Von Startup zur Scale-up. Wer hat noch Zugriff auf was?

Wann sollte ich mir als Scale-up Gedanken über digitales Zugriffsmanagement machen? Wenn Sie sich als Unternehmer diese Frage stellen, lautet die Antwort meist: jetzt. Denn auch wenn Ihre Organisation noch nicht sehr groß ist, wird es schnell schwierig, die Kontrolle über alle Anwendungen und Daten zu behalten. Spätestens wenn die dafür verantwortliche Person zwischen Tabellen mit Accounts und Zugriffsrechten den Überblick verliert, ist es höchste Zeit für einen strukturierteren Ansatz. Idealerweise bevor Sie mit Ihrem ersten Datenleck konfrontiert werden. Ob Sie gehackt werden, ist heute keine Frage mehr. Die Frage ist, wann es passiert und ob Sie darauf vorbereitet sind.

Wie lässt sich das Identitäts- und Zugriffsmanagement strukturiert angehen? In diesem Beitrag gehen wir ausführlicher darauf ein.

Warum wird Zugriffsmanagement mit dem Wachstum schwieriger?

Beim Identitäts- und Berechtigungsmanagement geht es um die Vergabe und Verwaltung von Accounts, Anwendungsberechtigungen und Datenzugriffen für Mitarbeitende. Diese Verwaltung wird komplexer, je mehr Kolleginnen und Kollegen hinzukommen, je mehr Anwendungen Sie ausrollen und je komplexer die Betriebsabläufe werden. Damit wird das Zugriffsmanagement zu einer echten organisatorischen Fragestellung, wenn Sie als Startup mit wenigen Mitarbeitenden auf das Scale-up-Niveau mit einigen Dutzend oder sogar Hunderten Mitarbeitenden wachsen.

Vor allem, weil bei einer Scale-up Innovation meist im Mittelpunkt steht, was einen überdurchschnittlich hohen Einsatz digitaler Lösungen bedeutet. Das betrifft nicht nur Scale-ups, die etwa einen eigenen SaaS-Dienst entwickelt haben. Auch ein Bauunternehmen, das Fertigmodule entwickelt und liefert, investiert heute überdurchschnittlich in die Digitalisierung. Und obwohl Sie dadurch primär effizienter und produktiver werden, müssen Sie bei all diesen Anwendungen über das geschäftliche Eigentum nachdenken sowie darüber, wer Zugriff auf die Anwendungen, die spezifischen Funktionen und die Daten erhalten soll.

Im Verlauf dieses Wachstumsprozesses wird die Organisation zudem komplexer. Es entstehen nicht nur mehr Abteilungen, Rollen und Aufgaben, sondern auch das Beziehungsnetzwerk mit Partnern, Kunden und Aufsichtsbehörden wird vielschichtiger. Auch hier stellt sich die Frage, wer auf welche Daten zugreifen darf und warum.

Was ändert sich im IAM, wenn Sie skalieren?

Dieses Wachstum spiegelt sich in der Art und Weise wider, wie Sie Account- und Berechtigungsverwaltung organisieren können. In der Startup-Phase mit wenigen Personen liegt der Schwerpunkt meist auf Geschwindigkeit und Flexibilität. Accounts werden manuell angelegt, Passwörter mit einfachen Tools oder Tabellen verwaltet und Prozesse sind weitgehend informell organisiert. In dieser Phase hat buchstäblich jeder Besseres zu tun.

Sobald Sie weiterwachsen, entsteht rasch der Bedarf nach mehr Struktur und zentraler Kontrolle. Im günstigsten Fall ziehen Sie selbst den Schluss, dass es anders gehen muss, doch leider ist der Auslöser manchmal auch ein erstes Cyberincident, das alle aufrüttelt. Organisationen führen dann oft einen zentralen Identity Provider ein und richten Mechanismen wie Single Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA) strukturell ein.

Da zugleich auch das externe Umfeld mit dem Wachstum kritischer hinschaut, entsteht meist schnell der Bedarf, das Berechtigungsmanagement als Lifecycle-Prozess wirklich zu automatisieren. Mit einer Identity- & Access-Management-(IAM)-Lösung vergeben und verwalten Sie Zugriffsrechte vom Onboarding bis zum Offboarding der Mitarbeitenden.

Im Folgenden entwickeln wir dies in einem Stufenplan von Startup und Scale-up bis zur mittelgroßen Organisation weiter aus. Zunächst inventarisieren wir jedoch die wichtigsten Herausforderungen.

5 typische IAM-Probleme bei wachsenden Organisationen

Die oben genannte Zentralisierung und Automatisierung des Identity- & Access-Managements sind notwendig, um eine Reihe bekannter Herausforderungen in wachsenden Organisationen zu bewältigen.

