Navigation
Seiteninhalt

IT-Compliance: Transparente Benutzerverwaltung

Der Softwarehersteller Beta Systems gibt sieben Tipps zur erfolgreichen Einführung einer rollenbasierten Rechteverwaltung im Rahmen der Benutzerverwaltung.
Von Redaktion
15. März 2011

Die rollenbasierte Rechteverwaltung (Identity und Access Management, IAM), das heißt, die Definition von Business- und IT-Rollen, trägt zur Transparenz und damit zur sicheren und kosteneffizienten Einhaltung und Kontrolle aller internen und externen regulatorischen Vorschriften und Compliance-Richtlinien bei. Beta Systems gibt im Folgenden sieben Tipps zur Einführung einer rollenbasierten Rechteverwaltung:

1) Rollenmanagement als strategische Aufgabe

Rollen bilden die Schnittstelle zwischen den Geschäftsprozessen und der IT eines Unternehmens. Das Rollenmanagement ist daher eine wichtige Organisationsaufgabe, die entsprechend zu etablieren ist. Die Geschäftsprozessverantwortlichen müssen entscheiden, welche Rechte die Rollen beinhalten und welchen Personen diese Rollen zugewiesen werden. Wichtig ist, dass die Zahl der Rollen überschaubar bleibt und ihre Definitionen verständlich und nachvollziehbar sind.

2) Aufräumen durch Data Cleansing

Die rollenbasierte Rechteverwaltung sollte mit einem grundlegenden Aufräumen beginnen. Der Cleansing-Vorgang schafft die Voraussetzung für ein sauberes Rollenmanagement und besteht aus einer Bereinigung von Informationen. Je nach Stellenbeschreibung arbeiten die Mitarbeiter mit diversen IT-Ressourcen. Daten und Anwendungen werden kombiniert und von Menschen innerhalb und außerhalb einer Organisation genutzt. Role-Mining-Werkzeuge ordnen die einzelnen Accounts den Benutzern zu, um festzustellen, welche Berechtigungen ein Benutzer im Unternehmensnetzwerk hat. Ein Bericht zeigt dann schnell blinde Flecken und "Karteileichen" auf, das heißt verwaiste Benutzerkonten oder Berechtigungen. Abgesehen von den Sicherheitsrisiken kosten nicht benötigte Anwendungslizenzen Geld.

3) Erhöhung der Automatisierung

Übergeordnetes Ziel der IT-Abteilung und Geschäftsführung sollte es sein, durch die Berechtigungsbündel, also Rollen, den Administrationsaufwand deutlich zu reduzieren und Automatisierungsprozesse zu unterstützen. Role-Mining-Werkzeuge unterstützen bei der automatisierten Definition und fortlaufenden Optimierung der Berechtigungsrollen.

4) Mix aus Top-Down und Bottom-Up

Die standardisierte Modellierung von Rollen erfordert sowohl einen Top-Down- als auch Bottom-Up-Ansatz. Organisatorische Rollen entstehen nach dem Top-Down-Prinzip. Sie sind damit vom Aufbau der Organisation und von den Funktionen der Mitarbeiter geprägt. Mit dem Bottom-Up-Ansatz werden dann auf den Zielsystemen die vorhandenen Berechtigungen hinsichtlich Gemeinsamkeiten und Standards analysiert und den Rollen zugeordnet. Durch die Analyse bestehender Benutzerberechtigungen unterstützt eine Role-Mining-Software die Bottom-Up-Entwicklung von Rollenmodellen. Erst eine Soll-Ist-Analyse deckt Abweichungen vom Soll in existierenden Rollenvergaben auf.

5) Anwendung von diversen Analyse-Szenarien

Diverse Analyse-Szenarien sollten im Rollenfindungsprozess durchgespielt werden. Role-Mining-Werkzeuge bieten hierfür eine Vielzahl einstellbarer Parameter. Bei der Nachbearbeitung, dem sogenannten Role Engineering, werden die Rollen nach Abstimmung mit den fachlichen Anforderungen auf Basis der automatisch erstellten Analyseergebnisse definiert.

6) Rollenmanagement über den gesamten Lebenszyklus hinweg

Mit der einmaligen Rollendefinition ist es nicht getan: Permanente Änderungsprozesse verlangen, die Rollen und das übergeordnete Rollenmodell einfach und rasch an neue Stellencharakteristika oder IT-Anwendungen anzupassen. Die gewählte Role-Mining-Software sollte daher ein effizientes Role-Life-Cycle-Management unterstützen - unter Berücksichtigung der Einhaltung und Kontrolle unternehmensweiter und gesetzlicher Vorgaben (Security Policies) bei der Vergabe von Zugriffsberechtigungen.

