Identity & Access Management – was ich dazu wissen muss!

Manche haben es und wissen nicht, wie sie es optimal nutzen – manche brauchen es, wissen es aber nicht. Was ist mit dir?

 

Mit diesem Artikel geben wir Dir einen kleinen Einblick in die Welt des Identity- und Access Management (im folgenden IAM), zeigen Faktoren des IAM auf und erklären kurz, warum eine IAM-Lösung sinnvoll ist.

 

Was ist ein IAM?

Um zu verstehen, warum du ein IAM brauchst, musst du zuerst wissen, was es ist. Ein IAM hilft bei der Verwaltung von Zugriffsrechten und Benutzeridentitäten. Dadurch lässt sich nachvollziehen und festlegen, welche:r Nutzer:in wann Zugriff worauf braucht und wie dieser sich gewähren lässt. Es ist ein rollen- und regelbasiertes System, welches Nutzer:innen mittels digitaler Identität Rechte zuweist. So lässt sich die Effizienz und Effektivität von Prozessen steigern.

 

Das Onboarding zum Beispiel kann durch automatisierte Prozesse beschleunigt werden und die neuen Angestellten, die sofort im System vermerkt sind, bekommen ab Tag eins die benötigten Zugriffsrechte. Das IAM kann über eine Schnittstelle mit dem HR-System verbunden werden und sich von dort die relevanten Stammdaten ziehen. Das hinterlässt gleich mal einen guten Eindruck bei den Neueinsteigenden ;-).

 

Durch ein IAM werden Sicherheit und Datenschutz im Unternehmen verbessert. Die Steuerung der Zugriffsrechte erlaubt die genaue Kontrolle, welche Angestellten was zu sehen bekommen. So wird sichergestellt, dass jeder nur Zugriff auf die Daten bekommt, die für seine Arbeitsprozesse relevant sind. Diese Maßnahme zur Prävention von Datenleaks und Verstößen gegen das Datenschutzgesetz sind gern gesehen beim Auditieren von Prozessen (auch hier kann also mit dem IAM gepunktet werden). Das Geschäftsgeheimnisgesetz wird gewahrt und die Gefahr von Systemattacken von intern minimiert.

 

Ein weiterer Vorteil ist der Überblick über die Unternehmensstruktur und Steuermöglichkeiten. Durch einen besseren Überblick lassen sich unerwünschte Strukturen aufspüren und eliminieren. Da hat auch die Schatten-IT keine Chance mehr zum Fortbestand…

 

Möglichkeiten durch ein IAM

IAM ist nicht nur ein IT-Thema. (Wenn du das bisher gedacht hast, dann unbedingt weiterlesen!)

 

Es ist ein System, das global auf allen Ebenen des Unternehmens wirkt. Von der IT, über HR bis zum Management/Vorstand. Deshalb sollte der Auftrag für ein IAM vom Vorstand kommend an die IT und HR übermittelt werden. Um eine IAM-Lösung effizient und gewinnbringend einführen und nutzen zu können, solltest du die folgenden Punkte beachten:

 

