7 Tipps zum Role Mining: Sicherheit durch rollenbasierte Rechteverwaltung Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


01.05.2011 Kerstin Gießner*

7 Tipps zum Role Mining: Sicherheit durch rollenbasierte Rechteverwaltung

Wer Identity and Access Management mit rollenbasierter Rechteverwaltung verknüpft, sichert sich Vorteile nicht nur im Hinblick auf Sicherheit. Es winken zusätzlich Kosteneinsparungen und transparentere Prozesse.

Die sichere und kosteneffiziente Einhaltung und Kontrolle aller internen und externen regulatorischen Vorschriften und Compliance-Richtlinien hat gravierende Auswirkungen auf die IT und inbesondere auf die bestehenden und einzuführenden Softwarelösungen zur Umsetzung dieser Anforderungen.

Security ist nicht mehr nur ein IT-Thema, sondern es gilt, anstelle einer bisherigen Administrator-basierten Berechtigungsverwaltung neue Ansätze im Unternehmen zu implementieren, um das Business verstärkt mit einzubeziehen.

Insbesondere im Hinblick auf ein verbessertes Risikomanagement in den Unternehmen hat die Definition von Business- und IT-Rollen zur Einhaltung spezifischer Compliance-Anforderungen eine zentrale tragende Aufgabe.

Die Herausforderung ist es, die bestehende IT mit Business-getriebenen Berechtigungen zu versehen. Dabei helfen Rollenmanagement und der Einsatz sogenannter Role-Mining-Werkzeuge. Sie übernehmen sowohl die Analyse der Prozesse und der Organisation im Unternehmen, können darüber hinaus aber auch bestehende Berechtigungen evaluieren und analysieren. Dadurch unterstützen sie das kontinuierlich zu aktualisierende Rollenmanagement in Unternehmen sowie eine sichere und kosteneffiziente Benutzerverwaltung (Identity und Access Management). Da es sich hierbei um einen fortlaufenden Prozess handelt, sind Rollen permanent den täglichen Erfordernissen anzupassen.

Die Prozesse für die Erstellung und Pflege von Rollenmodellen werden auf diese Weise deutlich vereinfacht und kontinuierlich optimiert. Mit der Implementierung eines unternehmensweiten Rollenkonzeptes tragen Role-Mining-Werkzeuge entscheidend zur Transparenz und Prozessoptimierung im Unternehmen bei und reduzieren dabei Administrations- und Kostenaufwand.

Die Erstellung eines umfassenden Rollenkonzeptes im Rahmen der Benutzerverwaltung stellt für jedes Unternehmen tiefgreifende Veränderungen dar. Rollen strahlen nicht nur in alle IT-Systeme aus, sondern bringen auch für die Beschäftigten deutliche Veränderungen mit sich - will heißen, Erleichterungen im täglichen Umgang mit ihren IT-Anwendungen. Einige Punkte gilt es daher zu beachten, soll der Aufbau einer rollenbasierten Rechteverwaltung im Unternehmen erfolgreich verlaufen.

WAS IST ZU BEACHTEN 1. Rollenmanagement als strategische Aufgabe Rollen bilden die Schnittstelle zwischen dem eigentlichen Business, das heißt den Geschäftsprozessen und der IT eines Unternehmens. Das Rollenmanagement ist deshalb eine wichtige Organisationsaufgabe und sollte entsprechend etabliert werden. Die Geschäftsprozess-Verantwortlichen müssen entscheiden, welche Rechte die Rollen beinhalten und welchen Personen diese Rollen zugewiesen werden. Wichtig ist, dass die Zahl der Rollen überschaubar bleibt und ihre Definitionen verständlich und nachvollziehbar sind.

2. Aufräumen durch Data Cleansing Wie bei jedem Neuanfang, so sollte auch die Einrichtung einer rollenbasierten Rechteverwaltung zunächst mit einem grundlegenden Aufräumen beginnen. Dieser „Cleansing“ genannte Vorgang schafft die Voraussetzung für ein künftig sauberes Rollenmanagement und besteht aus einer Bereinigung von Informationen. Je nach Stellenbeschreibung oder Arbeitsplatzprofil arbeiten die Beschäftigten eines Unternehmens mit unterschiedlichen IT-Ressourcen. Daten und Anwendungen werden auf vielfache Weise kombiniert und von Menschen innerhalb und außerhalb einer Organisation genutzt. Role-Mining-Tools ordnen die einzelnen Accounts den konkreten Benutzern zu, um so die Frage zu beantworten, welche Berechtigungen ein Benutzer im Unternehmensnetzwerk hat. Blinde Flecken und „Karteileichen“, das heißt verwaiste Benutzerkonten oder Berechtigungen, zeigt dann ein gesonderter Bericht schnell auf. Abgesehen von den Sicherheitsrisiken kosten nicht benötigte Anwendungs-Lizenzen auch viel Geld.

