IAM zur Vorbereitung für die Prozessoptimierung

Auf dem Weg zu mehr Effizienz, Effektivität und Flexibilität in den Behörden

28.10.2009 | Autor / Redakteur: Hadi Stiel / Gerald Viola

Erwin Schöndlinger ist Geschäftsführer von Evidian Deutschland
Erwin Schöndlinger ist Geschäftsführer von Evidian Deutschland

Wie stark sollte dieser Zugriffsschutz im eigenen Prozessinteresse ausgeprägt werden?

Schöndlinger: Ob Informationsprozesse, eAdministration-Prozesse oder elektronische Vorgangsbearbeitung: Jede Anwendung und deren Daten, die darin einbezogen wird, sollte vor unberechtigten Zugriffen sicher sein. Dieses Anforderungsprofil ergibt sich aus der Prozesssicht. Denn werden vermeintlich weniger sensible Anwendungen und Daten attackiert, kann das dennoch den kompletten Prozess zu Fall bringen. Und der wird in vielen Fällen für die Behörde sicherheitssensibel, jedenfalls ablaufkritisch sein.

Zudem wächst die Gefahr, Opfer von unberechtigten Zugriffen zu werden, mit jedem Schritt, den die Prozesse über die Grenzen der eigenen Behörde hinaustreten. Bei Prozessen über Behördengrenzen hinweg muss auch die Zugriffskontrolle in diesem komplexeren Kontext greifen, um zu jedem Zeitpunkt berechtigte von unberechtigten Personen klar unterscheiden zu können. Werden im Sinne eines modernen Staates die Bürger und die freie Wirtschaft in die Prozesse einbezogen, muss der Zugriffsschutz auch gegenüber diesen Schnittstellen und darüber hinaus verlässlich und nachhaltig wirken.

Gerade dieser erweiterte Prozess-Aktionsradius macht deutlich, wie unverzichtbar IAM als zentralisierte Zugriffskontrollinstanz für die Öffentliche Verwaltung sein wird.

Wenn man Ihren Überlegungen folgt, heißt das: Die Behördenverantwortlichen können im Sinne effizienter, effektiver und flexiblerer Informations-, Verwaltungs- und Bearbeitungsprozesse IAM nicht früh genug in ihre Projektüberlegungen einbeziehen. Ist das so?

Schöndlinger: Ja, dafür sprechen viele Gründe. Erstens empfiehlt sich IAM durch seine Anordnung direkt unterhalb der Prozesse dazu, mit der Optimierung von Informations-, Verwaltungs- und Bearbeitungsabläufen flankierend dazu die Zugriffskontrolle zu optimieren.

Zweitens müssen für die Optimierung der Prozesse ohnehin die bestehenden Anwendungen und Daten daraufhin analysiert werden, welche Rolle sie darin spielen. Wieso also nicht gleich die Sensibilität dieser Anwendungen, Daten und Abläufe mit hinterfragen, um beispielsweise für jeden Prozess bedarfsgerecht die Stärke der Authentisierung – Passwort, Secure Token, Chipkarte mit PIN oder Zertifikaten – festlegen zu können.

Drittens sind wichtige Teile von IAM, die Provisionierungs-Workflows, ihrerseits Prozesse.

Diese Workflows von vornherein passgenau zu den optimierten Informations-, Verwaltungs- und Bearbeitungsabläufen zu konzipieren und umzusetzen, ist weit zeit- und kostensparender, als sie nachträglich und umständlich in ein bestehendes Prozessgefüge einzubauen.

Nicht zu vergessen ist, dass viertens auch die anderen Behörden, die an diesen Prozessen partizipieren sollen, genügend Vorlaufzeit brauchen, um sich nicht nur mit ihren Prozessabschnitten, sondern auch mit ihrer flankierenden Zugriffskontrolle in Gesamtgefüge zu integrieren. Ein verteiltes IAM-Modell eröffnet dafür gute Voraussetzungen.

Fünftens wird, wie gesagt, die Behörde die gesteckten Ziele – höhere Effizienz, höhere Effektivität und höhere Flexibilität nach innen und außen – ohnehin nur erreichen, wenn Unberechtigte die Anwendungen, Daten und Prozesse nicht attackieren und stören können.

Allein der letzte Punkt müsste eigentlich für die Entscheider und Projektverantwortlichen ausreichen, keinesfalls ohne IAM konzeptionell wie technisch an die Optimierung der Prozesse zu gehen.

Nächste Seite: Compliance hat in Behörden nicht die Bedeutung, wie in Unternehmen

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2041118 / Standards & Technologie)