Mitarbeiterberechtigungen im Public Sector

Access Governance – und was dahintersteckt

| Autor / Redakteur: René Leitz* / Susanne Ehneß

(XtravaganT_Fotolia.com)

In öffentlichen Verwaltungen kommt es im Mitarbeitergefüge ständig zu Veränderungen: Ein Angestellter wechselt die Abteilung, ein anderer kündigt, eine Kollegin geht in Elternzeit. Oft ist die IT-­Abteilung das letzte Glied in der Kette, das davon erfährt. Entsprechend werden sensible Zugriffsberechtigungen der (Ex-)Kollegen meist nicht tagesaktuell verändert. An diesem Punkt greift ein häufig gehörtes, aber nicht immer verstandenes Konzept: Access Governance.

In den Netzwerken öffentlicher Verwaltungen tummeln sich Unmengen sensibler – und damit schützenswerter – Daten. Eine klassische Security-Software allein reicht nicht aus; zusätzlich sollten die Zugriffsberechtigungen der Mitarbeiter kontrolliert und dokumentiert werden. Denn: Mitarbeiter sind Menschen, und Menschen machen Fehler. Insbesondere bei der Verwaltung vertraulicher Daten spielt der „Faktor Mensch“ eine entscheidende Rolle. Werden die einzelnen Zugriffsberechtigungen der Mitarbeiter nicht zentral überwacht, entsteht ein großes Durcheinander in öffentlichen Verwaltungen.

Denn die Berechtigungsvergaben für Daten, Netzwerke & Co. sind ein sich stetig wandelndes Gebilde. Schließlich verändern sich auch interne Mitarbeiterstrukturen häufig – vor allem in Öffentlichen Verwaltungen, die örtlich verteilt sind. Verantwortliche in der IT-Abteilung wissen oftmals nicht, welcher Mitarbeiter aktuell welche Zugriffsrechte besitzt. Dieser Missstand könnte ausgenutzt werden: beispielsweise, wenn ein externer Kollege im Rahmen eines spezifischen Projekts auf interne Daten der Verwaltungsorganisation zugreifen darf und die IT-Abteilung versäumt, seine Zugriffsberechtigung nach Abschluss des Projekts aufzulösen. Denn der externe Mitarbeiter könnte sich jetzt unbemerkt im Netzwerk austoben und im schlimmsten Fall Manipulationsversuche starten.

Um entsprechenden Risiken vorzubeugen, müssten die IT-Verantwortlichen die Zugriffsberechtigungen kontinuierlich überwachen und kontrollieren. Doch gerade in öffentlichen Verwaltungen, die dezentrale, meist nur schwer zu überblickende Strukturen aufweisen, ist ein einheitliches, schnelles und tagesaktuelles Reporting ohne ­unterstützende Software-Lösung quasi nicht möglich.

Schluss mit umständlicher Datenauslese

Auf dem Markt gibt es professionelle Access-Governance-Lösungen, die alle Zugriffsrechte innerhalb der verwaltungsweiten IT-Landschaft zentral erfassen. Die Software ist bestenfalls zu allen genutzten Systemen (herstellerunabhängig) kompatibel, sodass es keine Übertragungs- oder Formatschwierigkeiten gibt. Ohne ein solches Tool müssten IT-Abteilungen aktuelle Zugriffsberechtigungen umständlich und zeitaufwendig auslesen, analysieren, abgleichen und aktualisieren – und das neben dem normalen Tagesgeschäft.

Eine Access-Governance-Lösung veröffentlicht die gesammelten ­Daten auf einer zentralen Web-Oberfläche. So erhalten IT-Teams schnellen Zugriff auf die erforderlichen Informationen zu den jeweilig gewährten Zugriffsrechten der Mitarbeiter, zum Beispiel wenn essenzielle Berechtigungen fehlen oder (Ex-)Kollegen fälschlicherweise immer noch Zugriffsmöglichkeiten besitzen.

Wichtig ist zudem, dass die Software alle Daten für Analysen, Bereinigungen von Berechtigungen oder Löschungsanträge strukturiert und visualisiert. Denn nur die Strukturierung aller Informationen bringt öffentlichen Verwaltungen einen Mehrwert – und diese Strukturierung kann recht simpel geschehen. In öffentlichen Verwaltungen arbeiten Personen, Personen haben Benutzerkonten, und Benutzerkonten besitzen Berechtigungen. Eine Access-Governance-Lösung hat exakt diese Aufgabe, teils komplexe Strukturen so anschaulich und so einfach wie möglich darzustellen und dadurch schnelle Antworten auf kritische Fragen zu geben (zum Beispiel welche Benutzerkonten und Berechtigungen ein Angestellter innerhalb der IT-Landschaft innehat). Neben diesen technischen Vorgängen im Backend der Software ist für Anwender aber vor allem das Frontend von Bedeutung.

Auch hier ist Übersicht und Einfachheit Trumpf. Eine professionelle Lösung stellt alle relevanten Informationen personalisiert und verständlich bereit: übersichtliche Reports statt verwirrender IT-Fachtermini. Nutzer sollen auf einen Blick sehen, welche Konten ungenutzt oder welche Benutzerkonten verwaist sind (beispielsweise weil ein Kollege mittlerweile im Ruhestand ist). Gerade diese verwaisten Benutzerkonten verursachen zusätzliche finanzielle Belastungen, da für jedes Benutzerkonto in der Regel Lizenzgebühren entrichtet werden müssen. Eine Access-Governance-Software deckt solche Mängel auf und hilft öffentlichen Verwaltungen somit beim Geldsparen.

Lesen Sie auf der nächsten Seite weiter.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben
Es gibt Lösungen für Berechtigungsmanagement-Lösungen auf dem Markt, die gängige...  lesen
posted am 29.09.2016 um 16:17 von Evelyn Seeger

Leider fehlt in vielen Fällen ein belastbares Rollen- und Rechtekonzept. Aus meiner Sicht ist ein...  lesen
posted am 13.07.2016 um 08:26 von Unregistriert


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44155477 / System & Services)