Begriffsklärung

Wir steigen heute gleich mit der IAM-Lösung ein, direkt in der Headline: Identity Change Management. Das passende Problem zur Lösung lautet wie folgt: Rechte-Zuwachs bei organisatorischen Wechseln.

Was passiert, ist folgendes: niemand nimmt beim Wechsel eines Mitarbeiters innerhalb einer Organisation, dem Mitarbeiter die Rechte weg, die er auf seiner neuen Position nicht benötigt oder haben darf, oder. Aus den verschiedensten Gründen kann das passieren. An seine neuen Rechte wird automatisch gedacht, sonst kann der Mitarbeiter seine Aufgaben nicht erfüllen. Da entsteht sofort intern Druck, wenn dem Mitarbeiter Rechte fehlen.

Diesen Druck durch den Einsatz von Identity & Access Management erst gar nicht entstehen zu lassen hat weit reichende Vorteile. Der Druck kommt ja nicht nur von Innen.

  • Niemand kann Rechte die ihm nicht zustehen missbrauchen. Das reduziert das Risiko
  • Die EU-DSGVO stellt kein Problem mehr dar
  • Alle Rechte und die Vorgänge die zu diesen führten sind lückenlos dokumentiert (Datenbank, systemübergreifend!)
  • die Change-Prozesse sind vordefiniert, laufen automatisch ab und alle (die dieser Vorgang etwas angeht) werden von diesem Automatismus darüber informiert und involviert
  • automatisierte Prozesse kosten einen Bruchteil im Vergleich zu sagen wir mal “halbautomatischen”, und nicht systemübergreifenden Prozessen

 

Fahrplan zur Besserung

Um die Problematik unzureichender Rechteveränderung bei organisatorischen Veränderungen zu adressieren, sind mehrere Maßnahmen erforderlich:

  • Durchgängige Abbildung & Steuerung von Veränderungsprozessen
  • Sicherstellung der Initiierung des Change-Prozesses bspw. durch HR-Anbindung
  • Aufbau und Pflege einer systemübergreifenden Rechtedatenbank
  • Definition der Standardberechtigungen pro
    > Abteilung
    > Position
    > Standort
    > Mandant
  • Definition von Business-Rollen

Diese Einzelmaßnahmen vereinen moderne IAM-Lösungen in einem Identity-Lifecycle-Management das sicher stellt, dass jeder Mitarbeiter vom Eintritt über die unterschiedlichsten Veränderungen bis hin zum Austritt aus dem Unternehmen nur die wirklich notwendigen Benutzerrechte zugewiesen bekommt (Least-Privileged-Prinzip).

Wenn diese Prozesse implementiert sind, können Vorgesetze über sog. Re-Zertifizierungs- oder Attestierungsprozesse die Zugriffsrechte ihrer Mitarbeiter prüfen.

 

Zusammengefasst bedeutet Identity Change Management

  • Automatische Initiierung der Change-Prozesse
    > durch Anbindung an das HR-System
    > durch Self-Service-basierten Prozessstart
    > Automatischer Entzug nicht notwendiger Rechte/Benutzerkonten
    > Automatischer Vergabe erforderlicher Rechte/Benutzerkonten
    > Standardkonten und -rechte werden im IAM-System definiert
    > nach Abteilung, Position oder Rolle
    > Diese werden bei einem Wechsel automatisch entzogen und vergeben
    > Least-Privilege-Prinzip
  • Automatische Rezertifizierungsprozess
    > Rechte & Rollen werden regelmäßig auf ihre Notwendigkeit geprüft