Identity Management übernimmt Berechtigungssteuerung Rollenmodell erhöht die Flexibilität

Autor / Redakteur: Volker Bertermann, Uwe Schindler / Manfred Klein

Um auch in Zukunft flexibler auf organisatorische Veränderungen reagieren zu können und sensible Datensätze vor unbefugten Zugriffen noch wirksamer schützen zu können, wurde die bisher eingesetzte Meta-Directory-Lösung bei den Deutschen Rentenversicherungen Rheinland und Westfalen zu einer leistungsstarken ganzheitlichen Identity-Management-Lösung umgebaut. Ein ausgeklügeltes Rollenmodell regelt dabei die Berechtigungs- und Zugriffsvergabe für jeden einzelnen Mitarbeiter.

Firmen zum Thema

( Archiv: Vogel Business Media )

Die Kundendaten von Versicherungsträgern enthalten in der Regel eine Vielzahl von sensiblen Daten – von Adresse und Telefonnummer bis hin zur Krankengeschichte und der Kontonummer. Umso wichtiger ist es daher, diese Daten vor unbefugten Zugriffen zu schützen und zwar sowohl von innen als auch von außen. Bei den Rentenversicherungsträgern Rheinland und Westfalen ist das eine Aufgabe für die ZRWest-GmbH (Deutsche Rentenversicherung Zentrales Rechenzentrum West GmbH) mit Sitz in Münster, einem von insgesamt vier IT-Dienstleistern innerhalb der Deutschen Rentenversicherung.

Doch die IT-Spezialisten haben noch eine weitere Aufgabe: Die Betreuung der IT-Arbeitsplätze der Rentenversicherungsträger Rheinland und Westfalen als Kunden der ZRWest-GmbH. Und dazu gehören vor allem die Konzeption, der Betrieb und die Weiterentwicklung von IT-Anwendungen und deren Infrastruktur. Eine der Kernanwendungen ist dabei ein hostbasierendes Client-Server-Fachverfahren zur Bearbeitung der rund 12 Millionen Rentenversicherungskonten. Daneben gehören aber auch das Netzwerk, das SAN (Storage Area Network), verschiedene Server-Systeme und die Desktop-PCs mit ihren Fach- und Standardanwendungen zum Aufgabenbereich der ZRWest-GmbH.

Bildergalerie

Um vor allem den Schutz der Datensätze zu gewährleisten, setzte der IT-Dienstleister bereits seit geraumer Zeit auf eine Meta-Directory-Lösung. Dadurch konnte zwar die Datenkonsistenz erhöht und die Stammdatenpflege wesentlich verringert werden, doch erforderten die verschiedenen organisatorischen Veränderungen innerhalb der Rentenversicherungsträger ein immer weiter steigendes Maß an Administrations- und Pflegeaufwand bezogen auf die Zugangsberechtigungen, ohne dass allerdings zusätzliches Personal zum Auffangen der Mehrarbeit eingestellt werden konnte. Um den Administrationsaufwand dennoch zu optimieren und ohne gleichzeitig die Datensicherheit zu kompromittieren, wurde deswegen – in Zusammenarbeit mit Siemens Enterprise Communications als Systemhaus – ein Projekt ins Leben gerufen, das den Ausbau des bisher eingesetzten Meta Directorys zu einer leistungsstarken Identity-Management-Lösung (IdM) zum Ziel hatte und damit eine Abkehr von der klassischen Synchronisierung bedeutete.

Rollenbasierende Berechtigungsvergabe

Es entstand ein Projekt, das mit einigen großen Herausforderungen verbunden war. Eine davon lag im Aufbau der regel- beziehungsweise rollenbasierenden Berechtigungsverwaltung und in der Provisionierung der verschiedenen Ausprägungen/Domänen jeweils gleicher Zielsysteme, wie beispielsweise die unterschiedlichen Domänen von Lotus Notes und des eingesetzten Workplace-Management-Systems. So musste im Falle einer Versetzung eines Mitarbeiters der Umzug des User Accounts zwischen den verschiedenen Zielsystem-Domänen durch die IdM-Lösung unterstützt und hinsichtlich der Berechtigungszuordnung automatisiert werden.