7) Hohe Integrationsfähigkeit

Die Role-Mining-Software sollte sich leicht in eventuell vorhandene IAM-Software integrieren lassen. So ist die Implementierung eines ganzheitlichen und intelligenten User-Role-Life-Cycle-Management-Konzepts garantiert. Auch sollte sie plattformunabhängig sein, da sie auf Basis der importierten Daten (HR-Daten und bestehende Berechtigungsinformationen) Rollen vorschlägt und optimiert. Ebenso bedeutend sind Import- und Export-Schnittstellen für die Übergabe der Informationen mittels definierter Dateiformate (CSV- oder XML-Format).

Autoren

{"uuid":"7b2a8f0b73bf4827ae0d2001cbf98b59","username":"-Redaktion@autorenprofil.at","firstname":" ","lastname":"Redaktion","emailAddress":"-Redaktion@autorenprofil.at","created":"2020-07-28T16:06:44.777Z","edited":"2023-12-05T08:43:48.584Z","fullname":" Redaktion","salutation":"","pretitle":"","posttitle":"","companyname":"","companylink":"http://compliance.lexisnexis.at/Insider/unternehmen/Sonstige/LexisNexisOesterreich.html","premium":false,"website":"www.lexisnexis.at","vita":"Die LexisNexis Österreich & Compliance Praxis-Redaktion versorgt Sie regelmäßig mit aktuellen News und Informationen aus der Compliance-Welt. Unser Ziel ist es, Ihre tägliche Arbeit bestmöglich zu unterstützen. Bitte lassen Sie uns jederzeit Ihr wertvolles Feedback zukommen.","linkedin":"https://www.linkedin.com/company/lexisnexis-%C3%B6sterreich/","facebook":"https://www.facebook.com/LexisNexisAT","jet_abo":"","open":true,"opencompany":"LexisNexis Österreich","openemail":"kundenservice@lexisnexis.at","profilephoto":{"uuid":"46037a30930a4f62b6bd4469943497d2","path":"/782_632_LN_Logo_RGB_Primary_Full-Color_Positive.jpg","fields":{"name":"782_632_LN_Logo_RGB_Primary_Full-Color_Positive.jpg","description":"LexisNexis Österreich"}},"path":"https://www.compliance-praxis.at/Insider/Menschen/Person.html?pid=7b2a8f0b73bf4827ae0d2001cbf98b59"}
782_632_LN_Logo_RGB_Primary_Full-Color_Positive.jpg

Redaktion

Die LexisNexis Österreich & Compliance Praxis-Redaktion versorgt Sie regelmäßig mit aktuellen News und Informationen aus der Compliance-Welt. Unser Ziel ist es, Ihre tägliche Arbeit bestmöglich zu ...

