Operative Ressourcen sind in vielen Unternehmen knapp. Umso wichtiger ist es, die vorhandenen Kapazitäten sinnvoll zu nutzen. Ein Beispiel: Das Berechtigungsmanagement für Fileserver, SharePoint, Active Directory und Objekte in Drittsystemen ist eine permanente Aufgabe für Verantwortliche. Denn personelle und strukturelle Veränderungen im Unternehmen bedürfen der ständigen Pflege. Das bindet vor allem eine Vielzahl operativer Ressourcen.
Durch die Automatisierung des Berechtigungsmanagements lassen sich Aufwände reduzieren, während gleichzeitig die Datensicherheit und Transparenz erhöht werden.
Doch vorab: Wie gelingt Berechtigungsmanagement bei personellen und strukturellen Veränderungen? Was genau versteht man unter dem Gießkannen-Prinzip. Und was hat das Need-to-Know-Prinzip damit zu tun? Wir stellen es Ihnen vor.
IT-Administrator:innen stehen regelmäßig vor der Aufgabe, personelle und strukturelle Veränderungen innerhalb des Unternehmens anzupassen. Auf feingranularer Ebene werden dabei Berechtigungssituation nachjustiert. Recherche-, Abstimmungs- und Anpassungsarbeiten binden erhebliche Ressourcen bei der Entscheidung durch die Datenverantwortlichen und der Umsetzung im operativen Bereich.
Dabei kommt oft das Gießkannen-Prinzip zum Einsatz. Darunter versteht man die großzügige Vergabe von Berechtigungen innerhalb des Unternehmens. Systemzugriffe werden beispielsweise auf Abteilungsebene vergeben oder durch das Heranziehen von Vergleichsbenutzer:innen mit ähnlichem Aufgabengebiet. So wird der neue Berechtigungssatz grob bestimmt.
Ein Beispiel: Wechselt ein:e Mitarbeiter:in den Aufgabenbereich, werden in der Theorie zahlreiche Berechtigungen im Dateisystem, SharePoint oder auf Applikationen entzogen, gewährt oder verändert. Nur so kann das Need-to-Know-Prinzip eingehalten werden.
Die technische Umsetzung erfolgt meist durch die IT-Administration, die manuell entsprechende Active Directory Gruppen verwaltet. Als Grundlage für die Zuweisung neuer Berechtigungen kommt hier häufig statt des Need-to-Know-Prinzips das Gießkannen-Prinzip zum Einsatz.
Die Problematiken des Grießkannen-Prinzips
Welche bestehenden Berechtigungen können entfernt werden? In der Praxis gestaltet sich diese Entscheidung für Verantwortliche häufig schwierig. Das kann zur Folge haben, dass nicht mehr benötigte Berechtigungen aufgrund der aufwändigen Unterscheidung nicht entfernt werden.
Wer muss auf welche Daten zugreifen können? Und wer braucht das Wissen, das aus diesen Daten gewonnen werden kann, nicht? Das Need-to-Know-Prinzip stellt simpel diese Fragen. Denn Datenschutz ist auch innerhalb eines Unternehmens notwendig, um sich u.a. vor Sabotage zu schützen. Bei hochsensiblen Daten sollte zusätzlich geprüft werden, ob eine Schutzunterweisung vorliegt.
Wie können Sie mit personellen Veränderungen umgehen? Das Profilmanagement im BAYOOSOFT Access Manager unterstützt Sie mit der Möglichkeit, Organisationsstrukturen (z.B. Abteilungs- und Tätigkeitszuordnungen) als Benutzerprofile im System abzubilden.
Bei einem Wechsel des Beschäftigungsbereichs wird lediglich eine Anpassung des Profils durch Verantwortliche notwendig. Denn für Benutzer:innen und Berechtigungen auf Ressourcen wird ein Profil angelegt.
Auch das Beantragen individueller Rechte ist für Mitarbeiter:innen über das integrierte Self Service Portal möglich. Wenn neue Mitarbeiter:innen in einer Abteilung beginnen, erhalten sie die Profilmitgliedschaft des Teams und somit alle benötigten Rechte.
Vergleichsbenutzer:innen werden nicht herangezogen. Das verhindert die Übertragung individueller Profilzuweisungen an andere Personen.
Mit der Möglichkeit, Start- und Enddatum der Berechtigungen anzulegen, kann ein langsamer Übergang ermöglicht werden, wenn sich die Profilmitgliedschaften zeitweise überschneiden. Mit Eintreffen des gesetzten Stichtages setzt das System die gewünschte Änderung automatisch um.
Es wird sichergestellt, dass der Benutzende nur die Berechtigungen erhält, die er auch wirklich benötigt. Revisionssicher wird dokumentiert, wann und durch wen Berechtigung erteilt und Veränderung vorgenommen wurden.
Neben Berechtigungen auf Verzeichnisse im Dateisystem oder SharePoint Objekte strukturiert das 3rd Party Management Modul des BAYOOSOFT Access Manager auch auf Active Directory Gruppen basierende, Rechte in Profilen. Ob benötigte Druckerfreigaben, Laufwerksmapping oder Applikationsrechte – bei Veränderungen können Zugriffsrechte kombiniert oder als individuelle Rechte beantragt und genehmigt werden.
Diese Entwicklung hin zur automatisierten Access Management Lösung ermöglicht, alle organisationsweit notwendigen, Active Directory basierten, Berechtigungen, direkt durch die Fachbereiche organisieren zu lassen.
Ein umfangreiches Reporting stellt die aktuellen Zugriffsrechte auch für Personen ohne IT-Hintergrundwissen verständlich und übersichtlich dar. Durch historische Berichte lässt sich so auch der Berechtigungszustand an einem Stichtag in der Vergangenheit nachvollziehen.
Welche:r Mitarbeiter:in tritt neu ins Unternehmen ein, wechselt den Bereich oder scheidet aus? HR-relevante Informationen aus bestehenden Softwaresystemen können zur automatisierten Anpassung der Profilmitgliedschaften genutzt werden. Daraus folgt
Unser neues Whitepaper: Best Practices