eGovernment-Interview Öffentliche Verwaltung & IT: Zugriffskontrolle über Rollen

Autor / Redakteur: Hadi Stiel / Gerald Viola

Für eie moderne Verwaltung ist ein professionelles Management von Zugriffsrechten unverzichtbar. Für durchgehende, fachbereichs-, teils behörden­übergreifende Verwaltungsprozesse müssen die Zugriffsrechte der Mitarbeiter für die zugrunde­liegenden Applikationen klar geregelt sein.

Firmen zum Thema

Datensicherheit durchs „Rollenspiel“
Datensicherheit durchs „Rollenspiel“
(Foto: Michael Brown - Fotolia.com)

Die Hinwendung zum Identity and Access Management (IAM) ist ein wesentlicher Schritt, das Management von Identitäten und ihren Zugriffsrechten übersichtlich und kostensparend zu zentralisieren.

Allerdings erscheint das zentrale Management von Rollen mit tätigkeitsbezogenen Rechten innerhalb des IAM-Systems als weit besser geeignet, die Rechteanforderungen der Mitarbeiter innerhalb einer modernen eVerwaltung abzubilden. eGovernment Computing hat Erwin Schöndlinger, Geschäftsführer von Evidian Deutschland, zu diesem Themenfeld interviewt.

Worin besteht der generelle Vorteil für Behörden, für ihr Rechte­management entlang von Verwaltungsprozessen auf Rollen zurückzugreifen?

Schöndlinger: Rollen, die die persönlichen Rechte für einzelne Verwaltungsapplikationen orientiert am Tätigkeitsbereich der Mitarbeiter abbilden, haben für die Behörde gegenüber dem klassischen Management anwendungsbezogener Zugriffsrechte viele Vorteile. So sind die Rechte mit dem Tätigkeitsbezug für die Fachverantwortlichen weit besser nachvollziehbar. Noch mehr: Die Fachverantwortlichen, die am besten die Sicherheits- und Compliance-Anforderungen ihres Ressorts kennen, können von Beginn an maßgeblich an der Ausgestaltung der Rollen mitwirken. Über alle Fachabteilungen hinweg entsteht so ein Rollenkonzept, das es der Behörde ermöglicht

  • das Rechtemanagement weitgehend zu vereinheitlichen,
  • gemeinsame Rechteanforderungen für gleiche Applikationen von Mitarbeitern unterschiedlicher Fachbereiche besser zu erkennen und zu koordinieren,
  • das Rechtemanagement insgesamt transparenter zu gestalten und
  • einem Wildwuchs an unzulässigen oder nicht vertretbaren Zugriffsrechten für Verwaltungsapplikationen nachhaltig entgegenzuwirken.

Ruft ein solches Rollenkonzept, das alle beteiligten Ressorts einbindet, nicht förmlich nach einer zentralen Führung?

Schöndlinger: Auf jeden Fall, und dies sowohl für die Projektierungszeit als auch später für den Betrieb der Rollenmanagement-Lösung. Die fachlichen, tätigkeitsbezogenen Rechteanforderungen der einzelnen Ressorts sind nur unter zentraler Führung in ein übergreifendes Rollenkonzept mit engem Bezug zur Organisation und zu beteiligten Behörden überführbar. Später – im Betrieb – ist diese zentrale Führung notwendig, um das Rollenkonzept und damit das Rollenmanagement immer wieder Veränderungen anzupassen. Sie können aus neuen oder erweiterten Applikationen, sich wandelnden Tätigkeitsprofilen oder gesetzlichen Veränderungen resultieren. Das heißt, sowohl die IT- und Fachbereichsverantwortlichen als auch die Behördenleitung und die Revisionsverantwortlichen sollten von Anfang an mit an Bord sein.

Schon für IAM sind gesicherte Identitäten das A und O einer verlässlichen Zuordnung persönlicher Zugriffsrechte für Applikationen. Das sieht für ein tragfähiges Rollenkonzept und später Rollenmanagement bestimmt nicht anders aus – oder?

Schöndlinger: Die für die Mitarbeiter zentral geführten Identitäts­einträge müssen in jedem Fall eindeutig und stets aktuell sein, also identische Schreibweisen, keine doppelten Namenseinträge, keine Eintragsleichen, weil es verpasst wurde, Mitarbeiter aus- oder umzutragen. Nur auf Basis gesicherter, das heißt, stets eindeutiger und aktueller Identitätseinträge wird sich das organisationsnahe Rollenkonzept als tragfähig erweisen und später das Rollenmanagement verlässlich greifen. In Behörden, in denen IAM schon zum Einsatz kommt, wurden bereits die Verzeichnisse der Applikationen auf inkonsistente Identitätseinträge durchforstet, um sie zu bereinigen. Behörden ohne IAM-Einsatz müssen diese Bereinigung in den Verzeichnissen noch durchführen. Bevor aufbauend auf gesicherten Identitäten den Mitarbeitern die tätigkeitsbezogenen Rechte für die Applikationen zugewiesen werden können, die sie zur Erfüllung ihrer Aufgaben brauchen.