Um künftig flexibler auf organisatorische Veränderungen reagieren zu können, sollte die Berechtigungsvergabe durch den Einsatz eines Rollenmodells erfolgen. Ein klassisches Rollenmodell sieht dabei die Definition von Rollen vor, die die Funktionen, Aufgabenfelder und organisatorischen Zuordnungen eines Unternehmens repräsentieren, und die den Mitarbeitern zugewiesen werden können. Diese Rollen sind dann wiederum implizit mit Berechtigungen der Zielsysteme DX-Union, Lotus Notes und SAP ECC UM verbunden. Die Rollenzuordnung sorgt dafür, dass der entsprechende Mitarbeiter einen Systemzugang sowie die notwendigen Berechtigungen innerhalb der betreffenden Zielsysteme bekommt.

Der Rollenentzug hingegen sorgt für die Sperrung oder das Löschen des Systemzugangs, wenn dieser beispielsweise das Unternehmen verlässt. Idealerweise wird das Identity Management System (IdM-System) als führendes System für die Berechtigungsvergabe eingesetzt, das heißt, dass nur das IdM-System Berechtigungen innerhalb der Zielsysteme zuordnen kann.

Im Gegensatz zur Nutzung eines klassischen Rollenmodells kann ein IdM-System jedoch auch in einer sehr abgeschwächten Form eingesetzt werden, die ohne ein solches Rollenmodell auskommt und ausschließlich zur Erzeugung von Systemzugängen genutzt wird. Die Berechtigungen müssen dann nach der Generierung eines Systemzugangs durch die Administratoren in den betreffenden Zielsystemen vergeben werden. Und genau zwischen diesen beiden Ansätzen, galt es für die Experten der ZRWest eine Lösung für die Rentenversicherungsträger zu finden.

Lösungsansätze

Die Berechtigungsvergabe für Mitarbeiter ist bei den Kunden der ZRWest-GmbH von mehreren Faktoren abhängig. So bestimmen das Anstellungsverhältnis (interner oder externer Mitarbeiter), die Betriebs- oder Bereichszugehörigkeit und die Zugehörigkeit zu einer Abteilung oder einem Betriebsteil die Berechtigungen eines Mitarbeiters. Darüber hinaus können einem Mitarbeiter noch spezielle Funktionen und Berechtigungen in IT-Systemen zugeordnet werden, wenn er diese für seine tägliche Arbeit benötigt.

Aufgrund dieser Komplexität sollte ein pragmatischer Weg gefunden werden, den Einsatz von Rollen im Kontext der IdM-Architektur optimal zu nutzen. Nach einer eingehenden Analysephase entschied sich der IT-Dienstleister schließlich für eine Provisionierung der User Accounts und die Vergabe von Basisgruppenrechten. Dieser Ansatz sieht das Anlegen von User Accounts und die Vergabe von einer Menge von Basis-Berechtigungen anhand der Basisrollen vor. Der Entzug der Rolle führt zur Sperrung oder Löschung des entsprechenden Accounts.

Zwar ist auch bei diesem Ansatz eine ergänzende Berechtigungszuordnung eines User Accounts durch die Systemadministratoren der einzelnen Zielsysteme möglich, allerdings können die Basisberechtigungen weder verändert noch gelöscht werden. Somit ist gewährleistet, dass die Berechtigungen, die über das IdM-System zugeordnet wurden, als verbindliche Berechtigungszuordnungen durchgesetzt werden. Diese Art der Provisionierung ist äußerst wichtig, wenn wie im Falle von Lotus Notes mit Sperrgruppen gearbeitet wird, da diese Sperrgruppen keinesfalls seitens der Zielsystemadministration entfernt werden dürfen.

Vorteilhaft gegenüber anderen Ansätzen erfolgt die Optimierung der Administrationsprozesse dadurch, dass die Zuordnung der Basisrollen für eine verbindliche Zuordnung von Gruppenrechten sorgt. Die Zielsystem-Administratoren werden damit erheblich entlastet, behalten aber trotzdem die Flexibilität, um den User Accounts zusätzliche Gruppenrechte direkt im Zielsystem zuzuordnen. Doch es gibt auch Nachteile. So erlauben die im IdM-System zugeordneten Basisrollen beispielsweise nur eine eingeschränkte Aussage über die Gesamtmenge der zugeordneten Berechtigungen.

Regeln verhindern Missbrauch

Nach der Einführung der neuen Lösung sind die Rollen nun inhaltlich nach Basis- und Projektrollen unterteilt. Die Zuweisung von Basisrollen ist für jede Person von Parametern aus dem Organigramm wie beispielsweise Abteilungsnummer und Funktion abhängig. Damit ergibt sich für jeden Betriebsteil ein Modell mit zwei Basisrollen: interner und externer Mitarbeiter. Für alle Betriebsteile, die ZRWest-GmbH, die DRVen Rheinland und Westfalen sowie die 13 angeschlossenen Kliniken ergeben sich damit schon insgesamt 32 Basisrollen.

