Die wachsenden Anforderungen interner und externer Prüfer rücken das keineswegs neue Thema Berechtigungsmanagement wieder ins Blickfeld. Strukturierte, nachvollziehbare Prozesse zur Erstellung, Vergabe und Prüfung von Berechtigungen sind ein Muss – nicht mehr nur für die effiziente Administration, sondern verstärkt auch aus Compliance-Sicht.
Das Berechtigungsmanagement wurde in vielen Unternehmen bereits vor Jahren mit IAM-Projekten (Identity und Access Management) angegangen, oft sehr technisch getrieben. In der letzten Zeit ist das Thema der Access Governance populärer geworden, als das Management von Rollen und die Durchführung von Rezertifizierungen oberhalb der technischen Verteilung von Benutzer- und Berechtigungsinformationen.
Auch PxM gewinnt an Gewicht, also der Umgang mit privilegierten Benutzern, Konten, Identitäten und Zugriffen. Und die Teilnehmerzahlen bei Webinaren von KuppingerCole zeigen, dass auch XACML und das dahinter stehende Thema des granularen Autorisierungsmanagements für Anwendungen und Dienste immer wichtiger werden – kaum ein Thema stößt auf so großes Interesse.
Bei der Aufzählung wird deutlich, dass Berechtigungsmanagement nicht mit einer einfachen Technologie lösbar ist. Auf der technologischen Ebene geht es um das richtige Zusammenspiel aller vier Blöcke – Identitätsmanagement, Berechtigungsmanagement, PxM und das Autorisierungsmanagement für Anwendungen.
Noch wichtiger ist aber die organisatorische Ebene: Wie müssen eigentlich die Prozesse aussehen? Sind sie geeignet, die Anforderungen von Prüfern zu erfüllen? Wie wird mit Segregation of Duty-Regeln, also sich gegenseitig ausschließenden Berechtigungen umgegangen? Wie erfolgt eine Risikokontrolle? Welche Prüfprozesse braucht es? Und vor allem: Wie bekommt man das in der Organisation – also in den Fachbereichen – umgesetzt? Denn diese Prozesse müssen alle gelebt werden.
Einwandfreies Berechtigungsmanagement ist kein triviales Unterfangen. Es erfordert ein Gesamtbild davon, wie das Berechtigungsmanagement zukünftig aussehen soll und keine isolierte Sicht auf einzelne Anwendungen. Es erfordert klar definierte Prozesse und deren Umsetzung zusammen mit dem Business. Aber: Es ist machbar und es muss gemacht werden.
Denn ein konsistentes Berechtigungsmanagement ist nicht nur die Voraussetzung für die Erfüllung von regulatorischen Vorgaben (Compliance). Es ist die Basis für Informationssicherheit, also das, worum es in der IT geht – der Technologie für den Umgang mit Informationen.
„It’s about the I in IT, not the T“
Informationssicherheit wird immer wichtiger, um die Risiken von Informationslecks zu minimieren. Es ist auch die Voraussetzung für eine effizientere Entwicklung von Anwendungen, die Sicherheitsfunktionen in standardisierter Weise nutzen. Und die administrativen Prozesse für Fachbereiche und IT können ebenfalls davon profitieren.
Um das Ziel zu erreichen, muss man es definieren – in einer Gesamtsicht. Dann kann man Schritt für Schritt, in überschaubaren Blöcken, auf dieses Ziel hinarbeiten.