Access Governance – Management von Berechtigungen

Access Governance befasst sich mit der Frage wer zu welchem Zeitpunkt auf bestimmte Ressource zugreifen durfte und ob die Genehmigung dieser Zugriffsrechte angemessen war.

Angemessene Berechtigungsvergabe mit Access Management

  • Wer hat bzw. hatte wann worauf Zugriff?
  • Woraus resultierte das Zugriffsrecht?
  • Wer hat das genehmigt?
  • Und wie wird sichergestellt, dass die Zuordnung angemessen ist?

Das sind Fragen, welche häufig durch interne wie externe Revisoren gestellt werden. Diese Fragen für einen willkürlich ausgewählten Vorgang zu beantworten, bedeutet nicht selten tagelange Recherche.

Mit IGA-Systemen lassen sich solche Informationen auf Knopfdruck zur Verfügung stellen. Die Sicherstellung der Compliance wird durch weitere Prozesse wie Rezertifizierungen von Zugriffen und Revalidierungen von externen Mitarbeitenden unterstützt.

Rezertifizierung

Unter einer Zertifizierung von Zugriffsrechten versteht man eine Überprüfungsroutine, bei der Zuordnungen von Businessrollen, einzelnen Accounts oder Berechtigungen zu einer Person durch Vorgesetzte auf Angemessenheit geprüft und bestätigt werden.

Rezertifizierung

RBAC und Businessrollenmodell – Warum ein rollenbasierter Ansatz?

Im Zusammenhang mit der Einführung eines IAM stößt man oft auf den Begriff Businessrolle. Was sind eigentlich Businessrollen?

Businessrollen sind Elemente eines Rollenkonzepts, die typische Arbeitsplätze/Funktionen eines Unternehmens abbilden (z. B. Buchhalter/in) und IT-Zugänge systemübergreifend bündeln. Die Businessrollen kombinieren insofern alle Berechtigungen, die zur Ausführung der Aufgaben eines Arbeitsplatzes erforderlich sind — unabhängig von den Plattformen & Systemen, auf denen die Aufgaben abgebildet sind. Änderungen an Arbeitsplätzen können durch Anpassungen der zugeordneten Applikationsrollen vorgenommen werden. Die Synchronisation erfolgt automatisch über das IAM.

Vorteile

  • Das Zusammenfassen von Einzelberechtigungen zu Rollen ist die notwendige Standardisierung zur Automatisierung in der Berechtigungsverwaltung
  • Verringerung des Verwaltungsaufwands
  • Einfache Umsetzung der Compliancegerechten Funktionstrennung (Segregation of Duties), da für unterschiedliche Tätigkeiten unterschiedliche Rollen existieren
  • Verbesserte Compliance dank besserer Nachvollziehbarkeit
  • Rollen mit „sprechenden“ Namen und Beschreibungen sind für Self-Service-Nutzer besser geeignet

Segregation of Duties (SoD)

Zudem kann über das Rollenmodell eine Segregation of Duties umgesetzt werden. Über zu definierende Unverträglichkeiten lässt sich die gleichzeitige Zuweisung bestimmter Rollen, eine sogenannte toxische Berechtigungskombination, unterbinden. So dürfen Mitarbeitende aus der Debitorenbuchhaltung beispielsweise nicht gleichzeitig die spezifischen Berechtigungen von Mitarbeitenden aus der Kreditorenbuchhaltung erhalten, da Interessenskonflikte vorliegen können.

Vorteile

  • Verringertes Haftungsrisiko durch zielgerichtete Maßnahmen zur Sicherung der Compliance
  • Unterstützung von Least Privilege- oder Need to Know-Prinzipien
  • Unterstützung bei der Erfüllung diverser Anforderungen und Regularien an die Compliance
  • Geleisteter Beitrag zur IT-Security