer eigenen Prozesse als mit den Schwächen der IdM-Produkte. Kein Wunder, haben sich doch die Produkte in den letzten Jahren stark entwickelt: Wo sich früher jedes rudimentäre Meta-Directory IdM nannte, stehen heute gereifte Lösungen mit Workflows, Meta-Directory und Business-Role-Management zur Verfügung. Auch musste man sich früher mit Reports der aktuellen Berechtigungen zufriedengeben und Abweichungen zum Soll-Zustand selbst heraussuchen. Heute darf man dagegen ein Audit von seinem IdM-Produkt erwarten, das die Abweichungen zwischen Soll- und Ist-Zustand gezielt aufzeigt.

Aber trotz dieser Stärken sind Unternehmen mit ihren IdM-Produkten noch nicht wunschlos glücklich. Denn die vielen Funktionen eines IdM sind nicht integriert, und so müssen einzelne Module selbst verbunden, einzeln administriert und teilweise auch separat gekauft werden. Eine einheitliche Administrations- und Entwicklungsoberfläche für alle Funktionen des IdM wie Rollen, Audit, Workflow und Meta-Directory wäre eine echte Arbeitserleichterung.

Noch weiter in die Zukunft geblickt ist es eine Überlegung wert, auch Softwareverteilung, Lizenzverwaltung und Zutrittsberechtigungs-System mit dem IdM zu koppeln. Erste Unternehmen praktizieren dies bereits, sodass ihre Mitarbeiter automatisiert und maßgeschneidert Software auf ihren Arbeitsplatzrechner aufgespielt bekommen oder die Lizenz für den neuen Mitarbeiter nicht neu gekauft, sondern von einem ausgeschiedenen Kollegen übernommen wird. Für die meisten ist dies aber noch Zukunftsmusik.

Trotz solcher Entwicklungsaufgaben überzeugt IdM schon heute: 89 Prozent der IdM einsetzenden Firmen sind mit ihrer Benutzerverwaltung zufrieden, wohingegen in Firmen ohne IdM nur 50 Prozent ihre Benutzerverwaltung als gut beurteilen. 88 Prozent der Unternehmen sind mit ihren Projekten zufrieden, und 74 Prozent bestätigten das Erreichen aller Ziele.

Außerdem verzeichnen IdM-Nutzer trotz der beschriebenen Lücken eine Steigerung der IT-Sicherheit. Denn schließlich kommen selbst durch ein lückenhaftes IdM keine neuen Mängel hinzu. Im Gegenteil: Das IdM schließt Lücken. Und von den Risiken, die schon vor Einführung des Systems bestanden haben, bleibt nur der Teil übrig, für den noch keine Geschäftsprozesse abgebildet sind. Offensichtlich sind das aber immer noch zu viele. (ph)

Projektleitung schließt bestimmte Prozesse aus: In IdM-Projekten werden meist zuerst die Prozesse der „normalen” Mitarbeiter angelegt und externe Mitarbeiter, Kunden, Lieferanten sowie Partner ausgespart. Für diese können die Sicherheitsstandards des IdM nicht gelten. Datendiebe wissen das.

Unpräzise Policies und Vorgaben für Administratoren: Sätze in Policies wie „Kritische Rechtekombinationen sind unverzüglich zu löschen” nützen nichts. Es muss konkrete Aussagen darüber geben, welche Rechte genau nicht kombiniert werden dürfen.

Account-Vergabe wird weder geprüft noch sanktioniert: Wenn Prozesse nicht definiert sind, geht die provisorische Account-Vergabe einfacher und schneller. So wie jeder Autofahrer manchmal das Tempolimit vergisst, solange kein Blitzer aufgestellt ist, übergehen Administratoren auch Sicherheitsvorgaben, wenn sie in Eile sind und weder Kontrolle noch Sanktionen zu erwarten haben.

Unausgereifte Prozesse: Nicht selten müssen Vorgesetzte für einen Mitarbeiter aus ellenlangen Listen mit undurchsichtigen Accounts und Berechtigungen die richtigen auswählen. Sie sind damit überfordert und kreuzen einfach alles an oder fragen den Administrator, was sie ankreuzen müssen, oder bitten ihn, die benötigten Accounts und Berechtigungen irgendwie anzulegen. Solange also Listen zur Auswahl von benötigten Berechtigungen nicht für alle verständlich sind, bringt auch die Einbindung in ein IdM-System nichts.

Kein Prozess für Vertretungen und Projekte: Für wechselnde Projekte benötigen Mitarbeiter wechselnde Zugriffsberechtigungen. Oft ist dafür kein Prozess vorgesehen. Dann werden meist nur die zusätzlich benötigten Berechtigungen provisorisch eingerichtet, aber die obsoleten nicht gelöscht. So sammeln sich Rechte, unter Umständen entstehen gar kritische Kombinationen. Nur wenn für solche wechselnden Berechtigungen Prozesse im IdM-System angelegt sind, kann das System kritische Rechtekombinationen oder die Weiterführung nicht mehr aktiver Benutzer ausschließen.

© IDG / In Zusammenarbeit mit computerwoche.de
Leserkommentare

Leserkommentare (0)

Sie schreiben unter dem Namen:



Diskutieren Sie mit!

Damit Sie Artikel kommentieren können, müssen Sie sich einmalig registrieren — bereits registrierte Leser müssen zum Schreiben eines Kommentars eingeloggt sein. Beachten Sie unsere Diskussionsregeln, die Netiquette.

Homepage aktualisiert

Finden Sie jetzt neue aktuelle Informationen auf unserer Startseite

Wieder zur Homepage

Die Homepage wurde aktualisiert