IPG ist Teil der
Titelbild Expertenbericht Berechtigungsmanagement IAM

Berechtigungsmanagement: Der Weg zur automatisierten Berechtigungsvergabe

Optimieren Sie Ihr Berechtigungsmanagement

Neue Anwendungen, wechselnde Rollen und immer strengere Compliance-Anforderungen machen die Berechtigungsverwaltung zu einer echten Herausforderung. Ohne klare Prozesse und Automatisierung entsteht schnell ein unüberschaubares Geflecht aus Zugriffsrechten – ein Risiko für Sicherheit und Effizienz. Doch wie lässt sich diese Aufgabe strukturiert und zukunftssicher lösen?

Genau hier setzt eine moderne Berechtigungsverwaltung an. Denn die Verwaltung von Berechtigungen ist die Kernaufgabe in der IT und wird über ein IAM-System (Identity and Access Management) gesteuert. Dieses stellt sicher, dass Mitarbeitende die benötigten Zugriffsrechte und Ressourcen für ihre tägliche Arbeit erhalten. Gleichzeitig schützt es die Daten vor dem unerwünschten Zugriff Dritter auf sensible Informationen und folgt dabei dem "Need-To-Know" Prinzip. 

Aufgaben eines Berechtigungsmanagement

Das IAM-System übernimmt alle administrativen Aufgaben, die in Zusammenhang mit IT-Berechtigungen in einem Unternehmen anfallen. Die Aufgabe einer Berechtigungsverwaltung lässt sich in unterschiedliche Bereiche aufteilen: 

  • Administration von Berechtigungen: Das Erstellen, Zuweisen, Anpassen und Bereinigen von Berechtigungsgruppen, Geschäftsrollen oder Systemrollen. Die Berechtigungslandschaft ist im ständigen Wandel, es werden neue Applikationen in Betrieb genommen oder Aufgaben von Mitarbeitenden ändern sich. Darauf muss reagiert werden. 
  • Initiale Berechtigungsvergabe: Mit dem Eintritt eines neuen Mitarbeitenden werden Accounts und Zugriffsrechte benötigt, damit die tägliche Arbeit ausgeübt werden kann. Diese werden mithilfe von Rollen vergeben, die sich an den Attributen der Identität orientieren. 
  • Self-Service Portal: Für Berechtigungen, die sich nicht automatisiert vergeben lassen oder Lizenzkosten verursachen, kann ein Portal genutzt werden, um Zugriffsrechte bei Bedarf zu beantragen und genehmigen zu lassen. 
  • Prüfung und Anpassungen von Berechtigungszuweisungen: Regelmässige Überprüfungen stellen sicher, dass Berechtigungen noch den aktuellen Anforderungen entsprechen. Bei Bedarf werden diese angepasst. 
  • Reporting und Nachvollziehbarkeit von Berechtigungen: Durch Berichte können Berechtigungsvergaben überwacht und nachvollziehbar gemacht werden. Dies schafft Transparenz und fördert die kontinuierliche Optimierung des Vergabeprozesses. 
  • Einhaltung des 4-Augen Prinzip bei kritischen Zugriffsrechten: Das System stellt zudem einen Mechanismus bereit, der den Missbrauch von hoch kritischen Berechtigungen durch eine doppelte Prüfung verhindert.  
  • „Reconciliation“ von angebundenen Systemen: Durch die Anpassungen von Mitarbeiter:innen-Stammdaten (HR) müssen Informationen auf den angebundenen Zielsystemen synchron gehalten werden.

Das IAM-System koordiniert die Verwaltung von Berechtigungen über alle Anwendungen hinweg, die unterschiedliche Zugriffsebenen bereitstellen. Diese Ebenen bestimmen, welche Funktionen und Zugriffsrechte ein/e Benutzer:in hat, z. B. ein/e Administrator:in im Vergleich zu einem Gast.

Wie funktioniert das aktuelle Berechtigungsmanagement?

Der Grossteil der Unternehmen arbeitet in Microsoft Umgebungen, denen das Active Directory als Berechtigungssystem zu Grunde liegt. Berechtigungen werden innerhalb des Active Directorys über ACL (Access Control List) abgebildet. Jedes Objekt besitzt so eine Liste und kennt damit die verbundenen Zugriffe. Für die Handhabung im Alltag ist das für den/die Administrator:in sehr aufwendig, jedes einzelne Objekt zu berechtigen. In der Praxis hat es sich etabliert, mit Vererbung und Benutzergruppen zu arbeiten. Benutzer:innen mit dem gleichen Aufgabenbereich werden zur gleichen Organisationsgruppe hinzugefügt, welche die entsprechenden Mitgliedschaften der Berechtigung enthält. Das Problem mit direkten Berechtigungen über ACLs ist, dass diese Gruppenmitgliedschaften nicht in den Eigenschaften des Benutzers / der Benutzerin gespeichert werden, sondern nur in den Einstellungen vom Ordner. Bei einer Vielzahl von Verzeichnissen ist eine Nachvollziehbarkeit von Rechten praktisch nicht mehr gegeben.

Das Active Directory von Microsoft deckt nicht alle der oben aufgeführten Aufgaben ab und ist rein für die Administration von Accounts und Benutzergruppen ausgelegt. Jedoch tun sich in diesem Bereich Schwachstellen in Bezug auf die Sicherheit auf. Werden Benutzer:innen angelegt, erhalten sie meist die gleichen umfassenden und nicht benötigten Berechtigungen wie die Kolleg:innen. Das Kopieren von Berechtigungen ist eine gängige Praxis im Alltag und stellt ein Risiko dar, das sich Kriminelle zu Nutze machen können.

