IT-Wissen vertiefen?
Bei unseren Events ist Mehrwert vorprogrammiert.
Berechtigungs-
management mit Nexis
In jedem Unternehmen sammeln sich mit der Zeit viele Daten und Informationen an, zu denen entweder alle Mitarbeitenden oder nur ausgewählte Personenkreise Zugangsberechtigungen erhalten. Die Verwaltung dieser Berechtigungen gestaltet sich oftmals als Herausforderung. An dieser Stelle setzt ein Berechtigungsmanagement-Tool an und sorgt für mehr Übersicht, optimalen Datenschutz sowie die entsprechende Informationssicherheit. Frank Pevestorf, Informationssicherheits-Consultant bei der Vater Solution GmbH, erzählt uns im nachfolgenden Interview von seinen Erfahrungen mit der Umsetzung von Berechtigungskonzepten und warum er mit dem Tool NEXIS 4 am effizientesten arbeiten kann.
Berechtigungsmanagement – das ist für viele entweder eine große Unbekannte oder eine komplexe und schwierig überschaubare Materie. Jedenfalls kein Thema, das primär mit den Begriffen „Übersicht“ und „Transparenz“ verbunden wird, oder?
Frank Pevestorf: Stimmt. Das liegt im Wesentlichen daran, dass die Strukturen und vergebenen Berechtigungen in Unternehmen oft historisch gewachsen sind – wie man so schön sagt. Nach meinen Erfahrungen aus verschiedenen Projekten in unterschiedlichen Branchen erfolgt die Zuweisung von Berechtigungen immer sehr schnell – häufig auch ohne geregelte Prozesse. Schließlich müssen die Mitarbeiterinnen und Mitarbeiter ja arbeiten können. Das geht von Neueinstellungen über Änderungen der Funktionen oder Aufgabengebiete, bis hin zu Abteilungswechseln. Hinzufügen und Erweitern von Berechtigungen funktioniert immer und wird auch stets als wichtig angesehen. Selten werden dabei aber die nicht mehr erforderlichen Berechtigungen entfernt, um die Arbeitsfähigkeit nicht zu gefährden.
Hinzu kommt die steigende Anzahl von Anwendungen sowie Anwenderinnen und Anwendern in den Unternehmen, sowie ggf. die verteilte Administration durch unterschiedliche Personen, welche oft nicht einmal in einem Team zusammenarbeiten. So kann u.U. noch jeder einzelne Administrator sagen, welche Berechtigungen eine bestimmte Person in dem von ihm betreuten System hat – eine anwendungsübergreifende Übersicht ist aber sehr selten vorhanden und nur mit erheblichem Aufwand zu erstellen.
Bestenfalls existieren aufwändig erstellte Excel-Tabellen in denen versucht wird, die zugewiesenen Berechtigungen über die verschiedenen Anwendungen und Systeme manuell zu pflegen. Wie erfolgversprechend das auf Dauer ist, liegt auf der Hand.
Es ist heutzutage also sehr schwer zu erkennen, wer welche Berechtigungen im Unternehmen hat, warum er diese erhalten hat und ob er diese tatsächlich noch braucht. Man benötigt zunächst eine Möglichkeit, alle Berechtigungen anschaulich darzustellen, idealerweise basiert solch eine Analyse auf unterschiedlichen Parametern wie z.B. Organisation, Funktion, Standort usw. Erst dann ist erkennbar, wo ggf. zu viele und falsch vergebene Berechtigungen vorhanden sind.
Sind zu viel vergebene Berechtigungen denn schlimm? Und müssen diese dann bei jedem Wechsel angepasst werden?
Frank Pevestorf: Zu viele oder falsch vergebene Berechtigungen bergen ein hohes Risiko. Unter Umständen wird damit gegen Anforderungen aus Regelungen, Gesetzen oder vertraglichen Vorgaben verstoßen, mit teilweise empfindlichen Strafen oder Reputationsschäden.
Das beginnt schon bei der Einstellung von neuen Mitarbeiterinnen oder Mitarbeitern. Gängige Praxis ist die Anlage neuen Personals mit dem Hinweis „bitte einrichten wie Herr/Frau xyz“. Dabei wird oft nicht berücksichtigt, dass Herr/Frau xyz seit mehreren Jahren im Unternehmen arbeitet und möglicherweise durch Tätigkeiten in unterschiedlichen Abteilungen eine Menge an Berechtigungen angesammelt hat. Als Folge hat eine neu eingestellte Person dann gleich ein umfangreiches und ggf. privilegiertes Set an Berechtigungen. So sind beispielsweise Auszubildende häufig die Personen mit den meisten Berechtigungen im Unternehmen.
