Identity und Access Management ist ein systemübergreifendes IT-Thema. In den CRM-Projekten mit unseren Kunden sind aber gerade Rollendefinitionen und Rechtevergaben wichtige fundamentale Entscheidungen. Deshalb veröffentlichen wir den folgenden Artikel in unserem CRM-Blog.


Will man das weite Feld regulatorischer Anforderungen an das Berechtigungswesen in Unternehmen vermessen, erhält man ein kleines Sammelsurium aufsichtsrechtlicher Kataloge sowie bundespolitischer und europäischer Gesetzestexte. 

So gehen etwa aus dem Kreditwesengesetz (KWG), dem Bundesdatenschutzgesetz (BDSG) und dem Handelsgesetzbuch (HGB), der europäischen Datenschutz-Grundverordnung (DSGVO), den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) sowie den Mindestanforderung an ein Risikomanagement (KAMaRisk) der Bundesanstalt für Finanzdienstleistungsaufsicht jeweils Vorgaben hervor, die ein gesetzeskonformes Identity und Access Management (IAM) erfüllen muss. 


Trotz regulatorischer Felder die Kuh im Dorf lassen 

Die unterschiedlichen Vorgaben verfolgen ein im Grunde gemeinsames Anliegen: Sie verpflichten Unternehmen, ein dem Risiko des eigenen Geschäfts angemessenes Berechtigungssystem zu definieren, das alle Zugriffe auf Informationen und Daten des jeweiligen Unternehmens regelt. Ein solches Berechtigungswesen soll im Besonderen Risiken minimieren, die sich etwa durch nicht autorisierten Zugriff auf Informationen von Unberechtigten ergeben können. 

Im Prinzip geht es bei aller Komplexität um das IAM um nachvollziehbare Fragen, die Unternehmen auch unabhängig von den regulatorischen Vorgaben klären sollten – wie etwa: 

  • Wer sind die Benutzer im Unternehmen? 
  • Welche Berechtigungen wurden den Benutzern wann zugeteilt? 
  • Wer hat wann welche Berechtigungen innegehabt?  
  • Warum haben die jeweiligen Mitarbeiter diese Berechtigungen?  
  • Wer hat diese Berechtigungen wann genehmigt? 
  • Stehen die Berechtigungen im Widerspruch zur organisatorischen Zuordnung? 

Diese Fragen lassen sich auf zwei unterscheidbare Bereiche des IAM verteilen: das Identity Management (IM) und das Access Management (AM). 

Teil 1: Identity Management

Unter IM lassen sich die gesamten Maßnahmen zusammenfassen, die notwendig sind, um: 

  1. Natürliche Personen in IT-Systemen eindeutig zu erkennen und 

  2. Berechtigungen (Zugriffe), die im Rahmen eines fachlichen Aufgabenprofils benötigt werden, eindeutig natürlichen Personen zuzuordnen. 

Diese Festlegungen sind meist dann nötig, wenn ein neuer Mitarbeiter in ein Unternehmen eintritt oder wenn ein bestehender Mitarbeiter ein Unternehmen verlässt. Darum lassen sich die Maßnahmen, die im Rahmen eines IM notwendig sind, mittels eines User Life Cycle fassen. 

Teil 2: Access Management 

AM umfasst die Prozesse der Genehmigung und Zuordnung beziehungsweise Entziehung von Zugriffen (Access) und IT-Berechtigungen zu Identitäten. Außerdem umfasst AM die Prozesse zur Definition und Pflege von Rechten, die Identitäten zugeordnet werden können sowie die (Überwachungs- und Kontroll-) Prozesse der regelmäßigen Überprüfung von Berechtigungen.


Identity und Access Management in der Praxis

In der Praxis sind IM und AM eng miteinander verflochten, sodass in einem IAM die Verwaltung von Identitäten mit der Administration von Zugriffen beziehungsweise Berechtigungen für IT-Systeme verknüpft werden. Dabei können sich Unternehmen an zwei Prinzipien orientieren:  

  1. Gemäß dem Prinzip des Need-to-Know (= Prinzip der minimalen Rechte) werden einem Mitarbeiter nur diejenigen Rechte gewährt, die er für die Ausführung seiner Tätigkeiten unbedingt benötigt. 
  2. Nach dem Prinzip der Funktionstrennung (Segregation-of-Duty, SoD) gilt es, bestimmte Kombinationen von Berechtigungen zu vermeiden, die auch als toxische Kombinationen bezeichnet werden. Dieses Prinzip hilft, Missbrauch und betrügerische Handlungen zu verhindern. 

