Rollenmodelle und ihre qualitative Abhängigkeit zu nachgelagerten Prozessen im Identity- & Access Management

Rüdiger Gade 05.02.2020

Die Signifikanz eines methodisch strukturierten Rollenkonzepts

Mittels „Role Based Access Control“ Berechtigungen verpacken und verschiedenen Mitarbeitern zuweisen – was auf den ersten Blick ziemlich simpel klingt, gewinnt bei näherer Betrachtung an großer Komplexität. In diesem Artikel beleuchten wir verschiedene Aspekte, die auf eine Rollenkonzeptgenerierung Einfluss nehmen und stellen die Signifikanz eines methodisch strukturierten Rollenkonzepts dar.

Titelbild
Warum überhaupt Identity- & Access Management? „In erster Linie, um Revision und Prüfer zu befriedigen“. So oder so ähnlich lautet in den meisten Fällen die Antwort vieler Unternehmen. Bei der Menge an Budget und Projekttagen, die bei Implementierung oder Weiterentwicklung investiert werden müssen, sollte der Mehrwert für das Unternehmen aber größer sein, als der Aufwand selbst, um auf anderen Betriebsebenen wirtschaftlich zu profitieren. „Prozessverschlankungen? Sehr gerne!“ „Zeitersparnisse? Unbedingt!“ Natürlich von der damit sowieso einhergehenden Digitalisierung, IT-Sicherheit und IT-Compliance abgesehen.

IAM

Leider greift bei der anschließenden Umsetzung der jeweiligen IAM-Lösung das Phrasenschwein: „Leichter gesagt, als getan!“ – Projekte werden verschleppt, Lösungen durch fehlendes KnowHow- und Fachpersonal verkompliziert - und am Ende sind es die Anwender, Berechtigungs-Owner oder Rollenträger, welche sich mit der Komplexität und Menge an Prozessen auseinandersetzen müssen.

Vor eine erste Herausforderung stellte die betroffenen Unternehmen ein eingefordertes, zentralisiertes Berechtigungsmanagement. Alle Berechtigungsvergabeprozesse müssen in einer zentralen Institution zusammenlaufen – keine Formulare mehr für Anwendung A, keine formlose Mail an den Administrator für Anwendung B – ein einheitlicher Prozess für alle Applikationen und Antragssteller des Unternehmens.

Was in den nächsten Jahren folgt, sind verschiedene Vorgaben (MaRisk, BAIT, DSGVO, ISO 27009, …) zu unterschiedlichen Funktionen, die das mittlerweile etablierte IAM darstellen sollen. (Abbildung 1)
IAM
Abbildung 1: Schematische Darstellung des IAM

Jede dieser einzelnen Maßnahmen birgt eine eigene, erhebliche Komplexität, die dennoch in das Große und Ganze der bereits etablierten IAM-Lösung integriert werden muss.

Und dennoch, trotz der verschiedenen Prozesse und Herausforderungen, bildet die Berechtigungsvergabe selbst den Grundstein und gleichzeitig das Herz eines gut funktionierenden Identity- & Access Managements.

RBAC, ABAC und ACL

Role Based Access Control (RBAC) ist 55% (¹) die mit Abstand am weitesten verbreitete Methode, ein zentrales Identity- & Access Management im Unternehmen zu organisieren. Hierbei können mehrere Berechtigungen summiert und zu einer Rolle zusammengefasst werden.
Ob die Rolle lediglich eine Berechtigung von Anwendung A, mehrere Berechtigungen von Anwendung B, oder sogar verschiedene Berechtigungen unterschiedlicher Anwendungen beinhaltet, ist hierbei der Organisation überlassen. Diese generierten Rollen(-konzepte) können anschließend Mitarbeitern zugewiesen werden. (Abbildung 2)
Somit ist es für die von der Organisation benannten Anwender ein leichtes, Berechtigungen ihrer Gruppe, Abteilung oder des Unternehmens zu koordinieren. Weitere, große Vorteile von RBAC sind das Eintrittsmanagement sowie die Reorganisation von Abteilungen. Da die generierten Rollen meist Beständigkeit haben, kann einem neuen oder wechselndem Mitarbeiter eine bereits existente Rolle zugewiesen werden – Mit einem „Klick“ werden somit verschiedene Berechtigungen für den jeweiligen Mitarbeiter automatisiert beauftragt.
RBAC
Abbildung 2: Schematische Darstellung des RBAC

Andere Verfahren, wie zum Beispiel Attribute Based Access Control (ABAC) oder Access Control List (ACL) sind hierbei für die Anwender aufwändiger – Eine Berechtigungsvergabe beinhaltet hierbei mehr manuelle Schritte und somit erhöhten Aufwand.

Auch wenn mit einem rollenbasierten Berechtigungsmanagement viele Vorteile für das Unternehmen erzielt werden könnten, stellen sich einige, organisatorische Fragen, wie „Wer darf die Rollen(-konzepte) generieren?“, „Welche Legitimationsinstanzen werden benötigt?“ oder „Welche Vorgaben müssen den Rollen-Besitzern mitgegeben werden?“.

