erschienen im bankmagazin August 2003, Seite 46

Nicht nur die Verteilung von Zugangsrechten zu den IT-Ressourcen erfordert eine automatisierte Unterstützung. Auch bei Beförderungen, Arbeitsplatzwechsel und Ausscheiden eines Mitarbeiters leisten Computersysteme wichtige Dienste.

Von Michael Rogulla, Bonn[1] und Horst Walther, Hamburg[2]

Definitionen

  • Provisioning (auch Ressource Provisioning, User-Provisioning oder E-Provisioning]: automatisierte Zuweisung von Berechtigungen zur Benutzung von IT-Systemen,
  • De-Provisioning: automatisierte Unterstützung von Veränderungen in der Geschäftsrolle, etwa Beförderung oder Abteilungswechsel, und des mit dem Ausscheiden eines Mitarbeiters verbundenen schnellen Entzugs von Rechten,
  • Reverse-Provisioning: Ermittlung des Status eines Zugriffsrechtes zu einem bestimmten aktuellen oder in der Vergangenheit liegenden Zeitpunkt, beispielsweise für Audit-Zwecke.

Gerade in Kreditinstituten ist die Verwaltung der Zugriffsrechte von nicht zu unterschätzender Bedeutung. Provisioning-Systeme bieten die Möglichkeit, Vorgänge der Vergabe, des Entzugs sowie des Reporting von Benutzerberechtigungen zu automatisieren und in einen Workflow einzubinden. So lassen sich das Sicherheitsniveau verbessern und der Verwaltungsaufwand verringern.

Das Informatikzentrum der Sparkassenorganisation (SIZ) hat das Thema Provisioning im Rahmen seines Projektes "Fortschreibung Verzeichnisdienste in der Sparkassen-Finanzgruppe" aufgearbeitet.

Geschichten des Grauens

Zu Beginn dieses Jahres rief ein Hersteller von Provisioning-Software zu einem ungewöhnlichen Wettbewerb auf. Er hat um die Zusendung tatsächlich erlebter Horrorgeschichten rund um die Verwaltung von Zugriffsrechten. Drei der eingereichten Beispiele machen deutlich, wie wenig wirksam diese oft gehandhabt wird:

Es zeigt sich, dass insbesondere ein real erteiltes Recht oft entweder verspätet oder gar nicht mehr zurückgenommen werden - dies kann fatale Folgen haben.

Das Informatikzentrum der Sparkassen (SIZ) in Bonn.
Das Informatikzentrum der Sparkassen (SIZ) in Bonn.

Anforderungen und Vorgaben

Die Benutzerverwaltung war schon immer mit hohem administrativen Aufwand verbunden. Durch aktuelle Entwicklungen verschärft sich diese unerfreuliche Situation jedoch:

In der Praxis hängen Arbeitsfähigkeit und Informationssicherheit häufig" von Fleiß, Organisationstalent sowie Vertrauenswürdigkeit einiger weniger, häufig stark überlasteter Administratoren ab. Doch selbst in gut organisierten Unternehmen ist beispielsweise ein automatisierter Abgleich der Zugriffsrechte aller wesentlichen Zielsysteme über Schnittstellenmodule - so genannte Konnektoren - heute noch selten realisiert. Regelmäßige Prüfungen aktueller und historischer Berechtigungen werden ebenfalls nur in den wenigsten Fällen durchgeführt, weil sie aufgrund der fehlenden Automatisierung mit einem hohen Aufwand verbunden sind.

Praxis in der Sparkassen-Gruppe

Die Institute der Sparkassen-Finanzgruppe haben neben der Verwaltung von Zugriffsrechten auf interne Systeme auch die Verantwortung für die Zuweisung solcher Rechte auf jene Systeme, die bei einem externen Dienstleister stehen. Zu ihren hoheitlichen Aufgaben gehören die inhaltliche Definition der Berechtigungsprofile auf Basis der Geschäftsprozesse und deren Zuweisung an die einzelnen Mitarbeiter. Auch die Auslösung des Prozesses zur Berechtigungsvergabe und gegebenenfalls die gesonderte Zustimmung zur Vergabe von Einzelberechtigungen dürfen nicht an einen externen Dienstleister vergeben werden. Um den mit diesen Aufgaben verbundenen Aufwand zu minimieren, empfiehlt es sich vordefinierte Schablonen zu verwenden.

[1]Michael Rogulla ist Produktmanager im Ressort Sicherheitstechnologie des Informatikzentrum der Sparkassenorganisation GmbH (SIZ) in Bonn.

[2]Dr. Horst Walther ist Geschäftsführer der SiG Software Integration GmbH.

Horst Walther, Hamburg