Wie können Unternehmen ihre Berechtigungen besser in den Griff bekommen?
Frank Pevestorf: In den mehr als 15 Jahren, in denen ich mich mit dem Thema Berechtigungsmanagement beschäftige, zeigt sich immer wieder, dass eine Visualisierung und übersichtliche Darstellung aller Berechtigungen aus allen Anwendungen hilfreich ist, um mit den Fachbereichen die Ist-Situation diskutieren zu können.
Die gängigen Produkte im Umfeld von Identity & Access Management bieten keine Möglichkeit der unterschiedlichen Betrachtungsweisen – beispielsweise abhängig von der Organisationsstruktur oder Funktionen im Unternehmen. Zudem können diese Produkte die technisch – und damit für Fachbereiche kryptisch - bezeichneten Berechtigungen nur in Listen darstellen, womit man einen Fachbereich nicht gerade zu Diskussionen motivieren kann.
NEXIS 4 bietet diese komfortablen Visualisierungsmöglichkeiten. Ich kann Betrachtungen granular gestalten und damit die Berechtigungsstrukturen von Abteilungen oder auch Funktionen analysieren. So lassen sich sowohl „Berechtigungsbündel“ als auch „Ausreißer“ von Berechtigungen schnell erkennen und bilden die Basis für anschließende Bereinigungsmaßnahmen.
Für die Entwicklung von Geschäftsrollen kann in Zusammenarbeit mit den Fachbereichen anschließend definiert werden, welche Anwendungen und Berechtigungen zur Erfüllung einer Aufgabe benötigt werden, um diese entsprechend zu bündeln. So sind eine gezielte Beantragung und Einrichtung möglich. Alles geschieht dabei ohne Medienbruch und unter Einbeziehung der Fachbereiche. Die Workflow-Unterstützung von NEXIS 4 versetzt das Unternehmen in die Lage nachzuvollziehen, aus welchen Gründen es zu Änderungen gekommen ist und wer diese beauftragt, genehmigt und durchgeführt hat.
Gute Software und ihre Einführung haben ihren Preis – wie sieht das bei NEXIS 4 aus?
Frank Pevestorf: Mit NEXIS 4 entstehen keine langen Projektlaufzeiten und das Produkt kann sehr schnell genutzt werden. Erste Erfolge lassen sich schon in wenigen Tagen darstellen und realisieren.
Deshalb sind auch die Kosten überschaubar. Zudem besteht die Möglichkeit, NEXIS 4 zunächst für einen definierten Zeitraum in einem Mietmodell zu betreiben, wenn beispielsweise nur eine Analyse und Bereinigung durchgeführt werden soll. Ebenso ist der Betrieb in unserem Rechenzentrum von Vater IT möglich. Darüber hinaus gibt es das Produkt in drei unterschiedlichen Editionen, die je nach Einsatzmodell lizenziert werden können.
Wir begleiten den Kunden in alle Phasen mit kompetenten, fachlich erfahrenen Kolleginnen und Kollegen und sind Schnittstelle zu unserem Partner und Hersteller.
Stichwort Partner und Hersteller. Woher stammt das Produkt und wo hat die Firma NEXIS ihren Sitz?
Frank Pevestorf: Die Firma NEXIS hat ihren Sitz in Regensburg und ist als ein Spin-Off der dortigen Universität entstanden. Die Mitarbeiterinnen und Mitarbeiter der Firma haben zum Großteil dort studiert und sich dem Schwerpunkt Berechtigungsmanagement gewidmet. Das Produkt existiert schon seit ca. 8 Jahren, hat inzwischen einen beträchtlichen Kundenstamm gewonnen und sich am Markt etabliert.
Mit NEXIS 4 lassen sich Berechtigungen anwendungsübergreifend mit überschaubaren Kosten analysieren, ohne die üblichen langen Projektlaufzeiten bei der Einführung von Identity & Access Management-Produkten. Und das noch mithilfe eines deutschen Produktes.
Eine abschließende Frage: Wie kann ein Unternehmen schnell und mit überschaubaren Kosten Berechtigungen managen?
Frank Pevestorf: Sind die Berechtigungen analysiert und bereinigt, besteht die Möglichkeit der Erstellung von Geschäftsrollen, mit deren Hilfe dann die Vergabe der erforderlichen Zugriffe erfolgt - wenn gewünscht sogar vollautomatisch durch regelbasierte Vergabe.
Für einen persönlichen Eindruck bieten wir allen Interessierten eine persönliche Präsentation gemeinsam mit unserem Partner und Hersteller NEXIS, um das Produkt einmal kostenfrei zu testen.