Rollen(-konzepte) und die Segregation of Duties

Einer der ersten zu klärenden Punkte, betrifft den Umgang des Unternehmens mit der sogenannten Segregation of Duties (Funktionstrennung).
Ist das Unternehmen dazu angehalten, eine Funktionstrennung bei sämtlichen Berechtigungsvergaben vorzunehmen, muss vor der Rollenkonzepterstellung geklärt sein, auf welcher Ebene diese Trennung vorgenommen werden soll.
Hierbei wird meist zwischen einer Funktionstrennung auf Rollen- oder Rechteebene entschieden. Bei einer Trennung auf Rollenebene können die jeweiligen Rollen attribuiert werden, um sich bei einer Zuordnung an einen Mitarbeiter potentiell auszuschließen. Allerdings reicht dieses Vorgehen manchen Prüfern nicht, da die Attribuierung manuell vorgenommen wird und einzelne Berechtigungen nicht explizit betrachtet werden.
Die Funktionstrennung auf Rechteebene hebt den initialen-, aber auch den Pflegeaufwand der Rollen(-konzepte) massiv an, ist aber der verlässlichere Weg. Bei einer initialen Rollenkonzepterstellung sollte diese Entscheidung vorab gefällt werden. Eine nachgelagerte Änderung der Prozessarchitektur trägt die Größe eines eigenen Projektes.

Rollen auf Unternehmens- oder Abteilungsebene?

Am Ende kommt es auf die Größe an – Was nach einem schlechten Wortwitz klingt, orientiert sich hierbei an der Wahrheit. Ein Unternehmen, welches weniger als 100 Applikationen aktiv nutzt, wird den größeren Vorteil daraus ziehen können, Rollen auf Unternehmensebene zu generieren. Abteilungen und Führungskräfte können sich hierbei aus einem vorgegebenen und übersichtlichen Portfolio an Rollen bedienen, um so die Arbeitsfähigkeit ihrer Mitarbeiter sicherzustellen.
In diesem Fall können bei der initialen Rollenkonzepterstellung mehrere Ansätze gewählt werden. Ob ausschließlich Verfahrens- oder tätigkeitsabhängige Rollen generiert werden, ist hierbei schon fast Geschmackssacke. Entscheidend ist die Usability für den jeweiligen IAM-Endanwender.
Ab einer bestimmten Betriebsgröße sowie Anzahl von Anwendern und Applikationen, wächst das Rollenportfolio stetig an und macht es auf Unternehmensebene kaum noch handhabbar. Die hiermit verbundenen Prozesse zur Rollengenerierung und Pflege werden aufwändiger – Anwender verlieren die Übersicht über die großen Mengen an Berechtigungen. Hier ergibt es Sinn, Rollen(-konzepte) auf Abteilungsebene einzuführen. Jede Gruppe kann autonom über das eigene Portfolio an Rollen bestimmen: generieren, vergeben, entziehen und anpassen. Außerdem werden hierbei die manuellen Aufwände dezentralisiert.
Aber auch hier gilt am Ende die Zufriedenheit des IAM-Endanwenders – und somit eine individuelle Lösung für jedes Unternehmen.

Vor- und Nachteile von Rollen(-konzepten), ausgerichtet nach Tätigkeitsbeschreibung und Funktion

Das agile Umfeld ist ein gutes Beispiel, um die Sinnhaftigkeit dieses Ansatzes darzustellen. Wenn nach gelehrter Scrum-Methodik gearbeitet wird, besitzen alle im Sprint tätigen Entwickler dieselben Berechtigungen. Somit ist das Erstellen einer Rolle für sämtliche Entwickler die optimale Lösung – Zusätzlich zu dem damit einhergehenden Minimalprinzip.
Auch sprint-übergreifend kann eine gemeinsame Rolle für alle Scrum-Master erstellt werden, da die Aufgaben sich ebenfalls gleichen. Unternehmen mit vielen identischen oder ähnlichen Tätigkeitsbeschreibungen leben diesen Ansatz sehr gut – Aufwände können somit minimiert werden.
Natürlich existieren Abteilungen oder Gruppen, in denen verschiedene Mitarbeiter eine Vielzahl von unterschiedlichsten Funktionen inne haben – jeder kann und tut etwas Anderes – der gemeinsame „Berechtigungsnenner“ ist sehr klein. In diesem Beispiel ergibt eine Rollengenerierung nach Tätigkeitsbeschreibung wenig Sinn (Sobald mehr Rollen als existente Mitarbeiter bestehen, sollte die Vorgehensweise überdacht werden). Hier bestehen mehrere Optionen, die gewählt werden können:

  • Minimalprinzip: Finden Sie den gemeinsamen Nenner – versuchen Sie die Rollenanzahl so gering wie möglich zu halten.
  • Kann der gemeinsame Nenner genauer betrachtet und eventuell angehoben werden? Gegebenenfalls kann bei einer unkritischen Berechtigungsvergabe die Rollenanzahl minimiert und doch eine Generierung nach Tätigkeitsbeschreibung gewählt werden.
  • Ein Mitarbeiter = Eine Rolle. Der „leichteste“ Weg, allerdings finden Sie mit großer Wahrscheinlichkeit einige Berechtigungen in mehreren Rollen wieder. Außerdem ist der Aufwand bei einer Fluktuation von Mitarbeitern in der Abteilung / dem Unternehmen immer groß – Neue Rollen müssen erstellt, alte Rollen gelöscht werden.
  • Anwendungsspezifische Rollen: Es können mehrere Rechte in einer Rolle hinterlegt werden, allerdings gehören diese immer zu genau einer Applikation. Der Anwender hat somit eine gute Übersicht über sein Rollenkonzept, allerdings ist hier ebenfalls die Wahrscheinlichkeit groß, ein aufgeblähtes Portfolio an Rollen zu generieren.
  • Position im Unternehmen: Macht es Sinn, Rollen von (bspw.) Führungskräften, internen- sowie externen Mitarbeitern oder Auszubildenden zu differenzieren?
  • Hierarchische Rollenkonzepte: Auch, wenn Ihr Unternehmen abteilungseigene Rollenkonzepte generiert hat, kann es in bestimmten Fällen sinnvoll sein, Ausnahmen hinzuzufügen. Abteilungsübergreifende Rollen, die von mehr als nur einer Gruppe genutzt werden könnten, erleichtern oder verschlanken häufig die Berechtigungsvergabe.

Egal, welche Optionen für die Rollenkonzeptionierung in Betracht gezogen werden – meist ist die Kombination aus mehreren Varianten die optimale und maßgeschneiderte Lösung für Ihr Unternehmen.

Technisch automatisierte Rollenkonzeptgenerierung

Die Suche nach einer praktikablen Softwarelösung zur technisch automatisierten Rollenkonzeptgenerierung gestaltet sich schwierig, da der Markt hier nicht viel hergibt. Allerdings wächst der manuelle Aufwand mit der Menge an Rollen, die es zu generieren gilt, immer mit – und stellt Unternehmen somit häufig vor große Herausforderungen.

  • Die Einführung einer Identity- & Access Management–Lösung in einem Unternehmen mit einer großen Anzahl an Abteilungen
  • Reorganisation des Unternehmens und / oder von Abteilungen
  • Neugründungen von Abteilungen / Sparten
  • Fusionen, u.v.m.

Das initiale Generieren von Rollenkonzepten geht mit jedem dieser aufgezählten Projekte einher. Das Durchkalkulieren der manuellen Aufwände einzelner Personen und das anschließende Bemessen der damit verbundenen Kosten, bewirkt schnell den Wunsch nach einer alternativen Softwarelösung. Auch hier kommt es natürlich wieder auf die Größe des Vorhabens an, allerdings rechnet es sich meist, eine dieser Lösungen zu nutzen. Eine dieser Alternativen stellt das RoleMining-Tool von „governance 2 compliance“. Das Unternehmen hat sich auf den von IT-Regularien geprägten Markt spezialisiert und neben der angebotenen Beratung ein Werkzeug entwickelt, welches flexibel an die Vorgaben des jeweiligen Unternehmens angepasst werden kann. Hierbei werden Mitarbeiter-, Applikations-, und Berechtigungsdaten automatisiert analysiert, aufbereitet und auf Basis einer Auswahl von Funktionen in Rollenkonzepte umgewandelt – gerade bei der primären Rollenkonzepterstellung ein massives Zeitersparnis.
Nach der initialen Befüllung allerdings, ist und bleibt die Pflege der generierten Rollen(-konzepte) eine manuelle Aufgabe der jeweiligen Anwender. Die oft nur minimale Korrektur der betroffenen Rolle im IAM-System selbst macht eine technische Unterstützung obsolet. Dies ist weiterhin der große Vorteil des RBAC: Sind erst einmal alle Rollen angelegt, geprüft und qualitätsgesichert, besitzen diese eine große Beständigkeit und werden nur sporadisch angepasst.

Fazit

Ein etabliertes Identity- & Access Management ist ein dauerhaft lebendiger Prozess, der nie seine finale Form finden wird. Viel zu fluktuierend sind die Vorgaben von außen, die einen stetigen Wandel voran treiben – der implementierten Funktionen, aber auch der erstellten Rollenkonzepte. Und egal, welche regulatorischen Anforderungen Ihr Unternehmen im Identity- & Access Management umsetzen muss – oder eventuell auch ohne Anforderungen umsetzen möchte: Flüssig und stabil laufende Berechtigungsvergabeprozesse gehen Hand in Hand mit gut organisierten, strukturierten Rollenkonzepten einher. Unsere Erfahrung zeigt: Berücksichtigen Sie ruhig ein paar Tage mehr in Ihrer Projektplanung, wenn es um die initiale Generierung von Rollenkonzepten geht – die Organisation wird es Ihnen nach dem GoLive danken.


Quellen
Rüdiger Gade

Consultant bei frobese GmbH | Identity- & Access Management Architect bei g2c