Die Einhaltung beider Prinzipien sind durch zwei typische Probleme herausgefordert. 

Angriff der Klone 

Wenn ein neuer Mitarbeiter in ein Unternehmen eintritt, wird häufig ein schon vorhandenes Benutzerprofil, dem ähnliche Aufgaben im Unternehmen zukommen, kopiert. Mit dem ‚geklonten‘ Profil erhalten neue Nutzer aber oft Rechte, die diese zur Erfüllung ihrer Aufgaben gar nicht benötigen. Durch dieses Vorgehen entstehen sukzessive ‚Klone‘, was die gesetzlich vorgeschriebenen Prinzipien des Need-to-Know sowie des Least Privilege verletzt.  

Erwachen der Zombies 

Wenn ein Mitarbeiter ein Unternehmen verlässt, wenn er die Abteilung wechselt, oder wenn er nur temporär eine andere Funktion wahrnimmt, werden dessen Benutzeraccounts und Zugriffsrechte häufig manuell oder überhaupt nicht zurückgenommen beziehungsweise gelöscht. Die Folge sind Accountleichen, die als ‚Zombies‘ wiedererwachen können. Das kann zum Beispiel der Fall sein, wenn ein ehemaliger Mitarbeiter nach seinem Austritt nochmal auf seinen Account zugreift. Aber auch Cyber-Kriminelle nutzen die Zugriffsrechte von Datenleichen, um in die IT-Infrastruktur von Unternehmen einzudringen. Das birgt ein erhöhtes Informations-Sicherheits-Risiko und verletzt ebenfalls die gesetzlichen Prinzipien von Need-to-Know und Least Privilege.  

Mit Laserpistole und Baseballschläger 

Aus der Populärkultur wissen wir, dass Klone Laserpistolen wenig entgegenzusetzen haben; im Nahkampf mit Zombies haben sich nagelbesetzte Baseballschläger als wirkungsvoll erwiesen. Unternehmen können den genannten Herausforderungen mit einem systematischen Berechtigungssystem begegnen, das auf vier Pfeilern fußt:  

  1. Die Einführung eines Profilkonzepts ermöglicht eine transparente Hierarchisierung der benötigten Zugriffe und Rechte. 
  2. Eine Automatisierung des Rechtemanagements bei Ein- und Austritt von Mitarbeitern verhindert Fehler, die bei manueller Steuerung kaum zu vermeiden sind. 
  3. Ein Workflow-gestützter Rezertifizierungsprozess sorgt für eine regelmäßige Prüfung vergebener Berechtigungen. 
  4. Ein transparenter Soll-/Ist-Abgleich hilft, Fehler im Berechtigungswesen schnell zu erkennen und gezielt zu beheben. 

Auf Grundlage dieser Pfeiler können individuelle und trotzdem zeiteffiziente Entscheidungen getroffen und die passenden Benutzerberechtigungen vergeben werden.  


Der Weg zur nachhaltigen IT-Sicherheit 

Auch jenseits der Einhaltung gesetzlicher Vorgaben sollte Unternehmen daran gelegen sein, eigene Geschäftsdaten zu schützen und etwaige Reputationsschäden oder gar finanzielle Schäden durch ein unzureichendes Berechtigungswesen zu minimieren. Ein echter Gewinn für Risikosteuerung, Administratoren und das oft persönlich haftende Management ist ein Berechtigungsmanagement aber erst dann, wenn es an den etablierten Geschäftsprozessen ausgerichtet ist und durch bestmögliche Automatisierung für jeden kommenden und gehenden Mitarbeiter effizient und konsequent umgesetzt werden kann. 

Auf diese Weise wird Identity und Access Management zum wirkungsvollen Tool, um die IT-Sicherheit in Unternehmen nachhaltig zu erhöhen.


Autor und Experte für Identity und Access Management (IAM)

Markus Reich
Associate Partner

Mannheimer Straße 105
68535 Edingen-Neckarhausen

+49 163 7987101