In einem Unternehmen verfügt jeder Mitarbeiter über eine „digitale Identität“: Aus Datenschutzgründen erhalten Arbeitnehmer nur Zugriff auf die Systeme, die für ihre tägliche Arbeit relevant sind. Die Berechtigungen sind von Person zu Person unterschiedlich. Das diese immer auf dem neuesten Stand sind, gewährleistet ein genau definiertes Identity Management. Eine komplexe Angelegenheit, die aber digital gesteuert und in vielen Bereichen automatisiert werden kann.
Inhaltsverzeichnis
- 1 Digitale Identität festlegen
- 2 Identity Management: Zugangsberechtigungen immer im Blick behalten
- 3 Ausspähen von Daten: Das kann teuer werden
- 4 Digitales Identity Management
- 5 Identity Management: Was es beinhaltet
- 6 Welche Berechtigungskonzepte gibt es?
- 7 Vergabe der Berechtigungen
- 8 Warum Rollenkonzepte sicherer sind
- 9 Befristete Berechtigungen
Digitale Identität festlegen
Jeder Mitarbeiter verfügt über eine Reihe von Unternehmens-Accounts und Berechtigungen, um seiner Arbeit nachgehen zu können. An jeden Account sind individuelle Zugriffsberechtigungen gekoppelt. Diese müssen immer wieder neu angepasst werden, wenn sich bei einem Mitarbeiter Bedingungen ändern.
Das ist zum Beispiel dann der Fall, wenn…
- … Mitarbeiter neue und erweiterte Aufgaben übernehmen.
- … Mitarbeiter die Abteilung wechseln.
- … Mitarbeiter in Projekten in unterschiedlichen Unternehmensbereichen arbeiten.
- … Mitarbeiter zeitweise Vertretungen bei Krankheit oder Urlaub übernehmen.
Identity Management: Zugangsberechtigungen immer im Blick behalten
Versäumt es ein Unternehmen, die individuellen Berechtigungen seiner Mitarbeiter zu pflegen und stets auf dem neuesten Stand zu halten, kann das gefährliche Konsequenzen haben. Mit jedem Abteilungs- oder Aufgabenwechsel erweitern sich die Zugangsberechtigungen eines Angestellten dann nämlich sukzessive.
Das stellt ein Sicherheitsproblem dar. Werden Berechtigungen wahllos im Unternehmen verteilt, erhöht das das Risiko, dass sensible Daten aus Versehen in die falschen Hände gelangen. Im schlimmsten Fall werden sie sogar bewusst ausgespäht.
Ausspähen von Daten: Das kann teuer werden
Für den Arbeitgeber kann das teuer werden. Schließlich handelt es sich hierbei um einen klaren Verstoß gegen das geltende Datenschutzrecht. Ein solcher kann mit Bußgeldern bis zu 20 Millionen Euro oder aber bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens geahndet werden. Kleinere Unternehmen kann das die Existenz kosten.
Das kontinuierliche Anpassen von Accounts und Berechtigungen ist also unumgänglich. Experten sprechen in diesem Zusammenhang von Identity Management, kurz IdM. Die gute Nachricht: Es kann automatisch gemanagt werden. Das ist gerade für größere Arbeitgeber von entscheidendem Vorteil. Denn je mehr Mitarbeiter ein Unternehmen beschäftigt, desto mehr Berechtigungen müssen verwaltet werden und desto komplexer und unübersichtlicher ist die ganze Angelegenheit.
Digitales Identity Management
Deshalb kommen immer häufiger Softwareprogramme zum Einsatz, mit denen sich die Accounts und Zugriffsrechte der einzelnen Mitarbeiter organisieren lassen: So genannte Identity-Management-Systeme. Sie umfassen Funktionen, die zur größtmöglichen Daten-Sicherheit in einem Unternehmen beitragen.
Zum Beispiel unterbinden spezielle Sicherungen und Tools automatisch Berechtigungskombinationen, die einander widersprechen. Außerdem wird die Berechtigungsvergabe zuverlässig automatisch dokumentiert. Betriebe können auf diese Weise konsequent nachweisen, wer wann über welche Berechtigungen im Betrieb verfügte und warum. Kommt es einmal zu Datenmissbrauch kann der Arbeitgeber dann zumindest darlegen, diesen nicht durch die falsche Vergabe von Berechtigungen begünstigt zu haben.
