Interview Mit Verwaltungsprozessoptimierung wird IAM zum Pflichtprogramm

Autor / Redakteur: Hadi Stiel / Gerald Viola

Die Optimierung der Verwaltungsprozesse schreitet langsam aber sicher voran. Mit dem modernen Staat geraten die Behörden zwangsläufig in den Sog einer höheren Zugriffssicherheit und einer höheren Gesetzeskonformität gemäß Compliance. Der bereichsübergreifende Charakter optimierter Verwaltungsprozesse ebenso wie ihre weitgehende Automatisierung zwingt zum Umdenken.

Anbieter zum Thema

Denn sowohl die Zugriffskontrolle als auch die Auditing- und Reporting-Mechanismen müssen mit den optimierten Verwaltungsprozessen Schritt halten. eGovernment Computing hat sich mit Erwin Schöndlinger, Geschäftsführer von Evidian Deutschland, über den Status quo und das Soll in puncto Zugriffskontrolle und Compliance unterhalten.

Sie sehen in beiden Punkten erheblichen Nachholbedarf in den Behörden?

Schöndlinger: In den Ämtern und für die meisten Behörden werden die Verwaltungsapplikationen noch separat geführt. Das bremst nicht nur die Optimierung von Verwaltungsprozessen aus, die sich in der Regel aus mehreren Applikationen zusammensetzen. Auch das Handling der Zugriffskontrolle gestaltet sich dadurch ausgesprochen schwierig und kostspielig. Außerdem entstehen durch nicht immer aktuelle Einträge und Rechte in den verschiedenen Verzeichnistöpfen Einstiegslöcher für Angreifer. Die Administrationskosten explodieren, weil jede Applikation separat kontrolliert und abgesichert werden muss. Sicherheitsstrategien können, wenn überhaupt, nur teilweise umgesetzt werden. Damit entgeht den Behörden ein wichtiges Instrument, ihren Sicherheitsschirm verlässlich zu schließen und an Veränderungen innerhalb der Organisation oder im Außenbereich – gegenüber Bürgern, Wirtschaft und anderen Behörden – flexibel und schnell anzupassen. Mit der Verwaltungsprozessoptimierung ist dies alles eigentlich nicht mehr vertretbar und leistbar.

Nächste Seite: Verwaltungsprozessoptimierung und Identity- und Access Management müssen Hand in Hand gehen

Also wächst mit dem Fortschritt bei der Verwaltungsprozessoptimierung der Sicherheits- und Kostendruck?

Schöndlinger: Zweifellos. Ich würde sogar soweit gehen: Ohne das Prozess-Soll von Anfang an mit einer professionellen Zugriffskontrolle zu flankieren, sollte die Optimierung erst gar nicht gestartet werden. Streng genommen muss jede Optimierungsetappe durch entsprechende Absicherungsmechanismen begleitet werden. Denn nur so sind die daran beteiligten Applikationen geschützt. Verwaltungsprozessoptimierung und Identity- und Access Management (IAM), darum geht es hier, müssen somit erst konzeptionell, danach umsetzungstechnisch Hand in Hand gehen. Das wird in vielen Behörden oder bei RZ-Dienstleistern für Behörden leider oft vergessen.

Wirft das nicht ein weiteres Problem auf, das der Leistbarkeit?

Schöndlinger: Nein. Beide, Verwaltungsprozessoptimierung und Zugriffskontrolle, setzen eines voraus: Das Gesamtbild muss stehen. Danach kann treffsicher entschieden werden, wo mit der Prozessoptimierung und der flankierenden Zugriffskontrolle begonnen werden sollte. Das werden in der Regel die Verwaltungsprozesse mit dem größten Optimierungs- und Einsparungspotenzial sein, also Prozessabfolgen, die für die Behörde wichtig sind. Diese Projektstrategie trifft sich mit der von IAM. Prozessabfolgen, die sich aus vielen Applikationen zusammensetzen und an denen viele Mitarbeiter beteiligt sind, werden für die Behörde das größte Einsparungspotenzial in sich bergen. Die Optimierungs- und Einsparungspotenziale entstehen bei beiden Projektabschnitten durch Straffung und, soweit wie möglich, durch Automatisierung.

