Whitepaper: Der Weg zum rollenbasierten Berechtigungsmodell

24.01.2013

Wie senken Vorstände und Geschäftsführer ihr Haftungsrisiko beträchtlich? Erst wer transparente Prozesse hat und weiß wer was zu welcher Zeit darf, ist auf der sicheren Seite. Rollenbasiertes Berechtigungsmanagement ist ein zentraler Sicherheitsfaktor.

Sollkonzept

Um „Compliant” zu sein, bedarf es organisatorischer und darauf angepasster IT-Maßnahmen. Rollen ergeben sich aus einer gründlichen Prüfung der Geschäftsprozesse und -erfordernisse und können daher sehr präzise auf die jeweiligen Nutzer bzw. Nutzergruppen zugeschnitten werden. Durch ein Rollenkonzept und ein zentrales revisionssicheres Berechtigungsverwaltungssystem können der Verwaltungsaufwand und unproduktive Zeiten signifikant gesenkt werden. Das Einsparungspotenzial ist umso höher, je heterogener die IT-Anwendungslandschaft ist.

Projektphasen
Es hat sich ein vierstufiges Vorgehen bewährt:
Zunächst erfolgt eine detaillierte Ist-Aufnahme (Phase 1), in deren Rahmen die Besonderheiten hinsichtlich der organisatorischen Voraussetzungen und der eingesetzten IT-Systeme erfasst werden. Danach (Phase 2) wird auf Basis dieser Informationen das Soll-Konzept für die künftige Vergabe und Verwaltung von Berechtigungen erstellt. Darauf aufbauend wird geklärt, in welchen Schritten die Realisierungsphase (Phase 3) durchgeführt werden soll. Bereits während der Implementierung kann mit den Überlegungen begonnen werden, welche Auditing-Maßnahmen (Phase 4) eingesetzt werden, um die dauerhafte Einhaltung und Verbesserung des Konzepts zu gewährleisten. Es kann auch notwendig werden, operative Arbeitsprozesse an die in den Berechtigungsprofilen festgelegten Rechte anzupassen.

(1) Basisinformationen erfassen
Basis für die Implementierung eines unternehmensweiten rollenbasierten Berechtigungsmodells ist eine detaillierte Ist-Aufnahme. Hierbei wird geklärt, welche Sicherheitsrichtlinien im Unternehmen vorliegen, wie die aktuellen Administrationsprozesse aussehen, welche Anwendungssysteme berücksichtigt werden sollen und wie in diesen bisher Berechtigungen vergeben werden. Außerdem ist es in dieser Phase entscheidend, Transparenz für sämtliche  Besonderheiten zu schaffen.

(2) Soll Konzept „Administration”
Ein unternehmensweites Soll-Konzept ist entscheidend für die erfolgreiche Umsetzung eines einheitlichen rollenbasierten Berechtigungsmodells in möglichst vielen Systemen. Darin werden — basierend auf den Sicherheitsrichtlinien des Unternehmens — die Administrationsrichtlinien festgelegt.

Es werden unter anderem Fragen wie „Erfolgt künftig eine zentrale oder dezentrale Administration?” (Prozesse und Beteiligte) und „Soll die  Rechtevergabe stellen- oder tätigkeitsorientiert erfolgen?” und „Berücksichtigen wir systemspezifische Besonderheiten oder kann eine Standardisierung erfolgen?”  geklärt. Je mehr Details geklärt werden, desto weniger Überraschungen ergeben sich in Nachfolgeprojekten, wenn weitere Anwendungssysteme eingebunden werden sollen. Aus dem Sollkonzept ergeben sich Kriterien für ein möglicherweise benötigtes zentrales, rollenbasiertes und revisionssicheres Berechtigungsmanagementsystem.

(3) Soll-Konzept detaillieren und implementieren
Wie in den ersten Projektphasen hängt auch der Erfolg der Implementierung von der Einbeziehung der Beteiligten ab: Die Administratoren und Anwendungsverantwortlichen kennen die Besonderheiten der einzelnen Systeme. Die Betriebsorganisation sowie die Fachabteilungen überblicken die Arbeitsabläufe und die dazu notwendigen Anwendungen und Kompetenzen. Die Security-Abteilung muss die Einhaltung der Sicherheitsrichtlinien und des Soll-Konzepts überwachen. Die Implementierung erfolgt in vier Schritten:

  1. Rollenmodellierung: Design der fachlichen Berechtigungsprofile,
  2. Rechtekonzeption: Abstimmung der Berechtigungsprofile,
  3. Qualitätssicherung der Berechtigungsprofile,
  4. Umsetzung der Berechtigungsprofile in den einzelnen Systemen und Anpassung der Antrags- und Administrationsprozesse.

Mit Ausnahme von Schritt 1 können die weiteren Schritte systemweise und unabhängig voneinander durchgeführt werden. Die Rollenmodellierung kann sowohl abteilungsintern als auch abteilungs­übergreifend erfolgen. Ein mögliches Ergebnis kann z. B. folgendermaßen aussehen:
Das Berechtigungsprofil „Sachbearbeiter mit Freigabe” erhält die Rolle Vertragsauskunft, Vertragsänderung und Freigabe von Zahlungen bis zur im System hinterlegten Höhe.

(4) Auditing-Maßnahmen
Nach Modellierung und Implementierung müssen regelmäßige Auditing-Maßnahmen eingeführt werden. Dies im Sinne des Investitionsschutzes und der kontinuierlichen Minimierung des Haftungsrisikos. Die Erfahrung zeigt, dass es bei der rollenbasierten Berechtigungsmodellierung nicht ausreicht, ein allgemeines Konzept zu erstellen und umzusetzen. Der Erfolg eines rollenbasierten Berechtigungsmodells hängt entscheidend davon ab, wie es im Vorfeld gelingt, die verschiedenen Einflussfaktoren in einem Soll-Konzept zu berücksichtigen und somit einen allgemein gültigen Standard für das Unternehmen zu setzen, die Besonderheiten der individuellen Systeme abzubilden und die Administrationsprozesse zu überprüfen.