{"name":"IT-Compliance: Transparente Benutzerverwaltung","contenttype":"text/html","templateName":"content-page","headmeta":"<meta charset=\"utf-8\">\n<meta http-equiv=\"X-UA-Compatible\" content=\"IE=edge\">\n<meta name=\"viewport\" content=\"width=device-width, initial-scale=1\">\n\n\n\n\n\n <title>IT-Compliance: Transparente Benutzerverwaltung</title>\n \n\n <meta name=\"description\" content=\"Der Softwarehersteller Beta Systems gibt sieben Tipps zur erfolgreichen Einführung einer rollenbasierten Rechteverwaltung im Rahmen der Benutzerverwaltung.\"/>\n\n <meta property=\"og:image\" content=\"/templates/test-migration/duplicate-pages/Netzwerk-ein-gelber-Knotenpunkt.jpg\"/>\n <meta property=\"og:image:height\" content=\"386\"/>\n <meta property=\"og:image:width\" content=\"580\"/>\n <meta property=\"og:site_name\" content=\"CompliancePraxis\"/>\n <meta property=\"og:url\" content=\"/Themen/Aktuelles_Meinung/Archiv/IT-Compliance-_Transparente_Benutzerverwaltung.html\"/>\n <meta property=\"og:type\" content=\"website\"/>\n <meta property=\"og:locale\" content=\"de_DE\">\n <meta property=\"og:description\" content=\"Der Softwarehersteller Beta Systems gibt sieben Tipps zur erfolgreichen Einführung einer rollenbasierten Rechteverwaltung im Rahmen der Benutzerverwaltung.\"/>\n","title":"IT-Compliance: Transparente Benutzerverwaltung","teaser":"Der Softwarehersteller Beta Systems gibt sieben Tipps zur erfolgreichen Einführung einer rollenbasierten Rechteverwaltung im Rahmen der Benutzerverwaltung.","pagecontent":"<p> Die rollenbasierte Rechteverwaltung (Identity und Access Management, IAM), das heißt, die Definition von Business- und IT-Rollen, trägt zur Transparenz und damit zur sicheren und kosteneffizienten Einhaltung und Kontrolle aller internen und externen regulatorischen Vorschriften und Compliance-Richtlinien bei. <a href=\"http://www.betasystems.com/de\" target=\"_blank\">Beta Systems</a> gibt im Folgenden sieben Tipps zur Einführung einer rollenbasierten Rechteverwaltung: </p> \n<h2>1) Rollenmanagement als strategische Aufgabe</h2> \n<p> Rollen bilden die Schnittstelle zwischen den Geschäftsprozessen und der IT eines Unternehmens. Das Rollenmanagement ist daher eine wichtige Organisationsaufgabe, die entsprechend zu etablieren ist. Die Geschäftsprozessverantwortlichen müssen entscheiden, welche Rechte die Rollen beinhalten und welchen Personen diese Rollen zugewiesen werden. Wichtig ist, dass die Zahl der Rollen überschaubar bleibt und ihre Definitionen verständlich und nachvollziehbar sind. </p> \n<h2>2) Aufräumen durch Data Cleansing</h2> \n<p> Die rollenbasierte Rechteverwaltung sollte mit einem grundlegenden Aufräumen beginnen. Der Cleansing-Vorgang schafft die Voraussetzung für ein sauberes Rollenmanagement und besteht aus einer Bereinigung von Informationen. Je nach Stellenbeschreibung arbeiten die Mitarbeiter mit diversen IT-Ressourcen. Daten und Anwendungen werden kombiniert und von Menschen innerhalb und außerhalb einer Organisation genutzt. Role-Mining-Werkzeuge ordnen die einzelnen Accounts den Benutzern zu, um festzustellen, welche Berechtigungen ein Benutzer im Unternehmensnetzwerk hat. Ein Bericht zeigt dann schnell blinde Flecken und \"Karteileichen\" auf, das heißt verwaiste Benutzerkonten oder Berechtigungen. Abgesehen von den Sicherheitsrisiken kosten nicht benötigte Anwendungslizenzen Geld. </p> \n<h2>3) Erhöhung der Automatisierung</h2> \n<p> Übergeordnetes Ziel der IT-Abteilung und Geschäftsführung sollte es sein, durch die Berechtigungsbündel, also Rollen, den Administrationsaufwand deutlich zu reduzieren und Automatisierungsprozesse zu unterstützen. Role-Mining-Werkzeuge unterstützen bei der automatisierten Definition und fortlaufenden Optimierung der Berechtigungsrollen. </p> \n<h2>4) Mix aus Top-Down und Bottom-Up</h2> \n<p> Die standardisierte Modellierung von Rollen erfordert sowohl einen Top-Down- als auch Bottom-Up-Ansatz. Organisatorische Rollen entstehen nach dem Top-Down-Prinzip. Sie sind damit vom Aufbau der Organisation und von den Funktionen der Mitarbeiter geprägt. Mit dem Bottom-Up-Ansatz werden dann auf den Zielsystemen die vorhandenen Berechtigungen hinsichtlich Gemeinsamkeiten und Standards analysiert und den Rollen zugeordnet. Durch die Analyse bestehender Benutzerberechtigungen unterstützt eine Role-Mining-Software die Bottom-Up-Entwicklung von