Mitarbeiter in Organisationen benötigen für ihre Aufgaben Zugriff auf verschiedene Ressourcen (z.B. Gruppen, Anwendungen, Systeme …). Die Verwaltung dieser Zugriffe ist eine Herausforderung, da sich die Anforderungen stets ändern, sobald neue Anwendungen hinzugefügt werden oder Benutzer zusätzliche Zugriffsberechtigungen benötigen.
Häufig werden in diesem Zusammenhang die Begriffe “Berechtigungsmanagement” und “Identity Access Management” im gleichen Atemzug für die Beschreibung der Verwaltung von Berechtigungen auf einem System verwendet. Obwohl das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, die Begrifflichkeiten unter dem Oberbegriff “Identitäts- und Berechtigungsmanagement” zusammenführt, besteht in der Praxis eine klare Trennung beider Systeme, da einige Unterschiede zwischen beiden Lösungen bestehen.
Wir wollen mit diesem Artikel die Bedeutung der beiden Begriffe klären und aufzeigen, inwiefern sich beide Systeme unterscheiden und ob eine Abhängigkeit zur Unternehmensgröße besteht.
Was ist Berechtigungsmanagement?
Mit einer Berechtigungsverwaltung oder Berechtigungsmanagement Applikation können wir den Zugriff auf verschiedene Ressourcen, wie Gruppen, Anwendungen oder Systeme für Benutzer, die auf diese Ressourcen zugreifen müssen, im Allgemeinen verwalten. In den meisten Unternehmen steht dabei das Active Directory im Vordergrund, womit die Administration der Ressourcen weitestgehend “gedeckelt” wird. Weitere Möglichkeiten, die eine “klassische” Berechtigungsverwaltung mit sich bringt, sind unter anderem:
- Intuitive Verwaltung von Berechtigungen für einzelne Systeme, z.B. das Active Directory oder verschiedene File Server
- Automatisierte Umsetzung von Berechtigungsanfragen
- Automatisierung des revisionssicheren Berechtigungsreportings für einzelne Systeme, z.B. das Active Directory oder verschiedene File Server
Doch sollten die Anforderungen im Laufe der Zeit komplexer werden, sind die Grenzen schnell erreicht. Trotz des Vorteils, dass ein hohes Maß an standardisierten Prozessen und Abläufen zum Anlegen von Gruppen- und Rollenstrukturen vorhanden ist, ist ein standardisiertes Berechtigungsmanagementsystem für komplexere Workflows und/ oder zusätzliche Systeme, aufgrund starrer Strukturen, allerdings nicht ausreichend.
Gelangt man an diesen Punkt, gilt es sich darüber Gedanken zu machen, eine geeignete weitere Lösung zu etablieren oder das Berechtigungsmanagementsystem abzulösen.
Laden Sie unser Whitepaper herunter!
Darin erfahren Sie alle notwendigen Schritte zur erfolgreichen Implementierung eines IAM Systems.
Was ist Identity Access Management?
Das “Identity and Access Management” (IAM), im Deutschen auch Identitäts- und Zugriffsverwaltung genannt, beschäftigt sich mit der zentralen Verwaltung von Identitäten und den Zugriffsberechtigungen auf unterschiedlichen Systemen und Applikationen, welche im Unternehmen zum Einsatz kommen. Die Verwaltung geht allerdings über die standardisierten Prozesse und Abläufe hinaus, sowohl hinsichtlich ihrer Komplexität als auch im Funktionsumfang. Sobald komplexere Anforderungen notwendig werden, sollte das Etablieren einer IAM Lösung in den Vordergrund rücken.
Alle Prozesse und Anwendungen, welche im Unternehmen benutzerbezogene Berechtigungen adressieren – angefangen bei der Beantragung, über den Genehmigungsprozess bis hin zur Zuweisung von Ressourcen und Berechtigungen, können mittels einer IAM Lösung umfangreicher abgebildet und ausgewertet werden.
