Referenzmodell zur Einrichtung von IAM-Systemen

Zugriffsberechtigungen systematisch regeln

| Autor / Redakteur: Ga-Lam Chang, Peak Solution / Susanne Ehneß

Was muss geregelt werden?

Worauf beziehen sich die Regeln für Berechtigungen? Man spricht in diesem Zusammenhang von Berechtigungsobjekten. Dies sind alle Ressourcen und Funktionen, auf die ein Nutzer erst nach einer Berechtigungsprüfung zugreifen können soll. Ihre komplette Erfassung ergibt die Berechtigungsorganisation. Es muss geklärt werden:

  • Welche Berechtigungsobjekte gibt es?
  • Wie werden sie angelegt und gepflegt?
  • Welche Berechtigungen sind ihnen zugeordnet?

Die Definition von Gebäudebereichen für die Vergabe von Zutrittsberechtigungen ist meist relativ einfach. Doch sobald es um IT-Rechte geht, kann es komplex werden.

Zum Verständnis: Ein Berechtigungsobjekt kann zum Beispiel aus einer Datenbanktabelle bestehen. Wesentlich für seine Definition sind die Funktionen, also das Lesen, das Ändern vorhandener Einträge, das Anlegen neuer Einträge oder das ­Löschen. Darüber hinaus muss dokumentiert werden:

  • Wer hat das Objekt angelegt?
  • Wer ist verantwortlich für welche Funktionen?
  • Wer ist für die Berechtigungsvergabe zuständig?
  • Welche Aufbewahrungsfristen gelten für das Objekt?
  • Unterliegt es einer Geheimhaltungsstufe?

Die Frage nach dem „wer“ bringt uns zum zweiten Teil der Berechtigungsorganisation, den Rollen.

Rechte nach Rollen definiert

Personen, die im IAM mit gleichen Rechten ausgestattet sind, werden abstrakten Rollen zugeordnet. So lassen sich für Personenkreise, wie gewisse Fachbereiche oder Hierarchiestufen, Regeln definieren, um eine automatische Verwaltung von Berechtigungen zu ermöglichen. In der Praxis gibt es verschiedene Ansätze für die Definition von Rollen, die auch kombiniert angewandt werden.

Die einfachste Form ist die organisatorische. Sie ergibt sich aus den disziplinarischen Zusammenhängen und der Zugehörigkeit zu einer fachlichen Abteilung, also etwa „gehobener Dienst“ oder „Baureferat“.

Die zweite Art von Rollenbeschreibung ergibt sich aus der Funktion ­eines Mitarbeiters, sprich, welche Ressourcen der Mitarbeiter benötigt, um seine Aufgaben zu erledigen. Hier wären beispielsweise Personen als Rolle zusammengefasst, die mit ­Verschlusssachen umgehen oder mit personenbezogenen Daten.

Die effektive Umsetzung der aus organisatorischen und funktionalen Rollen abgeleiteten Berechtigungen muss dann als technische Rolle beschrieben werden. Damit wird festgelegt, welche Profile für eine solche Rolle in den IT-Systemen angelegt werden.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42838135 / System & Services)