Nächste Seite: In den IAM-typischen Optimierungsprozessen stecken erhebliche Kosteneinsparungen

Verwaltungsprozesse werden durch Straffung und Beschleunigung von Weiterleitungs- und Bearbeitungsvorgängen automatisiert. Wie sieht das bei einer über IAM koordinierten Zugangs- und Zugriffskontrolle aus?

Schöndlinger: In dem Benutzereinträge, -rechte und -rollen in einem zentralen Verzeichnis zentralisiert werden, sinkt der Administrations-, Pflege- und Anpassungsaufwand. Administrationsprozesse werden kostensparend gestrafft. Einträge, Rechte und Rollen zu neuen Mitarbeitern oder Mitarbeiter in neuen Funktionen, einmal zentral erfasst, werden per Workflow automatisch an die zuständige Fachabteilung propagiert. Werden Einzelrechte für Mitarbeiter einer bestimmten Abteilung zu Gruppenrechten zusammengefasst, wird die Administration zusätzlich erleichtert. Neuankömmlinge in dieser Abteilung, beispielsweise, können über die Zuweisung von Gruppenrechten ad hoc aktiv und dadurch produktiv geschaltet werden. Single-Sign-on (SSO)-Prozesse, ebenfalls Teil des IAM-Modulsets, vereinfachen und beschleunigen für die Mitarbeiter die Vergabe von Zugangs- und Zugriffsprivilegien.

In all diesen IAM-typischen Optimierungsmechanismen stecken für die Behörde erhebliche Kosteneinsparungen. In Verbindung mit welchen Verwaltungsprozessketten sie am höchsten ausfallen, sollte im Vorfeld des eigentlichen Projekts genau analysiert werden.

Sind es nur die Einsparungen, die in Zeiten der wirtschaftlichen Krise für den verwaltungsprozessflankierenden Einsatz von IAM-Modulen sprechen?

Schöndlinger: Keineswegs. Mit der Optimierung von Verwaltungsprozessen rücken viele Aktionen, Eingangsbestätigungen und Genehmigungen, die vormals offensichtlich auf Papier abgewickelt wurden, in den elektronischen Hintergrund. Die Zugriffskontrolle muss dieser konsequenten Digitalisierung folgen, damit für Angreifer von innen und außen keine gefährlichen Einstiegslöcher entstehen. IAM empfiehlt sich förmlich für diese Aufgabe. Mit seiner Verwaltungsprozessorientierung setzt IAM den Sicherheitshebel genau dort an, wo für die Behörden die größten Gefahren drohen: an den Applikationen mit den sensiblen Verwaltungsdaten und -dokumenten. Digitale Prozessabfolgen von Applikation zu Applikation werden automatisch durch eine ebenso digitale Zugriffskontrolle flankiert. Dadurch verlieren die vermeintlich weniger offensichtlichen Hintergrundprozesse für die Verantwortlichen ihren Schrecken.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung der Verwaltung und Öffentlichen Sicherheit.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Nächste Seite: Sichere Kommunikation zwischen Behörden, Bürgern und Unternehmen

Als Zugriffskontrollinstanz gegenüber den Mitarbeitern der Behörde, die in Weiterleitungs- und Bearbeitungsprozesse involviert sind, kann ich mir IAM gut vorstellen. Aber wie funktioniert das gegenüber Bürgern und Wirtschaft, die sich künftig in Verwaltungsprozesse einklinken sollen?

Schöndlinger: Lassen Sie mich das anhand eines Beispiels aus der Privatwirtschaft verdeutlichen. Bei Swiss Life Belgien, Spezialist für Lebens- und Krankenversicherungen, wirken die Kunden von Anfang an via Internet mit, ohne dass es durch diese Öffnung zu Sicherheitseinbußen für das Unternehmen kommt. Das Portal schaltet erst nach erfolgreicher Berechtigungsprüfung die Verbindung in das Backend zu den aufgerufenen Applikationen. An die PCs der Teilnehmer werden keinerlei Zugangs- und Zugriffsprivilegien übertragen. Es entsteht somit keine zusätzliche Angriffsfläche. In dieser Form mittels IAM realisiert, können auch Behörden sicher mit Bürgern und Vertretern der Wirtschaft via Internet zusammenarbeiten.

