Referenzmodell zur Einrichtung von IAM-Systemen

Zugriffsberechtigungen systematisch regeln

Seite: 2/3

Anbieter zum Thema

Was muss geregelt werden?

Worauf beziehen sich die Regeln für Berechtigungen? Man spricht in diesem Zusammenhang von Berechtigungsobjekten. Dies sind alle Ressourcen und Funktionen, auf die ein Nutzer erst nach einer Berechtigungsprüfung zugreifen können soll. Ihre komplette Erfassung ergibt die Berechtigungsorganisation. Es muss geklärt werden:

  • Welche Berechtigungsobjekte gibt es?
  • Wie werden sie angelegt und gepflegt?
  • Welche Berechtigungen sind ihnen zugeordnet?

Die Definition von Gebäudebereichen für die Vergabe von Zutrittsberechtigungen ist meist relativ einfach. Doch sobald es um IT-Rechte geht, kann es komplex werden.

Zum Verständnis: Ein Berechtigungsobjekt kann zum Beispiel aus einer Datenbanktabelle bestehen. Wesentlich für seine Definition sind die Funktionen, also das Lesen, das Ändern vorhandener Einträge, das Anlegen neuer Einträge oder das ­Löschen. Darüber hinaus muss dokumentiert werden:

  • Wer hat das Objekt angelegt?
  • Wer ist verantwortlich für welche Funktionen?
  • Wer ist für die Berechtigungsvergabe zuständig?
  • Welche Aufbewahrungsfristen gelten für das Objekt?
  • Unterliegt es einer Geheimhaltungsstufe?

Die Frage nach dem „wer“ bringt uns zum zweiten Teil der Berechtigungsorganisation, den Rollen.

Rechte nach Rollen definiert

Personen, die im IAM mit gleichen Rechten ausgestattet sind, werden abstrakten Rollen zugeordnet. So lassen sich für Personenkreise, wie gewisse Fachbereiche oder Hierarchiestufen, Regeln definieren, um eine automatische Verwaltung von Berechtigungen zu ermöglichen. In der Praxis gibt es verschiedene Ansätze für die Definition von Rollen, die auch kombiniert angewandt werden.

Die einfachste Form ist die organisatorische. Sie ergibt sich aus den disziplinarischen Zusammenhängen und der Zugehörigkeit zu einer fachlichen Abteilung, also etwa „gehobener Dienst“ oder „Baureferat“.

Die zweite Art von Rollenbeschreibung ergibt sich aus der Funktion ­eines Mitarbeiters, sprich, welche Ressourcen der Mitarbeiter benötigt, um seine Aufgaben zu erledigen. Hier wären beispielsweise Personen als Rolle zusammengefasst, die mit ­Verschlusssachen umgehen oder mit personenbezogenen Daten.

Die effektive Umsetzung der aus organisatorischen und funktionalen Rollen abgeleiteten Berechtigungen muss dann als technische Rolle beschrieben werden. Damit wird festgelegt, welche Profile für eine solche Rolle in den IT-Systemen angelegt werden.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung der Verwaltung und Öffentlichen Sicherheit.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:42838135)