Wir verfügen über eine professionell verwaltete AD-Umgebung. Ist HelloID dann notwendig?
Ja. Wir sehen, dass für die ursprüngliche IAM-Funktionalität – Authentifizierung und Autorisierung – heutzutage oft die eigene AD-Umgebung verwendet wird. Was jedoch nicht vorliegt, ist eine vollwertige Verwaltungslösung, um in einer großen Organisation mit manchmal Hunderten von Benutzern und Dutzenden von Anwendungen jedem die richtigen Berechtigungen vollautomatisch und zeitnah zu erteilen. HelloID übernimmt diese Aufgabe. In der AD werden die Authentifizierung und Autorisierung technisch umgesetzt, HelloID übernimmt die weitere Integration und Verwaltung. Unabhängig davon bietet unser flexibles Access-Management-Modul mit umfangreichen Single-Sign-On-Funktionen und Multi-Faktor-Authentifizierung oft die notwendigen Workarounds in Migrations- und Integrationsprojekten. Auch ist es nicht immer notwendig, dass alle Benutzergruppen eine umfangreiche, d.h. teurere MS-Lizenz verwenden. Für sie sind die SSO- und MFA-Funktionen des Access-Management von HelloID in Kombination mit einer relativ günstigen E1-Lizenz oft ausreichend.
Unterstützt HelloID auch meine Initiativen zur Sensibilisierung für Sicherheit und Datenschutz?
Tatsächlich ist die Sensibilisierung der Mitarbeiter ein wesentlicher Aspekt der Informationssicherheit. Mit automatisierten Prozessen für den Eintritt, den Wechsel und den Austritt sowie unserem leistungsstarken RBAC-System liegt unser Hauptaugenmerk auf der Sicherstellung von ‚Least Privilege‘. So verhindern wir, dass Mitarbeiter überhaupt Zugriff auf Daten erhalten, die sie für ihre Arbeit nicht (mehr) benötigen. Wir ergänzen jedoch auf Anfrage unserer Kunden auch ‚Sensibilisierungsmaßnahmen‘. Dadurch besteht die Möglichkeit, Business Rules in HelloID zu integrieren, die erfordern, dass Benutzer die Datenschutzrichtlinien der Organisation ausdrücklich akzeptieren, bevor ihre Zugriffsrechte aktiviert werden. Bis zur erfolgten Zustimmung erhält man beispielsweise nur Zugriff auf E-Mail und die Standardanwendungen. Auch bei zusätzlichen Anfragen kann im Online-Genehmigungsprozess explizit überprüft werden, ob der jeweilige Antragsteller die spezifischen (Schulungs-)Voraussetzungen erfüllt.
Inwiefern trägt das RBAC-Framework zur Erfüllung des ‚Least Privilege‘-Prinzips bei?
Im Rahmen der Role-Based-Access-Control (RBAC) wird für jede Rolle klar definiert, welche Zugriffsrechte gelten, sodass jemand nur auf ‚Need-to-Know‘-Basis Zugriff erhält. Wenn sich die Rolle einer Person im Personalsystem ändert, überprüft HelloID automatisch, welche Rechte nicht mehr gelten, und diese werden automatisch entzogen. Auf ähnliche Weise wird überprüft, welche neuen Zugriffsrechte für die neue Rolle einer Person erforderlich sind, und diese werden automatisch bereitgestellt. So vermeiden wir eine unerwünschte Anhäufung von Zugriffsrechten, die bei der manuellen Verwaltung von Rechten häufig auftritt.
Die automatische Erstellung und Änderung von Benutzerkonten und Zugriffsrechten erfolgt in HelloID mithilfe des so genannten Role-Based-Access-Control (RBAC)-Systems. Anhand von Business Rules werden für jede Rolle in der Organisation die entsprechenden Zugriffsrechte festgelegt. Für die Implementierung dieses RBAC-Modells sollte die Personalabteilung einbezogen werden, da sie die Struktur der Stellen innerhalb der Organisation kennt und verwaltet.
Als Endergebnis sind die Prozesse für den Eintritt, Wechsel und Austritt von Mitarbeitern größtenteils automatisiert. Auch die Beantragung von zusätzlichen und/oder temporären Rechten sowie anderen Anfragen – wie beispielsweise Namensänderungen nach einer Hochzeit – kann automatisiert werden. Dabei sollten die exakten Übergänge zwischen den Aspekten, die noch manuell erledigt werden, und den automatisierten Prozessen klar definiert werden. In diesem Zusammenhang ist es wichtig, dass die Personalabteilung als zuständige Stelle für die Personalprozesse involviert wird.
Wie organisiert man die Zugriffssicherheit während einer Umstrukturierung?
Hierfür erweist sich das RBAC-System als nützliche Option. Mit RBAC verwalten wir an einem zentralen Ort alle Rollen und die dazugehörigen Zugriffsrechte. Im Zuge einer Umstrukturierung sind zahlreiche Änderungen möglich, die aus unserer ‚RBAC-Perspektive‘ im Wesentlichen darin bestehen, Rollen hinzuzufügen und die damit verbundenen Zugriffsrechte zu ändern. Wenn wir zunächst in HelloID die neuen Rollen und Rechte erstellen und danach im Personalsystem Mitarbeiter mit diesen neuen Rollen verknüpfen, erreichen wir eine kontrollierte Migration zur neuen Situation, während jeder Zugang zu seinen Anwendungen und Daten behält.
Kann ein umfassendes RBAC-Modell auf die gesamte Organisation angewendet werden?
Nein, grundsätzlich ist das nicht sinnvoll. In zahlreichen Organisationen lassen sich für einige Rollen – die so genannten Schlüsselrollen – umfassende RBAC-Profile erstellen, die alle erforderlichen Zugriffsrechte beinhalten. Dabei handelt es sich oft um klar definierte und abgegrenzte Rollen. Es ist auch möglich, dass Personen mehrere Rollen haben, und zusätzlich gibt es weniger klar definierte Positionen innerhalb von – beispielsweise – Sonderabteilungen. Bei diesen Mitarbeitern werden die grundlegenden Zugriffsrechte über das RBAC-Modell bereitgestellt. Weitere Zugriffsrechte müssen vom Benutzer über den Serviceprozess angefordert werden. Mit HelloID können wir solche Anforderungsprozesse ebenfalls automatisieren. Um zu verhindern, dass hier unnötige Rechte vergeben werden, können wir spezifische Genehmigungsabläufe einrichten, in denen die relevanten Vorgesetzten die Anfrage online überprüfen und genehmigen müssen. Damit bleibt die Trennung der Rollen gewährleistet, und wir können zudem konfigurieren, dass solche Zugriffsrechte nur vorübergehend erteilt werden. So wird eine ungewollte Anhäufung von Rechten vermieden.