Rollenmodellen. Erst eine Soll-Ist-Analyse deckt Abweichungen vom Soll in existierenden Rollenvergaben auf. </p> \n<h2>5) Anwendung von diversen Analyse-Szenarien</h2> \n<p> Diverse Analyse-Szenarien sollten im Rollenfindungsprozess durchgespielt werden. Role-Mining-Werkzeuge bieten hierfür eine Vielzahl einstellbarer Parameter. Bei der Nachbearbeitung, dem sogenannten Role Engineering, werden die Rollen nach Abstimmung mit den fachlichen Anforderungen auf Basis der automatisch erstellten Analyseergebnisse definiert. </p> \n<h2>6) Rollenmanagement über den gesamten Lebenszyklus hinweg</h2> \n<p> Mit der einmaligen Rollendefinition ist es nicht getan: Permanente Änderungsprozesse verlangen, die Rollen und das übergeordnete Rollenmodell einfach und rasch an neue Stellencharakteristika oder IT-Anwendungen anzupassen. Die gewählte Role-Mining-Software sollte daher ein effizientes Role-Life-Cycle-Management unterstützen - unter Berücksichtigung der Einhaltung und Kontrolle unternehmensweiter und gesetzlicher Vorgaben (Security Policies) bei der Vergabe von Zugriffsberechtigungen. </p> \n<h2>7) Hohe Integrationsfähigkeit</h2> \n<p> Die Role-Mining-Software sollte sich leicht in eventuell vorhandene IAM-Software integrieren lassen. So ist die Implementierung eines ganzheitlichen und intelligenten User-Role-Life-Cycle-Management-Konzepts garantiert. Auch sollte sie plattformunabhängig sein, da sie auf Basis der importierten Daten (HR-Daten und bestehende Berechtigungsinformationen) Rollen vorschlägt und optimiert. Ebenso bedeutend sind Import- und Export-Schnittstellen für die Übergabe der Informationen mittels definierter Dateiformate (CSV- oder XML-Format). </p>","sidecolumn":null,"storiesmain":null,"storiesoverview":null,"headerimage":"","headertitle":"<h1 class=\"contentheader \">IT-Compliance: Transparente Benutzerverwaltung</h1>","stoerercontainer":null,"stoerercontainer2":null,"stoererwerbebanner":"","insiderheads":null,"overviewunternehmenimage":null,"overviewunternehmentitle":null,"buttonviewall1":null,"buttonviewall2":null,"superelement":null,"topstory":null,"netzwerkpartnerlogoleiste":"","metadata":"<div class=\"info\"><eval>>partials/themes-startpage/newsauthors data=(renderNewsAuthors \"26\" userinfo)</eval>\n<br>15. März 2011</div>","footnotes":"<div class=\"footnote v-spacer footnote-editor-preview d-none\"></div>\n","eventsmain":null,"eventsoverview":null,"eventsoverviewjson":null,"event":"","eventdates":"000-000","footer":"<footer class=\"d-flex flex-column flex-xl-row\">\n\t<span class=\"sr-only\">Footer</span>\n\t<ul class=\"nav footer-nav flex-row pb-4 pb-xl-0 w-100\" id=\"footernavigation\" role=\"navigation\">\n\t\t\t\t\t\t\t</ul>\n\t<div class=\"copyright flex-md-shrink-1 text-left text-md-right\">\n\t\t\t\t<img src=\"/static/compliance_praxis/files/images/LexisNexis.png\" alt=\"LexisNexis\">\n\t\t<p></p>\t</div>\n</footer>\n","footerglobal":"<eval>{cpConfigLoader \"global\" \"footer\"}</eval>","footerjson":null,"onetrust":null,"ogimagefallback":null,"ogimagefallbackheight":null,"ogimagefallbackwidth":null,"cpcouponlist":null,"taggedthemes":["Banken- und Versicherungen","Bau","Gesundheits- und Sozialwesen","Handel","Industrie","Energieversorgung, Verkehr, Logistik","Öffentliche Verwaltung","Pharma","Produktion","IT-Compliance","Compliance Organisation"],"taggedcategories":["Aktuelles & Meinung"],"taggedorganizers":[],"taggedexhibitors":[],"taggedlecturers":[],"taggedmoderators":[],"taggedparticipants":[],"taggedauthors":["26"],"taggedmagazine":[],"taggedmagazinepage":"","taggedadvertorial":[],"taggingcontainer":null,"authorsdetails":"<div><eval>>partials/content-page/authorsdetails</eval></div>","participantsdetails":null,"contactsdetails":null,"portalapp":"cpshop,cprelatedarticles,","sidecolumninsider":null,"sidecolumnthemen":null,"sidecolumnevents":null,"sidecolumnglobal":"\t<eval>{cpConfigLoader \"stoerer\" \"sidecolumnthemen\"}</eval>\n\t\t\t\t\t\t<eval>> partials/applications/cprelatedarticles applicationtag=\"cprelatedarticles\"</eval>\n\t\t\t","sidecolumntop":"<div class=\"row\"></div>","sidecolumnbottom":"<div class=\"row\"></div>","premium":null,"oecov":null,"textimage":null,"upcompanytaggedevents":null,"upcompanyadvertorialarticles":null,"personprofile":null,"cms_id":843,"usermodule":null,"cpuseraccount":null,"meshroles":["anonymous"],"taggingusers":null,"magentoshopapp":"\n"}