• Fehlendes Lifecycle-Management. Mit ständig neuen Mitarbeitenden und Veränderungen innerhalb der Organisation entstehen schnell Fehler, wenn Eintritt, Wechsel und Austritt nicht organisiert sind. Es ist nicht nur frustrierend, wenn eine neue Mitarbeiterin auf eine Lizenz warten muss, schlimmer ist es, wenn jemand das Unternehmen verlässt, sein Account aber weiterhin genutzt werden kann. Sie möchten Menschen in jeder Phase ihres Identity Lifecycles automatisch mit den richtigen IT-Ressourcen versorgen.

• Permission Creep. Ohne Kontrolle häufen sich Rechte oft unbemerkt an. Mitarbeitende erhalten bei neuen Projekten oder Funktionswechseln zusätzliche Zugriffe, während zuvor vergebene Rechte aktiv bleiben. Dieser sogenannte Privilege Creep erhöht die Wahrscheinlichkeit von Sicherheitsvorfällen und deren Auswirkungen. Wird ein Account etwa von einem Angreifer übernommen, erhält dieser sofort weit mehr Rechte als vorgesehen. Mit einem Konzept wie Role Based Access Control (RBAC) stellen Sie sicher, dass Nutzerinnen und Nutzer zu jedem Zeitpunkt nur über die benötigten Rechte verfügen.

• Unkontrollierte Ausnahmen. Nicht alle Zugriffsrechte lassen sich aus der Rolle ableiten. Es gibt immer individuelle Ausnahmen, etwa der Zugriff auf einen spezifischen Projektordner oder eine Adobe-Lizenz. Werden diese Rechte manuell in einzelnen Systemen verwaltet, geht der Überblick schnell verloren. Rechte bleiben aktiv, ohne dass geprüft wird, ob sie noch benötigt werden. Neben einer automatisierten User Lifecycle besteht daher Bedarf an gut organisierten (Self-)Service-Prozessen.

• Kein Einblick und keine Auditmöglichkeiten. Sie müssen nicht nur Accounts und Rechte vergeben und verwalten können. Sie müssen auf Anfrage auch unmittelbar nachweisen können, wie Sie dies organisiert haben. Wer hat welche Rechte erhalten und auf welcher Grundlage? Ohne ein organisiertes Identity- & Access-Management verteilen sich Daten über verschiedene Systeme, wodurch Audits und Sicherheitsuntersuchungen viel Zeit kosten.

• Kein struktureller Verbesserungsprozess. Gerade Scale-ups verändern sich kontinuierlich: neue Anwendungen, andere Prozesse, Reorganisationen und neue Funktionen beeinflussen direkt, welche Rechte benötigt werden. Ohne periodische Evaluation verschmutzt Ihr Berechtigungsmanagement langsam mit überflüssigen Accounts, Ausnahmen und veralteten Rollen. Daher ist ein kontinuierlicher Verbesserungszyklus erforderlich, um Ihr Identitäts- und Berechtigungsmanagement aktuell zu halten und konform mit den relevanten Gesetzen und Vorschriften zu bleiben.

Wie skaliert Ihr Zugriffsmanagement mit?

Beim Wachstum vom Startup zur Scale-up liegt der erste Fokus auf der Zentralisierung der Authentifizierung mit einem Identity Provider sowie zentral eingerichtetem SSO und MFA. In HelloID-Begriffen ist dies das sogenannte Access Management. Wie bereits gesehen, bildet dies eine Basis, die für eine Scale-up schnell zu eng wird. Dann wird es notwendig, auch den User Lifecycle zu automatisieren, die Serviceprozesse zu straffen und für Governance-Fragestellungen gerüstet zu sein. Eine vollständige IAM-Lösung ist dann erforderlich, und es ist wichtig, dass Sie deren Einführung mit einem kontrollierten Stufenplan durchführen können. Anhand von HelloID skizzieren wir ein Beispiel.

Account- und Berechtigungsverwaltung automatisieren

Bei größeren Nutzer- und Anwendungszahlen ist es entscheidend, die Account- und Berechtigungsverwaltung so weit wie möglich zu automatisieren. Dies erreichen Sie mit User Provisioning, bei dem Accounts und Rechte auf Basis eindeutiger Richtlinien automatisch vergeben werden. Diese Automatisierung kann komplex sein, da Sie es mit vielen Nutzerinnen und Nutzern, einer Vielfalt an Rollen und unterschiedlichen Systemen zu tun haben. Zum Glück muss nicht alles auf einmal geschehen. Sie können das Provisioning schrittweise ausrollen.