Natürlich muss für die Herausbildung der Fachrollen bekannt sein, welche Applikationen die Mitarbeiter in den einzelnen Tätigkeitsbereichen brauchen, um ihre Steuerungs-, Bearbeitungs- und Kommunikationsaufgaben vollständig erfüllen zu können. Und – ganz wichtig – die Anwendungsrollen, unverzichtbar für die technische Umsetzung des Rollenmanagement, müssen zum Konzept der fachlichen Rollen passen.

Wie können gemäß dem Konzept fachliche Rollen in technische Anwendungsrollen überführt werden?

Schöndlinger: ... über einen detaillierten Abgleich der fachlichen Rollen mit den innerhalb der Behörde eingesetzten Applikationen und darin angewandten technischen Anwendungsberechtigungen.

Dieser eingehende Vergleich deckt Ungereimtheiten zwischen den anvisierten fachlichen Rollen und ihrer technischen Umsetzung auf. Die Resultate dieses Vergleichs können sein, dass

  • Applikationen oder Applikationsteile fehlen,
  • persönliche technische Berechtigungen für Applikationen bisher nicht hinreichend oder zu weitgehend eingeräumt wurden,
  • technische Berechtigungen nicht oder nur unzulänglich die Sicherheits­politik der Behörde widerspiegeln,
  • Compliance-Vorgaben aufgrund zu weitgehender technischer Berechtigungen oder unzureichend ausgeprägter Auditing- und Reporting-Mechanismen nicht eingehalten werden können.

Erst wenn die Fachrollen mit i­hrem technischen Gegenüber, den Anwendungsrollen, übereinstimmen und auf technischer Seite entsprechend nachgebessert wurden, können die Fachrollen für das künftige Rollenmanagement zertifiziert werden.

Vom jeweiligen Tätigkeitsbereich des Mitarbeiters zielsicher auf die Zugriffsrechte für Applikationen zu schließen, das dürfte nicht immer einfach sein.

Schöndlinger: Stimmt. So können innerhalb desselben Tätigkeitsbereichs der Behörde Funktionen und damit Aufgaben differieren. Auch der Grad der Verantwortlichkeit oder Zuständigkeit innerhalb eines Tätigkeitsbereichs hat Auswirkungen darauf, welche Applikationen über welche Rechte bereitgestellt werden müssen. Hinzu kommen Funktionen, die für eine moderne eVerwaltung die Brücke zu anderen Fachbereichen oder anderen Behörden schlagen, wofür diese Mitarbeiter Zugriffsrechte auf weitere Applikationen oder erweiterte Zugriffsrechte benötigen. Auch Berechtigungsprüfungen, angestoßen durch Anfragen mittels Workflows, stellen spezielle Anforderungen an die Zuordnung von Applikationen und Rechten, die meist nicht mit Rollen vereinbar sind.

Für einen später erfolgreichen und lohnenden Einsatz hat es sich bewährt, nur für die Mitarbeiter bestimmter Tätigkeitsbereiche Rollen herauszubilden, die ohne zusätzliche Applikationen und Rechte auskommen und für die mittels Attribute Zugriffe nicht bis hinunter auf Funktions- und Inhaltsebene differenziert werden müssen. Für Personen mit Spezialaufgaben sollten stattdessen über das IAM-System die Zugriffsrechte direkt den betreffenden Applikationen beziehungsweise Funktionen/Inhalten zugewiesen werden. Diese vorausschauende Vorgehensweise beugt zu vielen, speziellen Rollen vor und steigert insgesamt die Effizienz, Transparenz, Sicherheit und Regelkonformität des künftigen Rollenmanagements. Immerhin können nach unseren Erfahrungen in der Öffentlichen Verwaltung die Applikations- und Rechteanforderungen von rund 90 Prozent aller Behördenmitarbeiter über Rollen abgebildet werden. Ein Rollenmanagement mit Augenmaß erweist sich somit, auch aus dem Kostenblickwinkel, für die Verwaltung meist als höchst lukrativ.

Welche Möglichkeiten gibt es, das Rollenmanagement in der Verwaltung in Szene zu setzen?

Schöndlinger: Die Rollen mit ihren Zugriffsrechten auf bestimmte Applikationen können klassisch, das heißt manuell, den gesicherten Identitäten, also Mitarbeitern, zugewiesen werden. Bei dieser Methode haben es die Fachbereichsverantwortlichen buchstäblich in der Hand, anhand von Listen gegebenenfalls Rollen mit den darin hinterlegten Applikationen und Rechten für einzelne Mitarbeiter ihres Bereiches einzuschränken. Eine zweite Vorgehensweise besteht darin, Regeln zu entwerfen, um darüber die Rollen automatisch den betreffenden Mitarbeitern zuzuweisen. Die für den Regelentwurf notwendigen Kriterien können beispielsweise aus der Personalabteilung in Form gesicherter Identitäten und Tätigkeitsbeschreibungen kommen, aber auch aus anderen nützlichen Informationsquellen der Behörde respektive den Fachabteilungen. In der Praxis läuft die Rollenzuweisung auf eine Kombination beider Methoden hinaus.