3. Erhöhung der Automatisierung Bei der anschließenden Analyse werden auf der Ebene der bestehenden Prozesse und ihrer Organisation die aktuell gültigen Zugriffsberechtigungen in Abhängigkeit zueinander gesetzt. Auf Basis der ermittelten Informationen lassen sich sowohl übergeordnete Business-Rollen als auch Systemrollen mit unterschiedlichen Detailberechtigungen erkennen. Role-Mining-Software unterstützt bei der Definition und fortlaufenden Optimierung der Berechtigungsrollen. Übergeordnetes Ziel der IT-Abteilung und der Geschäftsführung sollte es sein, durch die Berechtigungsbündel, also Rollen, den Administrationsaufwand deutlich zu reduzieren und Automatisierungsprozesse zu unterstützen. Die Erfahrung zeigt, dass Unternehmen durch das rollenbasierte Administrieren von Berechtigungen einen Automatisierungsgrad von mehr als 90 Prozent erreichen können und damit sehr hohe Kosteneinsparungen erzielen.

4. Mix aus Top-Down und Bottom-Up Wichtige Voraussetzung für die standardisierte Modellierung von Rollen ist sowohl eine Top-Down-Modellierung als auch eine Analyse der vorhandenen Berechtigungsstrukturen (Role Mining, Bottom-Up). Organisatorische Rollen entstehen nach dem Top-Down-Prinzip, das heißt sie sind vom Aufbau der Organisation und von den Funktionen oder Positionen der Mitarbeiter geprägt. Mit dem Bottom-Up-Ansatz werden dann die vorhandenen Berechtigungen auf den Zielsystemen auf Gemeinsamkeiten und Standards analysiert und den Rollen zugeordnet.

Mit ihrer Analyse bestehender Benutzerberechtigungen unterstützt die Role-Mining-Software die Bottom-Up-Entwicklung von Rollenmodellen und analysiert den tatsächlichen Status der Berechtigungen in Systemen. Erst eine Soll-Ist-Analyse deckt Abweichungen vom Soll in existierenden Rollenvergaben auf. Die Datenqualität der Identitätsdaten wird somit deutlich verbessert.

5. Anwendung von diversen Analyse-Szenarien Mit Hilfe eines Role-Mining-Werkzeugs können unterschiedliche Analyse-Szenarien im Rollenfindungsprozess durchgespielt werden. Die Tools bieten hierfür eine Vielzahl einstellbarer Parameter. Beim Role Engineering werden die Rollen nach Abstimmung mit den fachlichen Anforderungen auf Basis der automatisch erstellten Analyseergebnisse definiert. Dabei muss geprüft werden, ob und für welche Anwendungsfälle sich statische und wann sich dynamische Rollen besser eignen. Statische Rollen sind allgemeine Rollen, die z. B. an eine Organisationseinheit gebunden sind und für alle Mietglieder dieser Organisationseinheit relevant sind. Die statischen Rollen haben typischerweise eine geringere Risikobewertung und können durch automatische Vergabeprozesse (Provisioning) vergeben werden. Dynamische Rollen sind dagegen optionale Rollen, die einem Mitarbeiter nur auf Antrag zugewiesen werden können. Da hier aufgrund eines Antrags- und Genehmigungsverfahren (Workflow) eine zusätzliche Kontrolle besteht, werden diese Rollen auch häufig für die Zuteilung von kritischen Berechtigungen verwendet.

Die effiziente Erstellung und Implementierung der gewünschten Rollen ergibt sich in der Regel im Rahmen eines iterativen Vorgehens.

Neben der Analyse und Definition von Rollen im Role Mining und ihrer Nachbearbeitung durch Role Engineering ist stellenweise durchaus auch eine manuelle Definition von Rollen nötig oder angebracht. So wird das Rollenmodell Schritt für Schritt und unter Berücksichtigung aller bestehenden organisatorischen Vorgaben für die Zugriffsberechtigungen optimiert.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • adesso Austria GmbH

    adesso Austria GmbH Öffentliche Verwaltung, Grundstoffindustrie, Großhandel, Finanzdienstleistungen, Fertigung, Produktion und Konstruktion, Druck- und Verlagswesen, Qualitätssicherung,... mehr
  • ELO Digital Office AT GmbH

    ELO Digital Office AT GmbH Mobile Lösungen und Applikationen, Dokumentenmanagement und ECM, Übernahme von Softwareprojekten, Systemintegration und Systemmanagement, Programmierung, Individual-Softwareentwicklung, IKT-Consulting,... mehr
  • SNP AUSTRIA GmbH

    SNP AUSTRIA GmbH Qualitätssicherung, Kaufmännische Software (ERP), Tools, Programmiersprachen, Datenkonvertierung, Übernahme von Softwareprojekten, Systempflege- und Wartung,... mehr
  • HATAHET productivity solutions GmbH

    HATAHET productivity solutions GmbH Individual-Softwareentwicklung, Migrations-Management, Programmierung, System- und Netzwerk-Tuning, Systemintegration und Systemmanagement, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines,... mehr

Hosted by:    Security Monitoring by: