RBAC - IAM und einige Fallstricke

21.08.2010 12:13:36 | BLOG | Steigele | BLOG | 0 Kommentare


Die Vorteile einer konsistenten und anwendungsübergreifenden Zugriffs- und Rechteverwaltung liegen ja anscheinend auf der Hand.

Zugriff nur auf jene Informationen, welche arbeitsrelevant sind, gepaart mit einem höchsten Mass an Benutzerfreundlichkeit für den Endbenutzer. Ich erspare mir den Rest der Lobeshymnen, ich gehe ein auf die Herausforderungen, welche hinter dem Konzept vom Role based Acces Control stehen.

1. Auf welche Informationen, darf und soll ein Mitarbeiter eigentlich zugreifen?

Typische Berateranwort: Auf alle Informationen, welche er zur Erfüllung seiner Aufgaben innerhalb des Geschäftsprozesses braucht. Typische Bedenken, die bei dieser Antwort anfallen:

Wo sind erstens die Prozesse definiert und zweitens, sind sie so dokumentiert, dass auch wirklich alle benötigten Informationen erfasst sind.

Der Haken an dieser Problemstellung liegt auch im Implementierungsansatz von Identity- und Access-Funktionalitäten. Der scheinbar schnellere "Top-Down-Ansatz" ohne tiefe Berücksichtigung bereits bestehender operativer Erkenntnisse und Dokumentationen führt zu mehreren unerwünschten Nebenwirkungen: Blockaden in den Geschäftsprozessen, Spastische Zuckungen bei frustrierten Benutzern, erhöhte Callrate am Servicedesk, Nacharbeiten, Bypasslösungen und vieles mehr.

2. Weisse Flecken in der Kontroll-Landschaft

Eine Frage, die ich mir immer wieder gestellt habe: Wer trackt eigentlich die Super-User innerhalb des Identity- und Accessmanagements. Bei all den vielen Möglichkeiten, die das IAM beim Informationsschutz liefert, wird oft vergessen, dass auf der Ebene der Super-User exakt das Prinzip der Nachvollziehbarkeit aussetzt. Mit fatalen Folgen, wenn es im Anlassfall zu spät ist.....

3. Kontrolle ist gut - Offenheit zu den Mitarbeitern ist besser!

Der Grundstock bei Riskmanagement- und Security-Projekten ist immer noch der ehrliche und offene Umgang mit allen betroffenen Mitarbeitern. Jegliche Form von Dominanz und vertrauenskillendem Auftreten ist hier fehl am Platz. Neben einer ausgeprägten technischen Expertise, sollten in derlei Projekten auch Teamplayer mit hohem sozialem Instinkt und Empathie eingesetzt werden.

Warum: Kontrollsysteme sind auch dazu da, die Kreativität kompromittierter Beteiligter anzuspornen. Da hilft keine Technologie, es wird immer eine Lücke geben, die nicht geschlossen werden kann. Wer sich also mit Identity- und Accessmanagement beschäftigt, sollte sich also auch um die emotionellen Befindlichkeiten seinerselbst und der seiner Mitarbeiter kümmern.