- IT&Production - https://www.it-production.com -

Immer im Blick, wer kommt und geht

Berechtigungsmanagement

Immer im Blick, wer kommt und geht

Viele Unternehmen mit mehreren Standorten stehen vor der Herausforderung, zahlreiche Berechtigungen von Personen und Geräten sicher und effizient zu verwalten. Unterstützung leisten Lösungen für zentrales Identitäts- und Berechtigungsmanagement, die etwa Autorisierungen unternehmensweit auf einer Plattform konsolidieren.

Bild: Nexus Technology GmbH

Zu Beginn des IT-Zeitalters war die Zugangskontrolle in Unternehmen einfach: Werkhallen und Büros waren durch Türen und Schlösser geschützt, Computer waren nicht vernetzt. Mit der Einführung von multifunktionalen Unternehmensausweisen in den 1990er Jahren wurde es komplizierter. Ausweise wurden nun für vielfältige Zwecke genutzt, vom Zutritt zum Werksgelände über den Firmenparkplatz bis zur Kantine. Das warf die Frage auf, wer für Ausgabe und Einzug sowie für die Aktivierung und Sperrung der Ausweise zuständig sein sollte, Personalabteilung, IT oder das Facility Management? So entstand Bedarf an zentralem Identitäts- und Berechtigungsmanagement. Darin sind Zutrittskontrollsysteme im Bereich des physischen Zutritts verantwortlich für die Konfiguration von Ausweislesern, die Definition von Sicherheitsbereichen sowie die Verwaltung von Berechtigungen und Zutrittsausweisen. So genannte Identity & Access Management-Systeme (IAM) verwalten hingegen den Zugang zu Netzwerken, Computern, Programmen und Daten.

Steigende Komplexität

Die anhaltende Digitalisierung vieler Arbeitsbereiche hat zu einer Zunahme an Komplexität geführt. Größere Mobilität von Mitarbeitern und Geräten, die fortschreitende Globalisierung, Cloud Computing, das Internet der Dinge und die zunehmende Cyber-Kriminalität lassen die Grenze zwischen physischer und logischer Sicherheit verschwimmen. Vor allem für Unternehmen mit verteilten Standorten wird es immer schwieriger, Identitäten und Berechtigungen von Personen und Geräten zu verwalten. Angesichts des technologischen Wandels und steigenden Sicherheitsbedarfs können Strukturen an ihre Grenzen stoßen, auch weil gleichzeitig der Kostendruck steigt und die Erwartungen der Anwender an Einfachheit und Benutzerfreundlichkeit wachsen. Nicht selten gibt es Zutrittskontrollsysteme unterschiedlicher Hersteller an einem einzelnen Standort. Jedes System verwaltet zudem womöglich nur die Berechtigungen für eigene Sicherheitsbereiche. Manchmal gibt es keinen einheitlichen Prozess, um eine Zutrittsberechtigung zu beantragen. Der Antrag sowie erforderliche Genehmigungen erfolgen vielleicht noch manuell oder halbautomatisiert per E-Mail, die Berechtigung erteilt der Administrator dann auch noch manuell. Manchmal bekommt der Antragsteller nicht mal eine Rückmeldung, ob die Berechtigung erteilt wurde. Aufgrund vieler Medienbrüche existiert in manchen Unternehmen keine durchgängige Protokollierung der Prozesse und die Frage, wer aktuell welche Berechtigungen hat, ist für die Sicherheitsverantwortlichen nur mit erheblichem Aufwand zu beantworten. Oder sogar gar nicht. Ein zentrales, plattformbasiertes Identitäts- und Berechtigungsmanagement kann viele dieser Probleme lösen.

