Klassische Probleme in der Berechtigungsvergabe und dem -entzug
Jeder hat es wahrscheinlich schon selbst erlebt: im Laufe des Geschäftslebens in einer Firma sammeln sich Berechtigungen in IT-Systemen an und werden nicht immer wieder korrekt entzogen. So hat man nach einigen Jahren weitreichende Berechtigungen und ist vom Prinzip des „Least Privilege“ weit entfernt. Wechselt man dann zu einem neuen Unternehmen, hat man dort selten am ersten Arbeitstag die vollständigen Berechtigungen, die man zum Arbeiten braucht.
Dafür existiert wahrscheinlich noch die eine oder andere Berechtigung in einem IT-System des Arbeitsgebers, den man gerade verlassen hat. Das ist insbesondere für Cloud-Anwendungen problematisch, auf die man auch außerhalb der Unternehmensinfrastruktur zugreifen kann.
Aufgaben des IAM-Systems
Hier kann ein IAM System Abhilfe schaffen. Durch eine zentrale Verwaltung der Berechtigungen können diese koordiniert vor/am ersten Arbeitstag eines Mitarbeiters in den IT-Systemen eingerichtet werden. Durch jährliche Rezertifizierungen (gegebenenfalls nur von kritischen Berechtigungen) wird geprüft, ob eventuell Personen Berechtigungen haben, die sie bereits nicht mehr benötigen. Mit Ausscheiden werden alle Berechtigungen entzogen und eventuell noch vorhandene Accounts deaktiviert bzw. gelöscht.
Ein Vier-Augen-Prinzip bei der Berechtigungsvergabe, beispielsweise durch den Vorgesetzen und den Fachverantwortlichen der jeweiligen IT-Anwendung, verhindert zudem, dass Berechtigungen leichtfertig oder willkürlich vergeben werden. Auch die Einhaltung einer Funktionstrennung (segregation of duties) ist möglich.
Wo ist jetzt der Business Case?
Ohne zentrales IAM-System werden Berechtigungen häufig per Formular (Papier oder digital) beantragt und nach Freigabe in den jeweiligen IT-Systemen manuell administriert. Dieser Prozess wird häufig mit einer manuellen Arbeitszeit von 15 min veranschlagt. Erfahrungswerte zeigen, dass pro Mitarbeiter und Jahr ca. 20 Berechtigungen über alle IT-Systeme vergeben oder entzogen werden. Bei 5.000 Mitarbeitern ergeben sich damit Aufwände von cira 25.000 Arbeitsstunden = ca. 15 Personenjahre. Dazu kommen noch Supportaufwände und Produktivitätsverluste durch vergessene Passwörter.
Durch den Einsatz eines Identity Providers, wie beispielsweise MS Entra ID (ehemals MS Azure AD) oder Keycloak, können in der Kombination mit einem IAM-System Berechtigungsvergaben und -entzüge weitgehend automatisiert – und ein Single-Sign-On über die Anwendung realisiert werden. Damit steigt die User-Experience und die Aufwände sinken. Als qualitativer Aspekt kommt hier noch die deutliche Steigerung des Sicherheitsniveaus im Unternehmen zum Tragen.
Bei einem Automatisierungsgrad von 66% hat sich ein 2,5 Mio. Euro teures IAM-Projekt in obigem Beispiel somit bereits nach 2 Jahren amortisiert.
Fragen, Feedback und Kommentare zu diesem Beitrag senden Sie bitte an r.ehren@acent.de
Ralf Ehren | 16.10.2023
