Mitarbeiterberechtigungen im Public Sector

Access Governance – und was dahintersteckt

| Autor / Redakteur: René Leitz* / Susanne Ehneß

Jede Abteilung kennen

Darüber hinaus bieten professionelle Lösungen zahlreiche Funktionen zur individuellen Konfiguration. Ein Beispiel dafür sind so ­genannte Soll-Berechtigungsmodelle. Richtet man diese Vorgaben ein, meldet die Software, wenn es bei der Analyse zu Abweichungen von den gewünschten und vereinbarten Berechtigungen kommt. Auf diese Weise können die Berechtigungen von Personen übergreifend bewertet werden, zum Beispiel gegenüber dem jeweiligen Stellen- und Tätigkeitsprofil oder gegenüber Kollegen, die eigentlich die gleichen Berechtigungen haben müssten.

Je größer eine öffentliche Verwaltung, desto unwahrscheinlicher ist es, dass die IT-Abteilung das Berechtigungsprofil der einzelnen Mitarbeiter im Detail kennt. Eine Access-Governance-Software hingegen kennt jede Abteilung inklusive der dortigen Umstände und Besonderheiten. Die Berechtigungen können somit fachlich beurteilt und schnell in die richtigen Hände gegeben werden.

Ferner ist es möglich, die Verantwortlichkeit für komplette Systeme mit allen Benutzerkonten und Berechtigungen auch einzelnen Personen zuzuweisen. Der jeweilige Verantwortliche weiß in der Regel am besten, wer warum welche Berechtigung besitzen sollte und wer nicht.

Entsprechende Berechtigungs­konzepte und -vorgaben, die Verwaltungen festlegen, müssen kontinuierlich auf ihre Einhaltung überprüft werden. Punktuelle Stichproben reichen nicht aus. Die Access-Governance-Lösung hat alle Zugriffsrechte stets im Auge und schlägt Alarm, falls eine vorgegebene Regel verletzt wird, ein Zugriffsprofil einer Person/Rolle nicht mit den dafür bestimmten Rechten übereinstimmt oder gar Berechtigungen bestehen, die gar nicht erlaubt sind. In diesem Fall alarmiert die Software die IT-Abteilung oder andere verantwortliche Führungskräfte umgehend, sodass sie reagieren können.

Die kontinuierliche Überwachung der Software unterstützt auch bei der Einhaltung gesetzlicher Vorgaben. Denn manche öffentliche Verwaltungen könnte im Sinne des Datenschutzes der Pflicht ­unterliegen, in bestimmten Zyklen so genannte Rezertifizierungen durchzuführen. Dabei werden Benutzerkonten und Berechtigungen überprüft. Professionelle Access-Governance-Lösungen stellen ­diese Informationen übersichtlich bereit. Da die Software die Methode der fortlaufenden Überprüfung der Berechtigungen (Continuous Auditing) verfolgt, müssen bei der Rezertifizierung ausschließlich Veränderungen bestätigt werden, was der IT-Abteilung enorme Zeitersparnisse ermöglicht.

Cloud-Überwachung

Darüber hinaus helfen Access-Governance-Lösungen auch bei der kontinuierlichen Überwachung von Cloud-Anwendungen, die sich aktuell stark vermehren. Applikationen in die Cloud zu verlagern, spart zwar Ressourcen innerhalb der Infrastruktur, die Cloud-Apps sind jedoch ohne zusätzliches Überwachungs-Tool kaum zu kontrollieren. Mitarbeiter könnten beispielsweise unbemerkt ein Google Doc im Web anlegen, dort sensible Firmendaten mit Partnern teilen und selbstständig Zugriffsrechte verteilen. Dies geschieht nicht selten ohne Genehmigung der IT-Fachabteilung.

Damit sensible Unternehmensinformationen vor den Augen unbefugter Dritter geschützt werden, überprüfen Access-Governance-Lösungen auch die Zugriffsberechtigungen für Cloud-Anwendungen und stellen sie zusammen mit den Berechtigungen gewöhnlicher IT-Systeme auf dem zentralen User-Frontend der Software dar.

100 Prozent Transparenz

Die größte IT-Schwachstelle sind häufig die Mitarbeiter selbst oder deren unklar definierte Zugriffsberechtigungen. Von externer wie interner Seite entsteht dadurch ein erhöhtes Manipulationsrisiko. Access-Governance-Lösungen bringen die Kontrolle und Sicherheit zurück. IT-Abteilungen und -Verantwortliche wissen immer Bescheid, wer wann worauf zugreift – und die Erlaubnis dafür hat. Das schafft hundertprozentige Transparenz im Netzwerk.

* René Leitz ist Teamleiter Product Development bei G+H Systems GmbH

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben
Es gibt Lösungen für Berechtigungsmanagement-Lösungen auf dem Markt, die gängige...  lesen
posted am 29.09.2016 um 16:17 von Evelyn Seeger

Leider fehlt in vielen Fällen ein belastbares Rollen- und Rechtekonzept. Aus meiner Sicht ist ein...  lesen
posted am 13.07.2016 um 08:26 von Unregistriert


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44155477 / System & Services)