  • Rechtevergabe und Zugriffsrechte: Hier solltest du nach dem Need-to-know-Prinzip vorgehen. Wer muss was für seine Arbeit wissen? Nur diese Informationen sollten mit den Personen geteilt werden. Das sichert den Datenschutz, sowie das Geschäftsgeheimnis. Informationen können in Kategorien eingeteilt werden. Zum Beispiel ist es unbedenklich, wenn jeder Angestellte die Essenspläne der unterschiedlichen Standorte sehen kann. Jedoch sollte nicht jeder Angestellte die Adressen der Kolleg:innen sehen können.
  • Einsatzbereich: Für jeden Unternehmensbereich sollten Zugänge und Systeme klassifiziert werden. Welche Aufgabe wird hier erfüllt und für welche Angestellten könnte dies relevant sein? Bei hochkritischen Bereichen kann es sogar nötig sein, ein Privileged Access Management (PAM) einzusetzen. Zum Beispiel wenn es um Adminzugriff für die hochkritische interne IT-Infrastruktur geht oder einen geschlossenen Bereich in der Klinik. Hier wird nur für ein kurzes Zeitfenster Zugriff gewährt und genauestens protokolliert, welche Tätigkeiten die Person ausgeführt hat.
  • Cloud/on-Premises System: Analysiere die Arbeitsweise im Unternehmen. Passt hier besser eine Cloud oder eine on-Premises Lösung? Oder vielleicht doch eher eine hybride Lösung? Wie möchte sich dein Unternehmen in der Zukunft aufstellen?
  • Anzahl der Applikationen: Mache dir bewusst, welche Systeme angeschlossen werden sollen und müssen. Danach erstellst du eine Priorisierungsliste der Systeme nach Kritikalität und datenschutzrechtlichten Kriterien. Welche Systeme sollen zuerst angebunden werden?
  • Schnittstellen mit Systemen: Dieser Punkt hat ebenfalls mit der Auswahl der anzuschließenden Systeme zu tun. Um große firmenrelevante Systeme zu koppeln, musst du zuerst eine Risikoanalyse durchführen. Alle genehmigten Personenzugriffe müssen gerechtfertigt sein. Zudem solltest du dein IAM mit den bestehenden Schnittstellen der bereits vorhandenen Applikationen abgleichen, um herauszufinden, wo eine Anbindung mit geringem technischem Aufwand möglich ist.
  • Konzernstruktur: Sind bei dir Subunternehmen angestellt? Wie pflegst Du die Stammdaten deiner Angestellten und Projektarbeiter:innen? Meist werden zwei verschiedenen Stammdatensysteme dazu verwendet. Angestellte werden im HR-System gepflegt, Projektarbeiter:innen im External-Workforce-Management-System. Beide Systeme können an das IAM angebunden werden und Zugriffe so geregelt werden. Beispielsweise ist die Reinigungskraft nicht direkt im Unternehmen angestellt, benötigt aber dennoch Zugriffsrechte zu vielen Räumen.
  • Standorte: Ebenfalls gilt es, die rechtlichen Entitäten zu bedenken. Je nach Land, in dem der Standort ist, und welcher Gesellschaftsform das Unternehmen unterliegt, gibt es andere Anforderungen. Du musst das Datenschutzabkommen zwischen den Ländern bedenken, genauso wie Kündigungsrechte, Steuern, Gehälter und Zugriffsrechte. Hier müssen je nach Land andere Regeln befolgt werden.
  • Kosten- & Nutzenfaktor: Ab einer Mitarbeiterzahl von über 2000 lohnt sich meist ein IAM über manuelle Prozesse. Jedoch gibt es hier auch Ausnahmen für bestimmte Bereiche, z.B. Bereiche, die besonderen oder vielen Regularien unterliegen.
  • Datenschutz: Geschützte Informationen dürfen nur Mitarbeitern zugänglich sein, die einen berechtigten Datenzugriff vorweisen können. Hier muss auch wieder das Need-to-know-Prinzip angewandt werden. Eine gendergerechte Stammdatenpflege gilt es ebenfalls zu bedenken. Ist es unbedingt notwendig das Geschlecht eines Angestellten sichtbar zu machen? Muss in manchen Systemen überhaupt eine Anrede hinterlegt werden?
  • Arbeitsabläufe: Im IAM können Arbeitsprozesse, wie z.B. das Onboarding, etabliert werden. Diese hinterlegten Arbeitsprozesse erfolgen standardisiert und automatisiert. So lässt sich Zeit effizienter und dynamischer nutzen. Nachdem das HR-System mit dem IAM verbunden ist, kann diese Informationen über neue Angestellte an das IAM senden. Im IAM werden für die neuen Angestellten notwendige Zugriffe hinterlegt und bewilligt. Auch Abteilungswechsel und Rechteentzüge können so über das IAM automatisiert werden. Zudem ist im IAM eine Karenzzeit einstellbar, also eine Wartefrist/Sperrfrist, um bei einem Abteilungswechsel den Übergang weicher zu gestalten und den Angestellten die Möglichkeit zu geben, einen Arbeitsauftrag noch zu beenden. Mithilfe des IAM kann auch das Azubiproblem vermieden werden. Die Angestellten können keine Rechte mehr ansammeln und Sicherheits- und Datenschutzrichtlinien können besser erfüllt werden.
  • Rechtliche Vorgaben: Jeder kennt sie: Die EU-Datenschutz-Grundverordnung (DSGVO). An diese, und eventuell noch weitere, musst du dich auf jeden Fall halten. Je nachdem, in welchen Ländern die Unternehmensstandorte liegen, finden andere Regularien Anwendung. Du musst genau bedenken, welche Daten zu welchem Zweck verarbeitet werden und es dürfen nur die nötigen, persönlichen Informationen erfasst werden. Zudem muss die Datenspeicherung und die gespeicherten Daten gepflegt werden. Ein korrekt eingeführtes IAM hilft dir auch bei einem Audit und bei einer Zertifizierung nach ISO.
  • Datenqualität: Die Stammdatenqualität und die Korrektheit der Stammdaten sind wichtig. Die weiter zu verarbeitenden Daten müssen immer aktuell und korrekt sein. Hier muss eng mit HR und External Workforce gearbeitet werden. Nur wenn bewusst ist, welche Stammdaten erfasst werden und wie diese zum Steuern genutzt werden können, kann ein IAM mit automatisierten Prozessen punkten.

Wir helfen dir

Du merkst, es gibt viel zu Bedenken und die Einführung ist nicht so einfach wie vielleicht zu Anfang gedacht. Wir sind für dich da und unterstützen und beraten dich bei allen Themen, die dich beschäftigten. Komm also gern auf uns zu und wir helfen dir aus dem Strudel der Fragen und bringen dich auf die sichere IAM-Insel :-)!

Author

Christina

Related Articles

SAP Customer Data Platform – des Kunden bester Freund sein
Menü