Einheitliche Regeln

Eine solche Plattform kann herstellerunabhängig die Zutrittskontrollsysteme eines Unternehmens steuern. Sie bietet einheitliche Regeln und Prozesse zur Beantragung und Verwaltung aller Zutrittsberechtigungen für Mitarbeiter, externe Mitarbeiter oder Besucher. Der Vorteil liegt im Potenzial zur einfachen Umsetzung neuer Berechtigungsprozesse wie etwa User-Self-Services, automatisierter Vergabe und Entzug von Zutrittsberechtigungen sowie einem Reporting bezüglich aktueller Berechtigungen. Den Kern bildet ein System unterschiedlicher Workflows, die Geschäftsprozesse zur Beantragung und Verwaltung der Zutrittsberechtigungen abbilden. Das kann die Flexibilität liefern, um jederzeit Prozesse an sich neue Gegebenheiten anzupassen oder neue Prozesse zu definieren.

Eine wesentliche Funktion des Berechtigungsmanagements ist die Ermittlung und Bereitstellung aller Berechtigungsobjekte wie Sicherheitsbereiche, Zutritts- und Zeitprofile. Da es keine Standardisierung in Bezug auf Darstellung und Austausch solcher Objekte gibt, sind oftmals herstellerspezifische Konnektoren zur Anbindung der Zutrittskontrollsysteme an das Berechtigungsmanagementsystem erforderlich. Im Berechtigungsmanagementsystem können die Informationen aus den Zutrittskontrollsystemen erweitert und detaillierter beschrieben werden. So kann beispielsweise definiert werden, ob eine Genehmigung für einen Sicherheitsbereich erforderlich ist, wer die verantwortliche Person ist und wer ihr Stellvertreter.

‚Virtuelle Sicherheitsbereiche‘

Zusätzlich können ‚virtuelle Sicherheitsbereiche‘ aus den Terminalgruppen unterschiedlicher Zutrittskontrollsysteme gebildet werden. Ein Beispiel: Der Mitarbeiter eines internationalen Unternehmens arbeitet in Deutschland. Er soll kurzfristig für einen Zeitraum von zwei Monaten an einem Projekt in der Schweizer Niederlassung in Zürich mitarbeiten und benötigt deshalb die Zutrittsberechtigung für die Gebäude am Schweizer Standort; idealerweise werden die Berechtigungen am deutschen Standort für diesen Zeitraum entzogen. Alle Mitarbeiter haben einen einheitlichen Ausweis für die elektronische Zutrittskontrolle. An den Standorten werden Zutrittskontrollsysteme unterschiedlicher Hersteller eingesetzt. Der Mitarbeiter oder ein zuständiger Sachbearbeiter beantragt über ein elektronisches Formular den Arbeitsplatzwechsel. Er wählt den neuen Standort und das Gebäude sowie den Zeitraum der Tätigkeit. Ein zentrales Berechtigungsmanagementsystem ermittelt automatisch die erforderlichen Zutrittsberechtigungen. Abhängig von diesen Berechtigungen werden automatisch ein oder mehrere elektronische Genehmigungsprozesse gestartet. Nach dem Erhalt aller notwendigen Genehmigungen werden die Berechtigungen automatisch an das Zutrittskontrollsystem in der Schweiz übertragen. Der Mitarbeiter und gegebenenfalls auch sein Vorgesetzter werden per E-Mail informiert. Das Berechtigungsmanagementsystem übernimmt ebenfalls die temporäre Sperrung und Aktivierung der Berechtigungen an den beiden Standorten. Alle Prozesse werden dokumentiert und können jederzeit einfach nachverfolgt werden.

Flexible Einführung möglich

Über eine zentrale Plattform können Anwendungen flexibel eingeführt und entsprechend der geschäftlichen Anforderungen sukzessive erweitert werden. Sie bietet zum einen standardisierte Mechanismen und Konnektoren zum Erstellen und Verwalten verschiedenster Identitäten für Public Key Infrastructures (PKI) oder RFID-Systeme. Zusätzlich ist es möglich, kundenindividuelle Information Asset Management-Lösungen zu entwickeln. So kann es für ein Unternehmen sinnvoll sein, zuerst eine Anwendung für das zentrale Kartenmanagement einzuführen. Im Anschluss können dann zum Beispiel PKI-Funktionalitäten zum Verwalten elektronischer Zertifikate implementiert werden. Danach folgen weitere Anwendungen, etwa für das Passwort-Management oder eben das Berechtigungsmanagement.