}

Was ist der User Account Lifecycle?

Onboarding, Änderungen, Offboarding

Was ist der User Account Lifecycle?

Der "User Account Lifecycle" definiert die Benutzerverwaltungsprozesse. Diese Prozesse lassen sich in Erstellung/Onboarding, Überprüfung/Update und Deaktivierung/Offboarding unterteilen. Wenn Ihre Organisation IT-Ressourcen nutzt, sind Sie für den korrekten Zugriff auf diese Ressourcen angewiesen.

Da jedes Konto einem bestimmten Benutzer entsprechend seinem eigenen Zeitplan folgt, überschneiden sich die Aktivitäten zur Verwaltung des Lebenszyklus häufig. Diese Überschneidung führt zu Schwierigkeiten in Umgebungen, die auf manuelle Verwaltung angewiesen sind und in denen die Bemühungen bis zum Ende des Lebenszyklus repliziert werden müssen. Bei großen Organisationen werden die Schwierigkeiten durch das enorme Volumen noch verschärft. Festgelegte Laufzeiten erschweren die Verwaltung für Bildungseinrichtungen und Saisonarbeit in ähnlicher Weise.

Erstellung/Onboarding

Neue Mitarbeiter haben ab Tag 1 Zugang zu Ihren Systemen und Daten.

Benutzerkonten enthalten Identitätsinformationen, die den Zugriff bestimmen, ähnlich wie ein digitaler Personalausweis. IT-Ressourcen können allgemeiner (z. B. Active Directory, E-Mail-Konto) oder spezifischer auf die Rolle(n) des Benutzers (z. B. Adobe Creative Cloud, Gehaltsabrechnungssystem) ausgerichtet sein.

Die Erstellung eines Benutzerkontos erfordert weit mehr als die Eingabe des Namens und der E-Mail-Adresse. Die meisten Organisationen nutzen ihr Personalsystem als zentrale Datenquelle. Der Benutzer erhält zudem ein (Microsoft) Active Directory (AD) Konto.

Benutzer benötigen nach wie vor Berechtigungen und Gruppenmitgliedschaften. Diese bestimmen die Zugriffsrechte auf verschiedene Ordner und Freigaben innerhalb des Netzwerks. Denn jeder Mitarbeiter darf nur Zugriff auf die Daten erhalten, die er auch für seine Aufgaben benötigt - nicht mehr und nicht weniger (PoLP).

  • Benötigt der Benutzer Zugriff auf Google-Ressourcen (z.B. G-Suite)? Hierfür müssen Sie ein Konto einrichten.
  • Wie sieht es mit dem Dropbox-Speicher der Organisation aus? Den benötigen sie ebenfalls.
  • Wie wäre es mit einem CRM-System wie Salesforce? Die Einrichtung individueller Konten ist nicht inbegriffen.

Überprüfungen und Aktualisierungen

Die Zugangsrechte müssen regelmäßig überprüft werden, um ein schlankes, konformes Netzwerk aufrechtzuerhalten. Die Bedürfnisse und Berechtigungen eines Benutzers ändern sich im Laufe der Zeit. Dies geschieht aufgrund von Beförderungen, Rollenänderungen, Neuzuordnungen oder neu implementierten Anwendungen.

Die Anhäufung von Zugriffsrechten wird oft als "Rechteakkumulation" bezeichnet.

Durch diese Anhäufungen entsteht ein massives Compliance-Risiko. Die manuelle Verwaltung erfordert einen nahezu perfekten Speicher. Sie müssen sich daran erinnern, welchen Zugriff jede Rolle haben sollte, um vergleichen zu können, welche Benutzer welche Rechte und Berechtigungen haben.

Die manuelle Überprüfung und Aktualisierung von Benutzerkonten und ihren Zugriffsrechten erfordert die Kommunikation zwischen Managern und IT-Mitarbeitern. Lösungen mit einer rollenbasierten Zugriffskontrolle (RBAC) behalten die Zugriffsrechte entsprechend der Rollenkonfiguration eines bestimmten Benutzers bei. Die Konfigurationen für jede Rolle müssen jedoch nach wie vor beibehalten werden. Unnötiger Zugriff ist lediglich eine Verletzung der Compliance, ein Fehlverhalten oder ein Anreiz für Betrug.

Deaktivierung/ Offboarding

Wenn ein Benutzer eine Organisation verlässt, müssen alle zugehörigen Konten sofort deaktiviert und gesperrt werden. Gibt es keinen Offboarding-Prozess so kann ein ehemaliger Mitarbeiter weiterhin auf sensible Daten (z. B. Kundeninformationen, geistiges Eigentum, Kontoinformationen) zugreifen oder im schlimmsten Fall Ihre Umgebung beschädigen. Eine verzögerte Deaktivierung ist besonders für Cloud-gehostete Ressourcen enorm gefährlich.

Der andere Grund für die Einhaltung eines professionellen Offboarding-Prozesses besteht darin, die Ansammlung von "verwaisten Konten" zu verhindern. Verwaiste Konten sind Konten, die nicht mehr mit einem aktiven Benutzer verbunden sind und in Ihrer Umgebung verbleiben. Diese digitale Anhäufung beeinträchtigt eine genaue Einschätzung und nimmt gleichzeitig Speicherplatz in Anspruch. Sollte Ihre Organisation von einem Hacker angegriffen werden, dienen verwaiste Konten als perfekte Tarnung.

CRUD-Operationen

Die Abkürzung "CRUD" steht für "Create, Read, Update, Delete". Der Begriff "CRUD" bezieht sich auf die 4 Grundbefehle, die für die dauerhafte Speicherung und relationale Datenbanken erforderlich sind. SQL-Befehle ersetzen jeweils "Create" und "Read" durch "Into" und "Select" für Datenbanktabellen. CRUD dient als einfache Gedächtnisstütze für die Verwaltung von Benutzerkonten:

  • Create: die Erstellung eines Benutzerkontos und aller notwendigen Attribute (z.B. Name, E-Mail-Adresse, Berechtigungen)
  • Lesen: Alle Benutzerkonten und ihre Attribute anzeigen, ohne Daten zu ändern
  • Aktualisieren: Überschreiben vorhandener Benutzerkontoattribute, um Änderungen vorzunehmen
  • Löschen: Entfernen eines Benutzerkontos und seiner Attribute

1: https://searchdatamanagement.techtarget.com/definition/CRUD-cycle
2: https://www.sqlshack.com/crud-operations-in-sql-server/