1 Einleitung
Die Verwaltung der Zugriffsrechte auf Unternehmensressourcen ist weiterhin eine unterschätzte Herausforderung in einer Vielzahl von Organisationen. Viele davon entscheiden sich dafür, ein Enterprise Role Design zu schaffen, in welchem die vorhandenen komplexen Strukturen in überschaubaren Rollen abgebildet werden, in der Absicht, sowohl ein Werkzeug für organisatorische Prozesse als auch ein effizientes Sicherheitsmanagement zu erhalten. Allerdings sind für die Definition, Implementierung und Pflege eines unternehmensweiten Rollenmodells ausgereifte Prozesse und eine Unterstützung durch leistungsfähige Werkzeuge notwendig.
KuppingerCole versteht das Enterprise Role Management (ERM) als strategischen Ansatz zur Strukturierung komplexer Organisationen, worüber gleichzeitig die Effizienz bei der Verwaltung und die Einhaltung gesetzlicher, regulatorischer und interner Anforderungen (Compliance) verbessert werden. Dabei geht es weit über den Ansatz hinaus, nur einmalig erste Rollen zu definieren. Stattdessen zielt es darauf ab, eine Menge klar definierter, nachhaltiger und kontinuierlich durchgeführter Rollenverwaltungs-Prozesse zu definieren und umzusetzen. Diese dienen als Rahmen zur Verwaltung, Pflege und stetigen Verfeinerung von Rollendefinitionen, sowie der Zuordnung damit verbundener Berechtigungen zu einzelnen Identitäten.
Aus betrieblicher Sicht sind die Anforderungen klar und einleuchtend: Das in einem IAM-System realisierte Rollenportfolio muss so ausgelegt sein, dass alle Zugriffsrechte, die jeder einzelne Mitarbeiter benötigt, zugeordnet werden können. Regulatorische und gesetzliche Anforderungen, aber auch Unternehmensrichtlinien und Sicherheits-Frameworks machen hingegen oft gegenläufige Vorgaben: Das Minimalprinzip erfordert, dass nur ein notwendiges Mindestmaß an Zugriffsrechten zugeordnet wird, während die Anforderungen der Funktionstrennung (SoD, „Segregation of Duties“) vorgeben, dass ein Benutzer nicht übermäßige Zugriffsrechte erhalten darf, so dass er nicht mehr als einen kritischen Schritt innerhalb eines einzelnen Geschäftsvorgangs bzw. eines Prozessablaufs ausführen kann.
Der Weg hin zu einem echten Enterprise Role Management (ERM) ist also sowohl eine organisatorische als auch eine technische Aufgabe. ERM benötigt das Know-how verschiedener Wissensträger einer Organisation und die Zusammenführung dieses Know-hows durch ein unternehmensweites Prozessrahmenwerk. Es erfordert die Einbindung von Experten unterschiedlicher Ausprägung und in einer Vielzahl organisatorischer Einheiten, sowie klar definierte und effiziente Verwaltungsprozesse und Unterstützung durch adäquate Werkzeuge.
Sowohl in dem Fall, dass eine Organisation gerade beginnt, geeignete Geschäftsrollen zu definieren beginnt, aber auch im Falle einer Überprüfung oder Rechtfertigung bestehender Rollenzusammensetzungen werden diese Werkzeuge typischerweise als Role Mining-Werkzeuge bezeichnet. Bei bereits definierten Rollen wird die benötigte Werkzeugfamilie in der Regel im Rahmen von GRC-Bemühungen als Engineering- oder Access Analytics-Werkzeug bezeichnet.
Die Definition und die Überprüfung entsprechender Rollenportfolios dahingehend, dass jeder Rolle die richtige Menge zugrundeliegender individueller Berechtigungen zugeordnet werden, so wie sie für die Systeme, Infrastrukturen und Anwendungen erforderlich sind, darf keine einmalige Aufgabe sein. Vielmehr sollte dies ein fortlaufender Prozess sein, der die definierte Menge an Rollen anpasst:
- Durch Anpassung der enthaltenen Zugriffsrechte;
- Durch Ergänzung zusätzlich erforderlicher Rollen;
- Durch die Aufnahme neu hinzukommender Anwendungen und deren neu definierten Berechtigungen und
- Durch Widerruf bzw. Deaktivierung obsoleter Rollen.
Derzeit gibt es auf dem Markt hauptsächlich zwei verschiedene Produktansätze, welche sich der Bereiche Role Management und Role Mining annehmen. Mehrere IAM-Anbieter bieten als Teil ihrer IAM-Suites grundlegende Unterstützung für diese Art von Aufgabe an. Parallel dazu hat sich ein eigenständiges, hoch spezialisiertes Marktsegment entwickelt, das sich auf die Bereitstellung effizienter Role Mining-Funktionalitäten, Role Engineering- und Access Analytics-Werkzeuge und Arbeitsabläufe für Bereinigungsmaßnahmen konzentriert, wobei diese Elemente als Ergänzung zu bestehenden IAM-Infrastruktursystemen (unabhängig von Anbieter oder Design) konzipiert sind. Nexis Controle 3.0 ist ein ausgereifter Vertreter dieser zweiten Gruppe. Es kann sowohl eigenständig betrieben werden als auch mit bestehenden Identity- und Access-Management-Systemen interagieren und diese dann um — wie der Anbieter sie nennt — „Identity und Access Intelligence“ erweitern.
Der Anbieter Nexis spezialisiert sich auf das Bereitstellen von Lösungen und Dienstleistungen rund um die Bestimmung und nachhaltige Verwaltung unternehmens- und systemspezifischer Rollen und deren Zuordnung zum betrieblichen Benutzer. Nexis wurde 2009 als Spin-off der Universität Regensburg gegründet.