Berechtigungsmanagement ist ein zentrales Thema in Unternehmen, in dessen Fokus immer der maximale Schutz von Inhalten und Ressourcen stehen sollte. Doch für den Nutzer muss der Umgang mit den Prozessen und Systemen möglichst einfach sein. Andernfalls könnten Mitarbeiter versuchen Berechtigungen zu umgehen und so neue Sicherheitslücken schaffen. Transparente Prozesse und die Bewertung von Informationen können dabei helfen, den Anwendern eine entsprechende Sensibilität für das Thema zu vermitteln.

Wer kennt das nicht – im Rahmen einer Präsentation wird auf wichtige Dokumente verwiesen. Solange aber die notwendige Berechtigung für den Zugriff fehlt, endet der Link allerdings in einer Sackgasse. Jetzt beginnt die große Suche nach Verantwortlichen oder Kollegen, die entsprechende Berechtigungen vergeben dürfen. Oft landen diese Anfragen letztlich in der IT Abteilung. Dort wird recherchiert, wer Freigaben erteilen und wer Inhalte sehen darf. Dies führt einerseits zu einem erhöhten Arbeitsaufwand mit genervten IT Mitarbeitern und andererseits zu verärgerten Nutzern, die benötigte Inhalte nicht schnell genug einsehen können. In vielen Unternehmen ist ein rascher Zugriff auf Daten und Informationen aber essentiell. Ist der Datenzugriff verzögert oder nicht möglich, kann dies dazu führen, dass die Mitarbeiter Kunden nicht bedienen oder keine Neukunden gewinnen können. Viel Schlimmer sind die Auswirkungen noch, sollten Informationen in die falschen Hände geraten.

Berechtigungsmanagement: Verantwortlichkeiten & Rechtevergabe

Damit Security aber nicht zum Hemmschuh der Customer Experience wird, bedarf es der klaren Definition von Verantwortlichen und entsprechenden Mechanismen zur Beantragung. Auch die lückenlose Dokumentation in Abstimmung mit den Prozessen sollte in einem umfassende Berechtigungsmanagement gewährleistet sein. Hier helfen Klassifizierungen, um den Zugriff auf Ressourcen und Informationen zu steuern. Abhängig von den unterschiedlichen Leveln ergibt sich daraus, wer auf welche Inhalte oder Teilbereiche zugreifen darf. Ausnahmen müssen ebenfalls festgehalten werden. So können zum Beispiel Unternehmensdrucker grundsätzlich für alle Mitarbeiter verfügbar sein, nur der Drucker aus der HR-Abteilung bleibt einem eingeschränkten Nutzerkreis vorbehalten.

Ein wichtiger Faktor im Berechtigungsmanagement ist weiterhin die Sichtbarkeit von Freigabe-Verantwortlichen, um diese adressieren zu können. Sind alle Faktoren bekannt, folgt der Prozess für Freigabe und auch Entzug der Berechtigungen. Letzteres darf nicht vernachlässigt werden, da sonst zum Beispiel bei einem Abteilungswechsel Zugriffsrechte auf Unternehmensinformationen nicht entfernt werden könnten.

Der gesamte Prozess sollte allerdings nicht als einmaliger Kraftakt angelegt sein, sondern sich in klar definierten Abständen wiederholen – inklusive regelmäßiger Reviews der Rechte.

Berechtigungsmanagement: Transparente Workflows

Um verantwortliche Personen für Freigabeprozesse und Entscheidungen zu dokumentieren, eignet sich beispielsweise der Einsatz eines Service Management Systems. Als Datendrehscheibe laufen in diesem System bereits viele Informationen aus dem gesamten Unternehmen zusammen, die schnell und einfach verwertet und verknüpft werden können. Möchte nun beispielsweise ein Nutzer Zugriff auf bestimmte Ressourcen, kann er diese über ein Self Service Portal anfordern. Die Freigabeschritte folgen dann dem im Workflow abgebildeten Prozess und werden letztlich automatisiert bereitgestellt. Dadurch erhalten Nutzer und Verantwortliche Transparenz über den Stand ihrer aktuellen und getätigten Anfragen. Auf Knopfdruck ist zudem jederzeit die Auskunftsfähigkeit im Auditfall gegeben.

Zyklische Überprüfungen können beispielsweise durch ein integriertes Change-Management geplant und durchgeführt werden, wodurch auch hier maximale Transparenz besteht. Ähnlich kann im Berechtigungsmanagement von Softwarelizenzen vorgegangen werden. Sollten Anfragen hier noch mit einem entsprechenden Lizenz Management kombiniert sein, führt dies von reaktivem hin zum proaktiven Management von Lizenzen.

Auch für die IT Abteilungen sind solche Systeme von großem Wert. Auf Basis der dokumentierten Anforderungen kann nämlich sofort entschieden werden, ob ein Nutzer keinen Zugriff auf Ressourcen hat, weil die Beantragung fehlt oder es sich dabei um eine Störung handelt. Die IT wird somit vom gejagten und jagenden zum Teil der Wertschöpfung, was letztlich auch die gesamte User Experience im Unternehmen positiv beeinflusst.

Berechtigungsmanagement: Anwendungsbeispiele

Ein Unternehmen aus der Automotive Branche kann ein Service Management System zum Beispiel nutzen, um die Anforderung, Freigabe und Bereitstellung von lokalen Administrationsrechten abzubilden. Hierdurch wird die IT entlastet und die Clients gesichert. Auch der Zugriff auf spezielle Finanzsoftware kann auf die gleiche Weise gesteuert werden.

Eingesetzt in der Pharmaindustrie ist ein Service Management System bestens dazu geeignet, um File-Shares zu erstellen, Berechtigungen über den Lebenszyklus zu verwalten und letztlich zu entscheiden, ob ein Ordner gelöscht wird. Auch diese Prozesse werden automatisiert über das Service Management abgebildet – ohne jegliche Unterstützung der IT Abteilung.