Referenzmodell zur Einrichtung von IAM-Systemen Zugriffsberechtigungen systematisch regeln

Autor / Redakteur: Ga-Lam Chang, Peak Solution / Susanne Ehneß

IT-gestützte Verwaltungen brauchen wirkungsvolle Mechanismen, um geltenden ­Datenschutz- und Geheimhaltungsvorgaben zu entsprechen. Der Zugriff auf Daten muss genauso konsequent geregelt werden wie der Zutritt zu Einrichtungen. Doch auch beim Identity- und Access-Management gilt: Die Technik ist nur so gut wie die zugrunde liegenden Prozesse.

Anbieter zum Thema

Zutrittsberechtigungen für Gebäude sind relativ einfach zu definieren, bei IT-Rechten kann es komplex werden
Zutrittsberechtigungen für Gebäude sind relativ einfach zu definieren, bei IT-Rechten kann es komplex werden
( © maxkabakov - Fotolia)

Die mit Identity- und Access-Management (IAM) verbundenen technischen Maßnahmen, wie etwa die Einführung IT-gestützter Prozesse oder multifunktionaler elektronischer Dienstausweise, bedürfen gewissenhafter Vorbereitung. Schnell zeigt sich, wenn der Einsatz elektronischer Identitäten und Berechtigungen nicht gründlich geplant wurde: „Berechtigungssammler“, verwaiste Accounts, unzureichende Transparenz und hoher Arbeitsaufwand sind typische Symptome lückenhafter ­Planung. Es fehlt an Effizienz bei ­Vergabe und Entzug von Berechtigungen, es kommt sogar zu Sicherheitslücken.

Hacker-Angriffe auf Behörden und Ministerien
Bildergalerie mit 141 Bildern

Komponenten

Das hier vorgestellte, generische Referenzmodell ist eine Methode, um IAM-Projekte zu systematisieren. ­Dabei wird empfohlen, die vier Komponenten

  • Erlaubnisprozess,
  • Bereitstellungsprozess,
  • Berechtigungsorganisation und
  • Auditierung

zu definieren. Diese Aufteilung erleichtert im Nachgang die Auswahl und Einführung technischer Lösungen. Erst die klare Definition der einzelnen Prozesse macht das gesamte IAM lückenlos nachvollziehbar – so wie es im Verwaltungshandeln gefordert ist.

Erlaubnis und Bereitstellung

Die Trennung von Erlaubnisprozess (Entitlement) und Bereitstellungsprozess (Provisioning) ist eine Grundvoraussetzung für den nachvollziehbaren Umgang mit Zugriffsberechtigungen. Vereinfacht gesagt: Die Verantwortung für Zugriffs­genehmigungen darf nicht der IT-­Abteilung aufgebürdet werden. Diese ist nur für die technische Bereitstellung zuständig. Der Entitlement-Prozess kann entweder explizit über Antrag und Genehmigung geregelt sein oder implizit. Der implizite Prozess läuft automatisch nach Regeln ab, die sich auf personenbeschreibende Merkmale in IT-Systemen beziehen. Letztere wäre die effiziente Nutzung eines IAM-Systems und sollte gerade in großen Organisationen die Regel sein, da auf dieser Basis die Bereitstellung auch automatisiert werden kann.

Es wird in der Praxis aber immer Ausnahmen zu automatisierten, impliziten Verfahren geben müssen. Die explizite Erlaubnis sowie deren Entzug haben dann einem festgelegten Prozess zu folgen. Akteure, Verantwortlichkeiten, Verfahrensschritte, Kontrollpunkte und Informationsfluss müssen definiert sein.

Das explizite Entitlement mündet in einer digitalen Identität, auf deren Basis das IAM-System automatische Provisioning-Prozesse starten kann. Alle Handlungen des Provisioning wie die Ausgabe von Smartcards, die Einrichtung von Accounts oder die Ausstellung von Zertifikaten sind lückenlos zu regeln und zu dokumentieren. Die Entscheidung, welche Schritte in einer Behörde sinnvollerweise automatisiert werden können, hat so keinen Einfluss auf die grundsätzliche Nachvollziehbarkeit jedes effektiven Zugangs- oder Zugriffsrechts.

Was muss geregelt werden?