Identity Management: Was es beinhaltet
Egal, ob es digital oder manuell gesteuert wird, umfasst das Identity Management innerhalb eines Unternehmens viele verschiedene Schritte. Zunächst einmal müssen alle Nutzer, Geräte und Anwendungen erfasst werden. Dann müssen für jeden Mitarbeiter individuelle Berechtigungen in den verschiedenen Systemen und sichere Zugänge über die einzelnen Geräte eingerichtet werden.
Wichtig dabei ist außerdem, dass sich jede Person, die Zugriff auf die Systeme eines Unternehmens bekommen soll, sich eindeutig und sicher identifizieren kann. Und das auf jedem Gerät, über das diese auf die IT-Infrastruktur zugreift. In der Regel geschieht das über einen gesicherten Geräte- und System-Login. Jeweils mit individuellem Benutzernamen und individuellem Passwort. Dieses sollte aus Sicherheitsgründen alle paar Wochen geändert werden. In besonders kritischen Bereichen wird der Zugang zu Systemen auch nochmal zusätzlich durch einen Fingerabdruckscan abgesichert.
Welche Berechtigungskonzepte gibt es?
Auf Basis des Logins gleicht das Identity Management System automatisch ab, über welche Rechte der eingeloggte User verfügt. Es unterscheidet zum Beispiel ganz genau, ob ein Nutzer nur eine Information lesen darf, ob er Daten auf sein Gerät herunterladen oder sie sogar löschen darf.
Hier gibt es die folgenden Möglichkeiten, die teilweise auch miteinander kombiniert werden können:
- Ein User erhält gar keine Berechtigung zu dem System
- Der User darf Informationen nur lesen
- Der User darf Informationen erstellen und hinzufügen
- Der User darf Informationen ändern
- Der User darf Informationen herunterladen
- Der User verfügt über alle Rechte
Vergabe der Berechtigungen
Bei der Vergabe der Berechtigungen an die einzelnen Nutzer gilt im Rahmen des Identity Managements das folgende Prinzip: So wenig Zugriff wie möglich und nur so viel wie gerade nötig. Denn: Je beschränkter die Rechte des Einzelnen, um so mehr beugt das einem schädlichen Datenmissbrauch vor. Sicher ist sicher.
Sollten verschiedene Mitarbeiter aufgrund einer identischen Rolle im Unternehmen über die gleichen Systemberechtigungen verfügen, können innerhalb einer Identity Management Software auch so genannte Rollenkonzepte angelegt werden.
Warum Rollenkonzepte sicherer sind
Dann wird der einzelne Nutzer einer bestimmten Rolle zugeordnet und erhält automatisch passgenaue Autorisierungen zu den einzelnen Tools, die er nutzt. Das erspart der IT-Abteilung viel Arbeit. Sie muss nicht für jeden einzelnen Nutzer ein individuelles Berechtigungskonzept erstellen, sondern nur für die deutlich geringere Anzahl an Rollen im Unternehmen.
Das Ganze ist auch sicherer. Ein Rollenkonzept wird einmal vollständig festgelegt und auf Sicherheitslücken überprüft und dann immer wieder angewandt. So steht außer Frage, dass einzelne Mitarbeiter nicht aus Versehen Zugriff zu einem Tool erhalten, das für ihre Augen gar nicht bestimmt ist. Das ist schnell geschehen, wenn bei der manuellen Vergabe der Rechte ein Häkchen falsch gesetzt wurde.
Befristete Berechtigungen
Im Falle von Abteilungswechseln, Urlaubsvertretungen oder Projektarbeit in verschiedenen Unternehmensbereichen besteht außerdem die Möglichkeit, Zugangsberechtigungen zu befristen. Das sollte unbedingt genau eingehalten werden, sonst verliert das komplette Identitäts-Management irgendwann an Aktualität und Sicherheit.
So vermeiden Unternehmen zum Beispiel, dass der Azubi am Ende seiner Lehrzeit Zugriff auf die Systeme aller Unternehmensbereiche hat. Weil er regelmäßig die Abteilungen gewechselt hat, wurde ihm ein Zugriff nach dem anderen gewährt, aber nicht wieder abgenommen. Das wäre reichlich überdimensioniert.
