Was ist der User Account Lifecycle?

Was ist der User Account Lifecycle?

Der User Account Lifecycle definiert alle Benutzerverwaltungsprozesse. Diese Prozesse lassen sich in Erstellung (Onboarding), Überprüfung/Änderung (Change) und Deaktivierung (Offboarding) unterteilen. Im User Account Lifecycle soll jederzeit gewährleistet sein, dass der Mitarbeiter Zugang zu den Daten hat, die er für seine Arbeit benötigt – und zwar einfach, schnell und sicher von überall und mit jedem Gerät.

Da jedes Konto seinem Benutzer entsprechend seinem eigenen Zeitplan folgt, überschneiden sich die Aktivitäten zum User Lifecycle Management häufig. Diese Überschneidung führt zu Schwierigkeiten in Umgebungen, die auf manuelle Verwaltung angewiesen sind. Bei großen Organisationen werden die Schwierigkeiten durch das enorme Volumen an Mitarbeitern noch verschärft. Festgelegte Laufzeiten wie für Bildungseinrichtungen und Saisonarbeit sorgen für kaum zu bewältigendes Arbeitsaufkommen in Hochphasen.

Lesen Sie mehr über User Provisioning, um herauszufinden, wie Ihre Organisation den User Account Lifecycle automatisieren und Sie enorme Zeit und Kosten sparen können.

Erstellung / Onboarding

Neue Mitarbeiter benötigen ab Tag 1 Zugang zu Ihren Systemen und Daten.

Benutzerkonten enthalten Identitätsinformationen, die den Zugriff bestimmen, ähnlich wie ein digitaler Personalausweis. Außerdem werden die benötigten IT-Ressourcen mit dem User Account verknüpft. Diese können allgemein (z. B. Active Directory, E-Mail-Konto) oder spezifisch auf die Rolle(n) des Benutzers (z. B. Adobe Creative Cloud, ERP-System) ausgerichtet sein.

Die Erstellung eines Benutzerkontos erfordert weit mehr als die Eingabe des Namens und der E-Mail-Adresse. Die meisten Organisationen nutzen ihr Personalsystem als zentrale Datenquelle, mit dessen Informationen Accounts und Berechtigungen in weiteren Systemen erstellt werden. Benutzer brauchen nach wie vor ein Konto  mit Berechtigungen und Gruppenmitgliedschaften im Active Directory (AD).

Diese bestimmen die Zugriffsrechte auf verschiedene Ordner und Freigaben innerhalb des Netzwerks. Zudem können hierüber die Berechtigungen für verschiedene Unternehmensanwendungen wie SAP, Personio oder Office 365 geregelt werden. Denn jeder Mitarbeiter darf nur Zugriff auf die Daten erhalten, die er auch für seine Aufgaben benötigt – nicht mehr und nicht weniger (PoLP).

• Benötigt der User Zugriff auf Google-Ressourcen (z.B. G-Suite)? Hierfür müssen Sie ein Konto einrichten.
• Wie sieht es mit dem Telefonsystem oder der Ticketing-Software der Organisation aus? Hier müssen Sie ebenfalls entsprechende Accounts erstellen.
• Und ein Konto im CRM-System wie Salesforce? Die Einrichtung individueller Konten ist nicht komplett über Gruppenmitgliedschaften regelbar.

Änderungen / Change

Die Zugangsrechte müssen regelmäßig überprüft werden, um ein schlankes, konformes Netzwerk aufrechtzuerhalten. Denn die Bedürfnisse und Berechtigungen eines Benutzers ändern sich im Laufe der Zeit aufgrund von Beförderungen, Rollenänderungen, Abteilungswechseln oder auch neu implementierten Anwendungen.

Werden bei einer solchen Änderung nur Rechte ergänzt und veraltete Berechtigungen nicht entzogen, können schnell imense Zugriffsrechte angehäuft werden. Das wird oft als Rechteakkumulation bezeichnet.

Durch diese Anhäufungen entsteht ein massives Compliance-Risiko. Die manuelle Verwaltung erfordert ein nahezu perfektes Gedächtnis und unglaublich viel Aufwand. Sie müssen sich daran erinnern, welchen Zugriff jede Rolle haben sollte, um vergleichen zu können, welche Benutzer welche Rechte und Berechtigungen haben oder haben sollten.

Die manuelle Überprüfung und Aktualisierung von Benutzerkonten und ihren Zugriffsrechten erfordert außerdem die Kommunikation zwischen Managern und IT-Mitarbeitern. Lösungen mit einer rollenbasierten Zugriffskontrolle (RBAC) behalten die Zugriffsrechte entsprechend der Rollenkonfiguration eines bestimmten Benutzers bei. Die Konfigurationen für jede Rolle müssen jedoch nach wie vor regelmäßig überprüft werden. Unnötiger Zugriff ist eine Verletzung der Compliance und ein Anreiz für Betrug.

Deaktivierung / Offboarding

Wenn ein Benutzer eine Organisation verlässt, müssen alle zugehörigen Konten sofort deaktiviert oder gesperrt werden. Gibt es keinen Offboarding-Prozess so kann ein ehemaliger Mitarbeiter weiterhin auf sensible Daten (z. B. Kundeninformationen, geistiges Eigentum, Kontoinformationen) zugreifen oder im schlimmsten Fall Ihre Netzwerkumgebung beschädigen. Eine verzögerte Deaktivierung ist besonders für Cloud-gehostete Ressourcen enorm gefährlich, da Sie hier noch weniger Überwachungsmöglichkeiten haben.

Ein weiterer Grund für einen professionellen Offboarding-Prozesses sollte die Vermeidung von „verwaisten Konten“ sein. Verwaiste Konten sind nicht mehr mit einem aktiven Benutzer verbunden sind. Diese digitale Verschmutzung beeinträchtigt Ihren Überblick und nimmt gleichzeitig unnötig Speicherplatz bzw. sogar Cloud-Lizenzen in Anspruch. Sollte Ihre Organisation von einem Hacker angegriffen werden, dienen verwaiste Konten als perfekte Tarnung.

CRUD-Regeln

Die Abkürzung steht für Create, Read, Update, Delete. Der Begriff CRUD bezieht sich auf die 4 Grundbefehle, die für Datenbankoperationen erforderlich sind. Als SQL-Befehle werden „Create“ und „Read“ jeweils durch „Insert Into“ und „Select“ ersetzt. CRUD dient als einfache Gedankenstütze für die Benutzerverwaltung:

• Create: die Erstellung eines Benutzerkontos und aller notwendigen Attribute (z. B. Name, E-Mail-Adresse, Berechtigungen)
• Read: Alle Benutzerkonten und ihre Attribute anzeigen und überprüfen, ohne Daten zu ändern
• Update: Überschreiben vorhandener Benutzerkontoattribute, um Änderungen vorzunehmen
• Delete: Entfernen eines Benutzerkontos und seiner Attribute

1: https://www.sqlshack.com/crud-operations-in-sql-server/