RBAC: Chancen und Herausforderungen bei der Einführung
Mit Role-Based Access Control (RBAC) bringen Sie Ordnung in Ihr Berechtigungsmanagement. Das Konzept bietet zahlreiche Vorteile:
· passgenaue und zeitnahe Provisionierung von Mitarbeitenden
· Entlastung des Service Desk und der Anwendungsverantwortlichen
· Erhöhung der Sicherheit
· Senkung der Betriebskosten
· endbenutzerfreundliche Bestell-, Freigabe- und Rezertifizierungsprozesse
· Transparenz der Berechtigungszuweisungen
· Erfüllung von Regulatorien
Diese starken Argumente zeigen, warum Sie RBAC möglichst früh in Identity-Governance-and-Administration-Projekten (IGA) einsetzen sollten. Denn viele dieser Projekte kommen nicht über die Phase der Basisrollendefinition hinaus. In diesem Artikel untersuchen wir, warum das so ist und wie man das ändern kann.
Von Chaos zur Governance: Die Herausforderung der Berechtigungsverwaltung
Die Berechtigungssysteme der Anwendungen richten sich an geschulte Anwendungsverantwortliche und erlauben eine flexible und feingranulare Zugriffssteuerung auf die Funktionen und Datenstrukturen der Anwendung. Sie sind techniknah realisiert: die Verantwortlichen wissen, welche Art von Daten die Anwendung verwaltet, wie sicherheitskritisch sie ist und welche Funktionen für die Endbenutzer:innen sinnvoll sind.
Der oder die Anwendungsverantwortliche kennt die Lizenzthematik und hat ein Berechtigungskonzept entwickelt (wenn auch nicht immer dokumentiert). Zudem kennt er oder sie die Endbenutzergruppen oder deren Fürsprecher:innen, die an ihn herantreten, um den Zugang zur Anwendung zu erhalten.
Die Anforderungen kommen auf unterschiedlichen Wegen an, z. B. per E-Mail, als Service-Ticket mit Freitextbeschreibung oder über einen Telefonanruf. Häufig muss der:die Anwendungsverantwortliche die Inhalte der Anforderungen interpretieren und übersetzen, um die Lücke zwischen Fachwelt und Technik zu schließen – mit oder ohne Rücksprache mit den Anfordernden aus dem Fachbereich.
Warum herkömmliche Berechtigungsprozesse scheitern
Das Problem der Lücke liegt in der Interpretation. Es wird oft mit vorgeschalteten Freigabeprozessen, Vorabklärungen durch IT-Koordinator:innen oder den Service Desk sowie der Verwendung von Referenzbenutzer:innen adressiert. Die Maßnahmen mildern das Problem nur scheinbar – sie verlagern es stattdessen auf andere Mitarbeitende.
Mit der steigenden Anzahl von Mitarbeitenden und Anwendungen sowie durch Erweiterungen und Änderungen der Anwendungsberechtigungssysteme (z. B. durch Umstieg auf eine neue Version oder eine Cloud-Variante) wird das Problem nicht mehr handhabbar. Auch die Einführung von rollenähnlichen Referenzbenutzer:innen führt oft dazu, dass neue Mitarbeitende unpassende Berechtigungen übernehmen.
RBAC als strategische Lösung für die Berechtigungsverwaltung
Standardisierte Berechtigungsrollen können dieses Berechtigungsproblem in den Griff bekommen und gleich mehrere Probleme der Berechtigungsverwaltung lösen:
- Ersetzen beliebiger Freitextanforderungen durch Anforderungen aus einer Auswahl eindeutiger Berechtigungsbündel (Rollen)
- Entlastung des Service Desk, der IT-Verantwortlichen und der Anwendungsverantwortlichen durch den Wegfall von Interpretationsspielräumen und dem damit verbundenen Klärungsaufwand sowie möglichen Fehlinterpretationen
- Ermöglichung von Freigaben und Rezertifizierungen der Mitarbeiterberechtigungen durch die Verantwortlichen, indem die Anwendungsberechtigungen in Rollen „versteckt“ werden, die auf den Fachbereich zugeschnitten sind
- Reduzierung der zulässigen Anwendungsberechtigungskombinationen für Mitarbeitende
- Transparenz und Vergleichbarkeit der Berechtigungen der Mitarbeitenden
- Vereinfachung, Nachvollziehbarkeit und Zielgenauigkeit der Mitarbeiterberechtigungen durch die Erweiterung von Rollen um neue Anwendungsberechtigungen
- Erfüllung von regulatorischen Vorgaben der Funktionstrennung und der Einführung eines Rollenmanagements
Richtig eingesetzt, ermöglicht RBAC unter anderem, die Lücke zwischen Fachwelt und Technik zu schließen. Dazu müssen nur die entsprechenden Berechtigungsgruppen definiert werden. Die Mitarbeitenden haben bereits Anwendungsberechtigungen, die sie nutzen können.