Häufig beginnen Sie mit der Anbindung des HR-Systems als primäres Quellsystem. Darin finden sich die wichtigsten Daten, die zum Anlegen von Mitarbeitenden-Accounts benötigt werden. Das erste Zielsystem ist in der Regel der bereits vorhandene Identity Provider und in dessen Verlängerung die Office-Anwendungen sowie gegebenenfalls ein IT-Service-Management-System.

Auch wenn Sie zunächst nur diese Accounts verwalten, gewinnen Sie als Organisation bereits deutlich mehr Kontrolle über Ihr Zugriffsmanagement. Von hier aus können Sie nach und nach weitere Anwendungen anbinden und neben den Accounts auch die Autorisierungen innerhalb der Systeme automatisieren. Sie bestimmen dabei selbst Prioritäten und Tempo.

Serviceprozesse automatisieren

Die Verwaltung individueller Benutzeranfragen können Sie mit Service Automation straffen. Oft ist der erste Schritt die sogenannte Helpdesk-Delegation. Mit intuitiven Online-Formularen können auch weniger geschulte Supportmitarbeitende nun eigenständig IT-Administrationsaufgaben ausführen, ohne das Risiko, Fehler in sensiblen Backend-Systemen zu machen. Das ist auch relevant, wenn in der Wachstumsphase solche Supportaufgaben noch neben anderen Tätigkeiten erledigt werden. Beispiele sind das Anlegen von User-Accounts sowie das Zuweisen und Entziehen von Zugriffsrechten. Als nächsten Schritt können Sie diese Aufgaben sogar weiter an Führungskräfte oder sogenannte Key User delegieren. Zudem lässt sich ein Selfservice-Portal für Endanwender ausrollen.

Benutzeranfragen können durch einen vordefinierten Workflow begleitet werden. Dieser leitet Anträge automatisch zur Genehmigung an die richtigen Personen weiter und stellt sicher, dass alle Schritte konsistent und effizient durchgeführt werden. Das System kann zum Beispiel automatisch prüfen, ob eine Mitarbeiterin bestimmte Kriterien erfüllt, bevor Zugriff gewährt wird. So behalten Sie als Organisation die Kontrolle über alle individuellen Änderungen und alle Aktionen bleiben nachverfolgbar.

Governance einrichten

Standardmäßig bietet eine Plattform wie HelloID Logs und Berichte, um die korrekte Funktionsweise der Verwaltungsfunktionen zu kontrollieren und dies gegenüber Auditoren und Aufsichtsbehörden nachzuweisen. Als nächsten Schritt können Sie die Informationsversorgung weiter professionalisieren und auch Ihre Governance weiter ausbauen. Denken Sie zum Beispiel an die Anbindung externer Reporting-, Monitoring- und Analysetools sowie die Integration in eine SIEM-Umgebung (Security Information and Event Management).

Darüber hinaus helfen Governance-Tools, das bestehende Berechtigungsmanagement regelmäßig zu evaluieren und zu verbessern. Beispielsweise mit Tools zur Überwachung der Konsistenz zwischen Systemen, zur Vermeidung konfliktierender Rechte, zur Re-Zertifizierung individueller Rechte und zur Optimierung der eingesetzten Richtlinien. Diese Compliance- und Governance-Funktionen können Sie im Verlauf Ihres IAM-Programms einführen. Manche Features sind direkt zu Beginn sinnvoll, andere lassen sich später ausrollen, abhängig vom eigenen Bedarf.

Gemeinsam einen IAM-Wachstumspfad entwickeln?

Bei einer wachsenden Scale-up verschiebt sich der Schwerpunkt der IAM-Thematik schrittweise von der rein technischen Zugriffssicherheit hin zur Organisation der zunehmenden Anzahl von Accounts und Zugriffsrechten. Wie stellen Sie sicher, dass alle Mitarbeitenden stets über die richtigen IT-Werkzeuge verfügen?

Manuell wird das schnell chaotisch. Mit einem gut automatisierten Identity Lifecycle für Ihre Nutzerinnen und Nutzer, ergänzt um gut automatisierte Serviceprozesse und Selfservice, beugen Sie Problemen vor. Leistungsfähige Governance-Tools helfen Ihnen, das Berechtigungsmanagement regelmäßig zu verifizieren, zu optimieren und zu verbessern.

Wichtig ist, dass Sie sich für eine IAM-Lösung entscheiden, die sich schrittweise ausrollen lässt. Beginnend mit dem Account-Management Ihrer Basissysteme und wachsend hin zum Autorisierungsmanagement etwa Ihres ERP- und anderer Geschäftsanwendungen. Mehr darüber, wie HelloID das für Sie regelt?

HelloID ansehen
Hier lernen Sie die IAM-Lösung kennen und können auch eine Demo anfordern.