Referenzmodell zur Einrichtung von IAM-Systemen

Zugriffsberechtigungen systematisch regeln

| Autor / Redakteur: Ga-Lam Chang, Peak Solution / Susanne Ehneß

Zutrittsberechtigungen für Gebäude sind relativ einfach zu definieren, bei IT-Rechten kann es komplex werden
Zutrittsberechtigungen für Gebäude sind relativ einfach zu definieren, bei IT-Rechten kann es komplex werden ( © maxkabakov - Fotolia)

IT-gestützte Verwaltungen brauchen wirkungsvolle Mechanismen, um geltenden ­Datenschutz- und Geheimhaltungsvorgaben zu entsprechen. Der Zugriff auf Daten muss genauso konsequent geregelt werden wie der Zutritt zu Einrichtungen. Doch auch beim Identity- und Access-Management gilt: Die Technik ist nur so gut wie die zugrunde liegenden Prozesse.

Die mit Identity- und Access-Management (IAM) verbundenen technischen Maßnahmen, wie etwa die Einführung IT-gestützter Prozesse oder multifunktionaler elektronischer Dienstausweise, bedürfen gewissenhafter Vorbereitung. Schnell zeigt sich, wenn der Einsatz elektronischer Identitäten und Berechtigungen nicht gründlich geplant wurde: „Berechtigungssammler“, verwaiste Accounts, unzureichende Transparenz und hoher Arbeitsaufwand sind typische Symptome lückenhafter ­Planung. Es fehlt an Effizienz bei ­Vergabe und Entzug von Berechtigungen, es kommt sogar zu Sicherheitslücken.

Hacker-Angriffe auf Behörden und Ministerien

Komponenten

Das hier vorgestellte, generische Referenzmodell ist eine Methode, um IAM-Projekte zu systematisieren. ­Dabei wird empfohlen, die vier Komponenten

  • Erlaubnisprozess,
  • Bereitstellungsprozess,
  • Berechtigungsorganisation und
  • Auditierung

zu definieren. Diese Aufteilung erleichtert im Nachgang die Auswahl und Einführung technischer Lösungen. Erst die klare Definition der einzelnen Prozesse macht das gesamte IAM lückenlos nachvollziehbar – so wie es im Verwaltungshandeln gefordert ist.

Erlaubnis und Bereitstellung

Die Trennung von Erlaubnisprozess (Entitlement) und Bereitstellungsprozess (Provisioning) ist eine Grundvoraussetzung für den nachvollziehbaren Umgang mit Zugriffsberechtigungen. Vereinfacht gesagt: Die Verantwortung für Zugriffs­genehmigungen darf nicht der IT-­Abteilung aufgebürdet werden. Diese ist nur für die technische Bereitstellung zuständig. Der Entitlement-Prozess kann entweder explizit über Antrag und Genehmigung geregelt sein oder implizit. Der implizite Prozess läuft automatisch nach Regeln ab, die sich auf personenbeschreibende Merkmale in IT-Systemen beziehen. Letztere wäre die effiziente Nutzung eines IAM-Systems und sollte gerade in großen Organisationen die Regel sein, da auf dieser Basis die Bereitstellung auch automatisiert werden kann.

Es wird in der Praxis aber immer Ausnahmen zu automatisierten, impliziten Verfahren geben müssen. Die explizite Erlaubnis sowie deren Entzug haben dann einem festgelegten Prozess zu folgen. Akteure, Verantwortlichkeiten, Verfahrensschritte, Kontrollpunkte und Informationsfluss müssen definiert sein.

Das explizite Entitlement mündet in einer digitalen Identität, auf deren Basis das IAM-System automatische Provisioning-Prozesse starten kann. Alle Handlungen des Provisioning wie die Ausgabe von Smartcards, die Einrichtung von Accounts oder die Ausstellung von Zertifikaten sind lückenlos zu regeln und zu dokumentieren. Die Entscheidung, welche Schritte in einer Behörde sinnvollerweise automatisiert werden können, hat so keinen Einfluss auf die grundsätzliche Nachvollziehbarkeit jedes effektiven Zugangs- oder Zugriffsrechts.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42838135 / System & Services)