Worauf beziehen sich die Regeln für Berechtigungen? Man spricht in diesem Zusammenhang von Berechtigungsobjekten. Dies sind alle Ressourcen und Funktionen, auf die ein Nutzer erst nach einer Berechtigungsprüfung zugreifen können soll. Ihre komplette Erfassung ergibt die Berechtigungsorganisation. Es muss geklärt werden:

  • Welche Berechtigungsobjekte gibt es?
  • Wie werden sie angelegt und gepflegt?
  • Welche Berechtigungen sind ihnen zugeordnet?

Die Definition von Gebäudebereichen für die Vergabe von Zutrittsberechtigungen ist meist relativ einfach. Doch sobald es um IT-Rechte geht, kann es komplex werden.

Zum Verständnis: Ein Berechtigungsobjekt kann zum Beispiel aus einer Datenbanktabelle bestehen. Wesentlich für seine Definition sind die Funktionen, also das Lesen, das Ändern vorhandener Einträge, das Anlegen neuer Einträge oder das ­Löschen. Darüber hinaus muss dokumentiert werden:

  • Wer hat das Objekt angelegt?
  • Wer ist verantwortlich für welche Funktionen?
  • Wer ist für die Berechtigungsvergabe zuständig?
  • Welche Aufbewahrungsfristen gelten für das Objekt?
  • Unterliegt es einer Geheimhaltungsstufe?

Die Frage nach dem „wer“ bringt uns zum zweiten Teil der Berechtigungsorganisation, den Rollen.

Rechte nach Rollen definiert

Personen, die im IAM mit gleichen Rechten ausgestattet sind, werden abstrakten Rollen zugeordnet. So lassen sich für Personenkreise, wie gewisse Fachbereiche oder Hierarchiestufen, Regeln definieren, um eine automatische Verwaltung von Berechtigungen zu ermöglichen. In der Praxis gibt es verschiedene Ansätze für die Definition von Rollen, die auch kombiniert angewandt werden.

Die einfachste Form ist die organisatorische. Sie ergibt sich aus den disziplinarischen Zusammenhängen und der Zugehörigkeit zu einer fachlichen Abteilung, also etwa „gehobener Dienst“ oder „Baureferat“.

Die zweite Art von Rollenbeschreibung ergibt sich aus der Funktion ­eines Mitarbeiters, sprich, welche Ressourcen der Mitarbeiter benötigt, um seine Aufgaben zu erledigen. Hier wären beispielsweise Personen als Rolle zusammengefasst, die mit ­Verschlusssachen umgehen oder mit personenbezogenen Daten.

Die effektive Umsetzung der aus organisatorischen und funktionalen Rollen abgeleiteten Berechtigungen muss dann als technische Rolle beschrieben werden. Damit wird festgelegt, welche Profile für eine solche Rolle in den IT-Systemen angelegt werden.

Überprüfbarkeit

Die vierte Komponente ist die Auditierung. Hiermit ist gemeint, auch die kontinuierliche, systematisierte Überprüfung der vergebenen Berechtigungen von Anfang an als Prozess anzulegen. Insbesondere versehentlich nicht wieder entzogene Berechtigungen oder verwaiste Accounts fallen ohne regelmäßige Prüfungen der Berechtigungssituation nicht auf. Es müssen Zeitintervalle und Zuständigkeiten festgelegt werden.

Diese Pflege des Systems ist wichtig. Zum einen wird es auch nach ­einer IAM-Einführung zu expliziten Berechtigungsvergaben kommen können – Fälle, in denen „auf Zuruf“ IT-Rechte an den Rollen vorbei vergeben wurden. Zum anderen sind ­gerade in großen Organisationen, deren IT in vielfältiger Weise mit Internetdiensten verbunden ist, verwaiste Accounts oder fehlerhafte Superrechte ein echtes Sicherheitsrisiko.

Fazit

Die Trennung von Entitlement und Provisioning sowie die Definition von Berechtigungsobjekten und Rollen in einer Berechtigungsorganisation sind die Grundlage eines lückenlos nachvollziehbaren IAM-Systems. ­Unabhängig vom tatsächlich möglichen Grad der IAM-Automatisierung in einer Organisation sorgen eine Analyse der Rechtesituation und die ­Definition von Prozessen und Zuständigkeiten für mehr Effizienz im sichereren Umgang mit IT-Ressourcen und den Daten der Bürger.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung der Verwaltung und Öffentlichen Sicherheit.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:42838135)