zersplintert = inkonsistente und verteilte Datenhaushalte

Es gibt zwei Kategorien berechtigungs-relevanter Daten einer Person:

  1. Personenbezogene Daten, z.B. Personalstammdaten, organisatorische Zugehörigkeit, Telefonnummern, eMail-Adressen oder Büronummern.
  2. Benutzerkonten & Zugriffsrechte, die in allen Anwendungen und IT-Systemen mit eigener Benutzerverwaltung gepflegt werden müssen.

Die Pflege dieser Daten innerhalb des User-Life-Cycle erfolgt häufig nicht durchgängig und wird in der Praxis meist manuell umgesetzt, was gerne Fehler produziert.

 

Die Auswirkungen

Dass Informationen über einen User fehlerhaft sind, ist das kleinere von zwei Problemen. Durch Nummer eins sind beispielweise personenbezogene Merkmale wie Kontaktinformationen in bestimmten Anwendungen einfach nicht vorhanden oder veraltet. Dieser Umstand produziert das zweite und größere Problem: für die Zuordnung von User-Rechten ein solches personenbezogenes Merkmal wie eine Personalnummer erforderlich. Nur über den User-Namen lässt sich die Zuordnung eines Kontos zu einem User nicht vornehmen.

 

Die Risiken

Diese nicht konsistenten Datenhaushalte produzieren EU-DSGVO-relevante Risiken. Einerseits sind die personenbezogenen Daten eines Users irgendwo im Unternehmen verteilt gespeichert und eine Löschung dieser Daten ist im Falle eines Mitarbeiteraustritts nur erschwert oder gar nicht umsetzbar. Andererseits fehlt teilweise der Bezug von Konten zu User, wodurch es bei der Rechtevergabe- und Rechteveränderungs-Prozesse zu Dubletten und Fehlern kommen kann:

  • Eine User/Identität erhält uneinheitliche oder falsche Rechte
  • Eine User/Identität erhält doppelte Benutzerkonten
  • Austritts- oder Wechselprozesse können nicht sauber umgesetzt werden
  • Eine Rechteübersicht pro User/Identität lässt sich nicht darstellen

 

Die Entsplinterung

Über Identity & Access Management-Lösungen werden diese heute verteilten und nicht verbundenen Datenbanken durch Schnittstellen angebunden. Diese Schnittstellen zu bspw. dem HR-System, Org.-Management, Active Directory und anderen Geschäftsapplikationen synchronisieren diese Informationen in die IAM Datenbank und verteilen sie an relevante Applikationen. So wird bspw. ab dem Moment der Verfügbarkeit die E-Mail-Adresse im SAP HCM eingetragen. Durch die Anbindung werden darüber hinaus alle Berechtigungsstrukturen, also Benutzerkonten, Gruppen, Rechten, Rollen, Profilen und Organisationsstrukturen wie OUs, Firmen, Abteilungen, Standorte und Genehmiger zyklisch eingelesen und in einem Identity Datastore gespeichert. Unterschiedliche Kriterien ermöglichen die Zuordnung der verschiedenen User-Konten nebst den applikationsspezifischen Berechtigungen zu Identitäten. Das Beschriebene ist der Vorgang der automatischen Identitäten-Bildung anhand definierbarer Kriterien wie Vorname, Nachname, Geburtsdatum, Personalnummer etc.

Diese Identitäten-Bildung verschafft Ihnen einen lückenlosen Überblick auf die vorher verteilten und inkonsistenten (zersplinterten, A.d.R.) Daten, die permanent von der IAM Software aktualisiert werden und für Sie einsehbar ist. IAM gut, User-Life-Cycle gut.