Laut der aktuellen KCP-Marktstudie 2008 zu den Themen Identity und Access Management (IAM) und GRC (Governance, Risk Management, Compliance) gehört das Thema Rollenmanagement neben Provisioning und Single Sign-On zu den drei Themenfeldern, in die in den kommenden zwölf Monaten am meisten investiert wird. Das überrascht angesichts des hohen Compliance-Drucks nicht. Dennoch straucheln viele Unternehmen beim Thema Rollenmanagement.
Die Herausforderung des Rollenmanagements liegt insbesondere darin begründet, dass es sich nicht um ein reines IT-Projekt handelt, sondern immer eine enge Zusammenarbeit von IT und Business erfordert. Zudem kann man auch schnell eine Komplexität durch zu viele Rollen erzeugen, die nicht mehr beherrschbar sind oder scheinen.
Wenn man aber einige Grundregeln einhält, kann man auch Rollenmanagement-Projekte zuverlässig erfolgreich gestalten.
Die fünf wichtigsten Regeln aus sind:
1. Think big – start small – grow big:
Die oft genannte Regel „start small – grow big” reicht nicht aus. Klar sollte man mit einer überschaubaren Zahl von Rollen beginnen und sich immer an der 80/20-Regel orientieren. Aber man muss vorher ein klares Konzept dafür haben, wie man das Rollenmanagement auf Unternehmens- und auf IT-Ebene betreiben möchte. Die zunächst fokussierten, kleinen Umsetzungen muss man dann kontinuierlich weiterentwickeln – Rollenmanagement muss also eine definierte Aufgabe in der Business- und IT-Organisation werden.
2. Top down und Bottom up:
Die beiden diskutierten Ansätze sind einerseits das konzeptionelle Top down, also die Ableitung von Rollen aus Aufbau- und Ablauforganisation, aus Projekten und Geschäftsprozessen und aus anderen Informationen und andererseits der Bottom-up-Ansatz, umgesetzt meist über das Role Mining, basierend auf aktuellen Autorisierungen. Man braucht aber beides – und auch bei Bottom-up-Ansätzen den Einbezug von Organisationsdaten. Denn wenn man Rollenvorschläge erhält, die sich über getrennte Organisationseinheiten erstrecken und damit keinen sinnvollen, eindeutigen Rollenverantwortlichen haben können, hat man nichts erreicht.
3. Mehrstufigkeit und Wiederverwendung:
Rollenmodelle sind mehrstufig. Es gibt Business-Rollen mit Fokus auf die Organisation, zusammenfassende Rollen auf IT-Ebene und Systemrollen für einzelne Systeme. Viele der Rollen braucht man an mehreren Stellen im Unternehmen. Entsprechend sollte ein Rollenkonzept auf die Wiederverwendung ausgerichtet sein. Insbesondere sollte man die Modelle auch, aber nicht nur für IAM und GRC konzipieren – man braucht sie auch in Geschäftsprozessen, im Enterprise Content Management und an vielen anderen Punkten.
4. Klare Zuständigkeiten und definiertes Role Lifecycle Management:
Die Qualität des Konzepts kann man einfach validieren, wenn man klare Zuständigkeiten definiert. Dabei gibt es unterschiedliche Rollenverantwortliche wie die Betriebsorganisation, Führungskräfte, Informations- und Prozess“besitzer“ und so weiter. Wenn diese klar definiert werden können, dann spricht das für das Rollenmodell – und erlaubt ein definiertes, nachvollziehbares Role Lifecycle Management, um die Erweiterungen und Änderungen systematisch, einfach und zuverlässig umsetzen zu können.
5. Basissysteme aufräumen:
Schließlich braucht es auch Datenqualität in den angeschlossenen Systemen. Wer ein konsistentes Berechtigungsmanagement im SAP-Umfeld hat, wird sich mit der Zuordnung von Business- zu System-Rollen viel leichter tun. Ohne Datenqualität funktioniert es nicht.
Diese Regeln helfen bei der Gestaltung von Rollenmanagement-Projekten. Und wer sich das erste Mal an das Thema heranwagt, ist sicher auch gut beraten, sich von den durchaus existierenden Experten coachen zu lassen. Hier liegt die Betonung aber auf dem Coaching, der „Hilfe zur Selbsthilfe“, sozusagen. Da Rollenmanagement eher ein Prozess als ein Projekt ist, muss man hier irgendwann selbständig handeln können.