IAM, richtig auf- und umgesetzt, eröffnet den Behörden also bürger- und wirtschaftsnahe Kommunikations- und Bearbeitungskonzepte.

Sie sprechen auch von der Absicherung von Dokumenten. Kann IAM das leisten?

Schöndlinger: Ja, die Zugriffskontrolle kann mit Attributen auf einzelne Akten mit den darin aufgeführten Dokumenten ausgedehnt werden. Dadurch können Bearbeitungsprozesse bis auf Dokumentenebene abgesichert werden. Demzufolge werden unberechtigte Zugriffe bis auf diese Ebene verlässlich abgeblockt. Gerade für akten- und dokumentenorientiert arbeitende Verwaltungen ist das ein wichtiges Sicherheitsargument pro IAM. Natürlich müssen solche tief gestaffelten Zugriffskontrollstrukturen im Vorfeld gut durchdacht werden. Alle Zusammenhänge müssen dafür klar sein.

Apropos klar: Die Zugriffskontrolle ist eine Seite der Medaille. Compliance, also die Einhaltung gesetzlicher oder selbst auferlegter interner Vorschriften ist die andere. Was kann IAM dazu beisteuern? Zumal mit den Empfangs-, Bearbeitungs-, Weiterleitungs- und Genehmigungsprozessen im Hintergrund die Gefahr tendenziell wächst, dass Vorschriften untergehen, also nicht oder nicht konsequent genug eingehalten werden.

Schöndlinger: Sie haben recht: Wenn solche Prozesse in den digitalen Hintergrund treten, ist ihre ebenso digitale Aufzeichnung und Auswertung um so wichtiger. Leistungsfähige IAM-Modulsets halten dafür Auditing- und Reporting-Werkzeuge vor. Sie erlauben, nicht nur die berechtigten, sondern auch die unberechtigten Zugriffe und Zugriffsversuche zu verfolgen, auszuwerten und revisionssicher zu dokumentieren. Damit setzen die Auditier- und Reporting-Tools genau dort an, wo Gefahr für Compliance in Form von Informationsdiebstahl, -manipulation oder -zerstörung droht.

Das unterstreicht deutlich, wie wichtig IAM für die Behörden auch aus Sicht von Compliance ist. Gerade diejenigen Behörden, die solche Vorschriften vorgeben, sollten in dieser Hinsicht mit gutem Beispiel dem Markt vorangehen.

Nächste Seite: Die Verwaltungen müssen mit gutem Beispiel vorangehen

Wie einbruchssicher Applikationen, Akten und Dokumente sind, das wird von der Stärke der Authentisierung respektive Autorisierung abhängen. Erkennen Sie hier eine wachsende Bereitschaft in der Öffentlichen Verwaltung, auf stärkere Verfahren zu setzen?

Schöndlinger: Die Sensibilität im öffentlichen Bereich wächst, sensible Verwaltungsdaten besser abzusichern. Aktuelle Diskussionen und Vorhaben wie ein besserer Datenschutz, verbindliche Regulierungen bis hin zur Einführung der Gesundkeitskarte mit den darauf gespeicherten sensiblen Patientendaten tragen dazu bei. Dementsprechend wächst im Verwaltungsbereich auch die Bereitschaft, für einen kontrollierten Zugang auf Authentisierungsverfahren wie Sicherheits-Token oder Chipkarten mit PINs oder Zertifikaten zurückzugreifen.

Und auch für den Folgeschritt – die Autorisierung gegenüber den Applikationen – gegebenenfalls gegenüber Akten und Dokumenten, werden zunehmend Überlegungen in Richtung sichere Zertifikate und PKI (Public Key-Infrastruktur) getroffen.

Was für Compliance gilt, gilt letztlich auch für starke Authentisierungs- und Autorisierungsverfahren: Wenn die Politik vermehrt von den Bürgern und der Wirtschaft Transparenz, Verbindlichkeit und Integrität fordert, dann werden die Behörden mit gutem Beispiel den gleichen Regeln folgen müssen.

(ID:2022221)