Jeder interne Mitarbeiter eines Betriebsteils erhält nach einer Regel (Rule) die Rolle „Interner Mitarbeiter “, mit der dann bestimmte Permissions verbunden sind. Sie steuern die Zuweisung von Gruppen an Accounts. Entscheidend dabei ist der organisatorische Parameter einer Person (zum Beispiel die Abteilungsnummer), der mit einem Parameter an der Gruppe verglichen wird.

Bei der rollenbasierenden Berechtigungszuordnung wird sichergestellt, dass eine Aushebelung der über das IdM-System zugeordneten Berechtigungen ausgeschlossen ist. In Ergänzung dazu werden die individuell im Zielsystem administrierten Berechtigungen bei einer Änderung der Rollenzuordnung im IdM-System berücksichtigt. Somit ist es erforderlich, die individuell zugeordneten Berechtigungen auch im IdM-System transparent zu machen, womit wiederum eine wesentliche Anforderung zur Erfüllung der Compliance im Sinne eines Auditings erfüllt wird.

Ein Gruppenrecht, welches aufgrund einer Rolle am User dem Account in Lotus Notes zugeordnet ist, kann zwar lokal im Zielsystem gelöscht werden, jedoch wird dieses dann automatisch über die Provisionierung des IdM-Systems wieder angelegt. Dies ist eine wesentliche Voraussetzung bei der Zuordnung von Sperrgruppen in Lotus Notes, da ansonsten eine über das IdM-System gesetzte Sperrgruppenzuordnung lokal im Zielsystem wieder entfernt werden könnte. Wird eine Gruppe jedoch durch den Administrator des Zielsystems hinzugefügt, ist diese Zuweisung im IdM-System gesondert gekennzeichnet und somit jederzeit im IdM-System sichtbar. Die Provisionierung des IdM-Systems lässt diese Gruppenzuordnung im Zielsystem dann unberührt, sodass auch eine im Zielsystem entfernte Gruppenzuordnung durch das IdM-System nicht wieder angelegt wird.

Eine besondere Herausforderung bei der Realisierung war der automatisierte Umzug zwischen den Lotus-Notes-Domänen. Denn durch den Wechsel eines Mitarbeiters beispielsweise von der DRV Westfalen zur ZRWest-GmbH oder umgekehrt wird der Mail-Account entsprechend mit allen Daten transferiert. Die Umsetzung erfolgt in Lotus Notes durch das Sperren des Accounts in der alten Domäne inklusive dem Entfernen aus dem Adressbuch und der Neuanlage des Accounts in der neuen Domäne. Die Einbindung der geschaffenen Identity-Management-Lösung sieht nun im Ergebnis so aus, dass vier DX-Union-, zwei Lotus-Notes-Systeme und das SAP ECC UM angebunden sind.

Das IdM-System speichert im Rahmen seiner Architektur sowohl die aktuellen Personendaten als auch eine aktuelle Kopie der Account- und Gruppendaten der Zielsysteme und kann dadurch die Umsetzung von Rollen und Permissions innerhalb des in sich geschlossenen IdM-Systems durchführen. Erst wenn diese Umsetzung in den IdM-System internen Zielsystembereichen, auch als virtuelle Zielsysteme bezeichnet, fehlerfrei abgelaufen ist, werden die aktuellen Account- und Gruppendaten in das jeweilige reale Zielsystem synchronisiert.

Eine scheinbar sehr umständliche Vorgehensweise, die allerdings dann von Vorteil ist, wenn sogenannte SODs (Segregation of Duties) überprüft werden müssen. Hierbei handelt es sich um eine Überprüfung von Rollen und Berechtigungen, welche sich gegenseitig ausschließen.

Die Überprüfung der SODs ist innerhalb des Identity-Management-Systems nur mit Kenntnissen über die virtuellen Zielsysteme sinnvoll lösbar, da bei einer direkten Rechtegewährung im realen Zielsystem die sich ausschließenden Berechtigungen schon umgesetzt wären. Die aus diesem Umstand entstehende Sicherheitsproblematik ist nicht zu unterschätzen. Deshalb erlaubt das Identity-Management-System erst nach Bereinigung der Segregation of Duties eine Synchronisation von Berechtigungen in die Zielsysteme.

Artikelfiles und Artikellinks

(ID:2014762)