eGovernment-Interview

Öffentliche Verwaltung & IT: Zugriffskontrolle über Rollen

Seite: 3/4

Firmen zum Thema

Wie können gemäß dem Konzept fachliche Rollen in technische Anwendungsrollen überführt werden?

Schöndlinger: ... über einen detaillierten Abgleich der fachlichen Rollen mit den innerhalb der Behörde eingesetzten Applikationen und darin angewandten technischen Anwendungsberechtigungen.

Dieser eingehende Vergleich deckt Ungereimtheiten zwischen den anvisierten fachlichen Rollen und ihrer technischen Umsetzung auf. Die Resultate dieses Vergleichs können sein, dass

  • Applikationen oder Applikationsteile fehlen,
  • persönliche technische Berechtigungen für Applikationen bisher nicht hinreichend oder zu weitgehend eingeräumt wurden,
  • technische Berechtigungen nicht oder nur unzulänglich die Sicherheits­politik der Behörde widerspiegeln,
  • Compliance-Vorgaben aufgrund zu weitgehender technischer Berechtigungen oder unzureichend ausgeprägter Auditing- und Reporting-Mechanismen nicht eingehalten werden können.

Erst wenn die Fachrollen mit i­hrem technischen Gegenüber, den Anwendungsrollen, übereinstimmen und auf technischer Seite entsprechend nachgebessert wurden, können die Fachrollen für das künftige Rollenmanagement zertifiziert werden.

Vom jeweiligen Tätigkeitsbereich des Mitarbeiters zielsicher auf die Zugriffsrechte für Applikationen zu schließen, das dürfte nicht immer einfach sein.

Schöndlinger: Stimmt. So können innerhalb desselben Tätigkeitsbereichs der Behörde Funktionen und damit Aufgaben differieren. Auch der Grad der Verantwortlichkeit oder Zuständigkeit innerhalb eines Tätigkeitsbereichs hat Auswirkungen darauf, welche Applikationen über welche Rechte bereitgestellt werden müssen. Hinzu kommen Funktionen, die für eine moderne eVerwaltung die Brücke zu anderen Fachbereichen oder anderen Behörden schlagen, wofür diese Mitarbeiter Zugriffsrechte auf weitere Applikationen oder erweiterte Zugriffsrechte benötigen. Auch Berechtigungsprüfungen, angestoßen durch Anfragen mittels Workflows, stellen spezielle Anforderungen an die Zuordnung von Applikationen und Rechten, die meist nicht mit Rollen vereinbar sind.

Für einen später erfolgreichen und lohnenden Einsatz hat es sich bewährt, nur für die Mitarbeiter bestimmter Tätigkeitsbereiche Rollen herauszubilden, die ohne zusätzliche Applikationen und Rechte auskommen und für die mittels Attribute Zugriffe nicht bis hinunter auf Funktions- und Inhaltsebene differenziert werden müssen. Für Personen mit Spezialaufgaben sollten stattdessen über das IAM-System die Zugriffsrechte direkt den betreffenden Applikationen beziehungsweise Funktionen/Inhalten zugewiesen werden. Diese vorausschauende Vorgehensweise beugt zu vielen, speziellen Rollen vor und steigert insgesamt die Effizienz, Transparenz, Sicherheit und Regelkonformität des künftigen Rollenmanagements. Immerhin können nach unseren Erfahrungen in der Öffentlichen Verwaltung die Applikations- und Rechteanforderungen von rund 90 Prozent aller Behördenmitarbeiter über Rollen abgebildet werden. Ein Rollenmanagement mit Augenmaß erweist sich somit, auch aus dem Kostenblickwinkel, für die Verwaltung meist als höchst lukrativ.

(ID:38915330)