Trends in der Vorgehensweise für die Bildung von Rollen (RBAC Projekte) 

Von Marco Rohrer, CEO ipg ag 

An der European Identity Conference 2010 haben sich Anbieter und Nachfrager von Identity & Access Management Lösungen erneut über Trends informiert und Erfahrungen ausgetauscht. Im Vordergrund standen klar die Hype-Themen wie „Cloud“ oder „Identity as a Service“. Es zeigte sich aber auch, dass  sich die Unternehmen nach wie vor stark mit Fragen aus der Königsdisziplin des Identity-Managements, der Bildung von Rollen beschäftigen. Hersteller reagieren mit neuen  Produkten und erweiterten Funktionalitäten auf diesen Trend. 

Längst ist bekannt, dass ein wirkungsvolles Identity & Access Management System nur mit Hilfe von Regeln und Rollen umgesetzt werden kann. Nur damit werden Risk- und Compliance Anforderungen sachgemäss adressiert. Mit der Implementierung von Rollen ist es erst möglich, Prozesse für das Benutzer- und Berechtigungsmanagement effizient zu automatisieren, wirkungsvolle Zugriffskontrollen einzuführen, Segregation of Duties sicherzustellen und insbesondere die Verantwortung für die Zuteilung der Mitarbeiterzugriffe in die Fachbereiche zu übertragen. Dazu bieten die Hersteller verstärkt Role-Mining Funktionalitäten für die Rollen-Identifikation (Role-Mining) und Werkzeuge für Verwaltung der Rollen und Policies. Ebenso wird die Integration in die Geschäftsprozesse immer stärker berücksichtigt. 

Vom Recht zur Rolle – ein schwieriges Unterfangen

ipg ag hat schon früh erkannt, dass die Bildung von Rollen für die Unternehmen eine grosse Herausforderung darstellt. Als Pionier in der Planung und Umsetzung von Role Based Access Control hat ipg ag Verfahren und Methoden zur Rollenbildung entwickelt und angewendet. Diese umfassten im Wesentlichen drei Schritte: 

1.     Bereinigung und Analyse

2.     Quick Role-Engineering / Automatische Rollenbildung

3.     Rollenoptimierung

Damit das Endresultat den Erwartungen entspricht, wurden zusätzlich im Vorfeld der Rollenbildung das Rollenkonzept sowie die Anforderungen an Organisation, Prozesse und Technologie definiert und parallel zur Rollenbildung umgesetzt.  

Neue RBAC Produkte auf automatisierte Rollenerstellung ausgerichtet

Nun zeigt sich, bei genauer Betrachtung der führenden Produkte, dass diese Methodik auch Basis der neuen Produktfunktionalitäten bildet. Gemeinsam verfolgen sie den Ansatz, die Berechtigungsdaten zu sammeln, zu analysieren und erste Bereinigungen durchzuführen (Policy-Check, SoD Check etc.). Als Folgeschritt wird auf Basis unterschiedlicher Mitarbeiter- und Organisationsinformationen automatisch nach möglichen Rollen gesucht um mit ersten Basis-Rollen den Nutzen von RBAC zu untermauern. Im letzten Schritt unterstützen die Lösungen dann die „Rollen-Entwickler“ bei der Optimierung und Verfeinerung des Rollenmodells damit letztendlich der Grossteil der Mitarbeiterrechte über Rollen abgedeckt ist und vereinfacht administriert werden kann. 

Braucht es Rollenexperten in Zukunft nicht mehr?

Das Gegenteil ist zu erwarten. Die Produkte helfen zwar, den Rollenbildungsprozess zu vereinfachen und transparenter zu gestalten, ein Spezialist kann damit aber nicht ersetzt werden. Die heute erhältlichen Produkte unterstützen bei der Auswertung der Daten und Analyse, helfen Berechtigungsanhäufungen im Kontext zu Organisation, Mitarbeiterattributen oder Prozessen zu finden und unterstützen die Bereinigung. Die Aufgabe des Rollen-Engineers wird dadurch aber nicht ersetzt. Er hat nach wie vor die Aufgabe, für die gefundenen Rollen und Berechtigungen den fachlichen/organisatorischen Kontext (Aufgaben, Funktionen) zu erfassen und exakt die Berechtigungen auszuwählen, die für diese Tätigkeiten auch benötigt werden. Er berät und unterstützt die Fachbereiche bei der Erstellung des Rollenkatalogs, bei den Abklärungen was Rechte bedeuten und in Optimierungsfragen. Nicht zu Letzt schafft er die Bereitschaft und Akzeptanz in den Fachbereichen überhaupt mit Rollen zu arbeiten.