Allerdings ist die Einführung einer solchen Lösung häufig zeit- und kostenintensiv, weshalb einige Unternehmen davor “zurückschrecken”, in ein IAM zu investieren. Kurzfristig sollten allerdings nicht nur die Kosten betrachtet werden, sondern auch die positiven Auswirkungen, welche sich durch die Optimierung und Automatisierung der Prozesse innerhalb des Benutzermanagements und Benutzerlifecycles, langfristig ergeben. Eine Kosten-Nutzen-Analyse kann für die Entscheidungsfindung sicherlich hilfreich sein.
Ein Identity und Access Management System bietet u.a. noch die folgenden weiteren Möglichkeiten:
- Verwaltung aller Personen und Zugriffe im Unternehmen
- Abbildung des kompletten Benutzerlebenszyklus (Eintritt, Austritt, Wechsel, Ausfallzeiten …)
- Verwaltung aller Berechtigungen auf im Einsatz befindlicher Systeme und Applikationen
- Abbildungen von komplexen Genehmigungsprozessen und – workflows
- Automatisierung von Antrags- und Genehmigungsprozessen
- Revisionssichere Dokumentation aller Anträge, Genehmigungen und durchgeführter Aktionen
Ein IAM kann, vor allem in großen Firmenumgebungen dabei helfen, die Vielzahl von einzelnen, dezentralen Zugriffsprozessen zu bündeln und mit den unternehmensinternen Richtlinien in Einklang zu bringen. Dabei ist das IAM nicht allein ein Themenbereich der IT, sondern wirkt sich vielmehr auf das gesamte Unternehmen aus. Die zentrale Verwaltung der Berechtigungen und Identitäten, gepaart mit einer klaren Struktur, Abläufen und Self-Services minimiert dabei Risiken von unbefugtem Zugriff durch interne, aber auch externe Personen auf wichtige Daten.
Suchen Sie eine professionelle Beratung?
Benötigen Sie Unterstützung bei der Einführung eines IAM Systems? Sprechen Sie uns gerne an!
Was ist der Unterschied?
Jetzt haben wir die beiden Begriffe bzw. Themenbereiche „Berechtigungsmanagement“ und „Identity and Access Management“ kennengelernt und Ihre Vorteile und Einsatzmöglichkeiten erörtert. Doch wo genau liegt denn jetzt der Unterschied zwischen diesen beiden Themengebieten?
Während das Berechtigungsmanagement sich auf die Zugriffssteuerung der einzelnen Systeme konzentriert und eher auf die Anwendungen und ihre Berechtigungen „blickt“, geht das Identity und Access Management einen Schritt weiter. Das IAM betrachtet zusätzlich den Benutzer, dem Zugriffe gewährt werden und seinen Zustand als Ganzes und fügt alle Berechtigungszuweisungen unter einer Oberfläche zusammen. Zudem bietet es mehr Flexibilität hinsichtlich der Prozesse, Abläufe und komplexer Workflows.
Obwohl beide Ansätze sich in ihrem Möglichkeiten überschneiden (Berechtigungssteuerung, Reporting, Automatisierung), so kann man sagen, dass die Berechtigungsverwaltung nur ein Teil des Identity und Access Managements ist. Das IAM ist nicht nur in der Lage, mehrere Berechtigungsverwaltungen zu bündeln und in das Gesamtkonzept des unternehmerischen Datenschutzes zu integrieren, sondern betrachtet darüber hinaus auch die Personen, welchen die Berechtigungen zugewiesen werden und kann deren Zustand, unabhängig von seinen Zugriffen, steuern.
Somit lassen sich mit einem IAM nicht nur die IT-Sicherheit erhöhen (z.B. durch Automatisierung von Arbeitsabläufen) und die Compliance verbessen (durch eine lückenlose Dokumentation aller Vorgänge), es verbessert auch die Mitarbeiterproduktivität (durch einheitliche Self-Services) und senkt langfristig die IT-Kosten (durch das Ersetzen von mehreren Lösungen durch ein einheitliches System).
Abschließend lässt sich festhalten: beide Lösungsmöglichkeiten haben ihre Daseinsberechtigung! Abhängig von den Kundenbedürfnissen gilt es das richtige System zu implementieren, wobei der Einsatz einer IAM Applikation zukünftig auftretende Anforderungen bereits mit abdeckt.