Ganz einfach, oder? Oder doch nicht?
Basisrollen definieren: Der erste Schritt zur IAM-Automatisierung
Basisrollen sind schnell definiert. Sie beinhalten meist allgemein bekannte und verbreitete Anwendungsberechtigungen, die jeder externe oder interne Mitarbeitende benötigt:
- Basisanmeldekonto
- E-Mail-Postfach
- Intranetzugang
- Office-Lizenz
- Zeiterfassungs-App
- Basiszugang zum Dokumentmanagementsystem
- Physischer Zugang zum Gebäude
Die Basisrollen lassen sich schnell im Identity-and-Access-Management-System (IAM) implementieren, um neue Mitarbeitende automatisch zu provisionieren.
Typische organisatorische Tätigkeiten kann der neue Mitarbeitende nun durchführen – es fehlen ihm jedoch jene Anwendungsberechtigungen, die er zur Ausübung seiner spezifischen Tätigkeit braucht.
Die Herausforderung der Rollenfindung: Fehlende Dokumentation als Hürde
Welche Anwendungsberechtigungen ein neuer Mitarbeitender benötigt, ist oft nicht dokumentiert. Das Wissen wird meist informell weitergegeben, was die Rollenfindung erschwert.
Eine detaillierte Erfassung mit den Fachbereichen ist zwar möglich, aber nur bis zu einer gewissen Tiefe sinnvoll. Die Anwendungsverantwortlichen liefern zwar aktuelle Berechtigungsdaten, diese entsprechen aber nicht immer den tatsächlichen Anforderungen. Sie können aber als Diskussionsgrundlage für die Fachbereiche dienen.
Brücke zwischen Business und IT: Abstraktion als Schlüssel im Rollenmanagement
Eine Abstimmung zwischen Fachwelt und Technik ist unumgänglich. Eine detaillierte Diskussion über die Tätigkeiten der Mitarbeitenden einerseits und die Anwendungsberechtigungen andererseits ist jedoch nicht praktikabel.
Die Fachbereiche müssen nicht verstehen, welche technisch gestalteten Anwendungsberechtigungen sie für ihre Tätigkeiten benötigen. Die Anwendungsverantwortlichen müssen ihrerseits nicht verstehen, welche Aufgaben die Mitarbeitenden in allen anderen Anwendungen durchführen.
Die Lösung liegt in der Abstraktion. Das Bindeglied ist der oder die Rollenverantwortliche.
Rollen haben eine Eigenschaft, die oft übersehen wird: die Abstraktion der Inhalte. Die Fachbereiche werden zu Endbenutzer:innen von Geschäftsrollen. Sie müssen die Bedeutung und Auswirkungen der Geschäftsrolle kennen, jedoch nicht, wie diese technisch umgesetzt wurde.
Die Geschäftsrolle abstrahiert für sie die Umsetzung. Der Rollenverantwortliche stellt sicher, dass sie genau das kann, was vereinbart wurde.
Da Geschäftsrollen Anwendungsberechtigungen mehrerer Anwendungen bündeln, benötigt der Rollenverantwortliche eine Abstrahierung der Berechtigungssysteme. Diese werden als Anwendungsrollen von den Anwendungsverantwortlichen bereitgestellt.
Die Vorgehensweise zur Rollenfindung hängt stark ab von:
- dem vorhandenen Know-how,
- der Verfügbarkeit und Bedeutung der Fachbereiche,
- der Priorisierung der Anwendungen,
- der Reife der Berechtigungskonzepte und
- der Datenqualität.
RBAC erfolgreich einführen: Rollenkonzeption als strategisches IAM-Projekt
Die Entwicklung eines Rollenkonzepts erfordert Zeit und Ressourcen. Es bringt Akteure mit unterschiedlichen Perspektiven zusammen, von der Personalabteilung über die Fachbereiche bis hin zu den Anwendungsverantwortlichen.
Auch der Rollenanalyse zugrunde liegende Informationen wie Jobprofile, Prozessaktivitäten, Tätigkeitsbeschreibungen, Anwendungen, Funktionen und Daten müssen in Relation gesetzt werden. Es gilt, die Ziele zu definieren, die man erreichen will, die richtige Detailtiefe zu halten und den roten Faden nicht aus dem Blick zu verlieren.
IPG verfügt über erfahrene Spezialist:innen in der Rollenkonzeptionierung, die Ihnen helfen, ein Rollenkonzept zu planen, eine Rollenstruktur aufzubauen und Rollenmanagementprozesse zu entwerfen.
Stützen Sie sich auf unsere branchenübergreifende Erfahrung, vermeiden Sie typische Fallen und minimieren Sie Risiken.