Berechtigungsmanagement mit Software

Wenn man bedenkt, wieviel Arbeitszeit ein/e Administrator:in mit der Vergabe und Anpassung von Berechtigungsgruppen und Mitgliedschaften beschäftigt ist, dann liegt es nahe eine automatisierte Berechtigungsverwaltung einzusetzen. Zudem müssen Berechtigungszuweisungen regelmässig auf ihre Korrektheit überprüft werden, weil sich die Applikationslandschaft bzw. die Anforderungen an Berechtigungen im Unternehmen ständig ändern. Diese Aufgabe kann über eine IAM-Software durchgeführt und sichergestellt werden, inklusive vollständiger Nachvollziehbarkeit.

Berechtigungs- und Rollenkonzept erstellen

Bevor mit der automatisierten Berechtigungsvergabe losgelegt werden kann, muss man sich im Vorfeld ein paar Gedanken machen. Es muss zunächst geklärt werden, wer im Unternehmen worauf Zugriff haben soll, dazu müssen Organisationen ein Berechtigungs- und Rollenkonzept erstellen. Darin gilt es festzulegen, wer welche Zugriffsrechte braucht. Als Orientierung können die vorhandenen Rechte von Benutzer:innen dienen, letztendlich geben gewachsene Strukturen aber keine klare Auskunft. Ein übersichtliches und sicheres Berechtigungs- und Rollenkonzept sollte den aktuellen Berechtigungszustand im System hinterfragen. Damit eine automatisierte Vergabe von Rechten möglich ist, muss das Konzept grundlegende Punkte adressieren. Es legt mögliche Rollentypen bzw. Rollenkandidaten fest und spezifiziert den Aufbau, deren Attribuierung und die Namensgebung.

Rollenbildung von Berechtigungen (automatisch)

Berechtigungen, die eine isolierte Funktionalität abbilden wie z.B. den Zugriff auf Citrix, können zu einer Rolle zusammengefasst werden. Sind ein angebundenes System (AD, SAP, Legacy) und die damit verbundenen Berechtigungen dem IAM-System bekannt, können diese als Basis für die Rollenbildung genutzt werden. Die entstandenen Rollenkandidaten können jetzt manuell zugewiesen oder über ein Portal beantragt werden. Für die automatisierte Vergabe bedarf es ein Regelwerk, welches durch die Berücksichtigung von HR-Attributen entsprechende Personengruppen evaluiert wie z.B. Mitarbeitende einer Abteilung oder eines Bereichs, und die entsprechenden Rollen automatisiert zuweist.

Self-Service Webshop (manuell)

Die Softwarelösungen im IAM-Umfeld verfügen über ein Web-Frontend und bieten dem/der Endanwender:in die Möglichkeit Rechte add-hoc zu beantragen. Rechte die nicht automatisch vergeben werden können, müssen über diesen Weg bereitgestellt werden. Das Problem hierbei ist, dass Administrator:innen die Anforderungen der unterschiedlichen Abteilungen nicht kennen und diese Freigabe über eine dafür zuständige Person erfolgen muss. Mithilfe von dynamischen Workflows wird die entsprechende Person ermittelt und kann die Freigabe durchführen. Das System erfasst den Vorgang und protokolliert diesen, was die Nachvollziehbarkeit sowohl zeitlich wie auch inhaltlich gewährleistet.

Einsparungspotential mit automatischer Vergabe

Hat ein Unternehmen eine gewisse Grösse erreicht und ist die IT-Landschaft entsprechend komplex, dann kann das Einsparungspotential enorm sein. In der Praxis strebt man ein Verhältnis von 9:1 zwischen automatisierter und manueller Berechtigungsvergabe an.

Automatische Berechtigungsvergabe

Zur automatisierten Vergabe gehören zum einen die bereits beschriebenen Regelwerke, bei denen die Berechtigungsvergabe attributgestützt erfolgt. Zudem besteht die Möglichkeit über Import-Mechanismen Berechtigungsstrukturen und deren Zuweisungen ins IAM-System zu übertragen. Dies ist der Fall, wenn eine neue Applikation eingeführt wird, bzw. eine Migration einer bestehenden Applikation vorgenommen wird.

Manueller Aufwand für Endbenutzer:innen

Endbenutzer:innen müssen sich in der abgebildeten Struktur zurechtfinden und den gewünschten Berechtigungsantrag über den Webshop stellen. Das System übernimmt proaktiv den Vorgang und holt sich die Genehmigung bei der verantwortlichen Person ein. Bei erfolgreicher Quittierung wird das beantragte Berechtigungsobjekt zugewiesen.

 

Rechte in Rollen

Basierend auf Erfahrungen aus verschiedenen Projekten lassen sich folgende Kennzahlen für einen möglichen Abdeckungsgrad ableiten. Dabei werden Rechte verglichen, die über Rollen bereitgestellt werden, teilweise automatisiert mittels eines attributgestützten Regelwerks oder auch manuell über Berechtigungsanträge oder Systemimporte. Eine vollständige Abdeckung durch Rollen ist in der Praxis jedoch meist nicht sinnvoll und pragmatisch, da bestimmte Rechte nur von einzelnen Personen genutzt werden.

Grafik Kennzahlen für Rollenzuweisungen

Administration eines IAM-Systems

Für ein IAM-System mit mehreren angebundenen Systemen und Applikationen benötigt es Fachmitarbeiter:innen, Systemverantwortliche und Applikationsentwickler:innen, die sich um den Betrieb und die Bewirtschaftung wie auch um die Weiterentwicklung der Applikation kümmern. Diese Mitarbeitenden übernehmen verschiedenste Aufgaben:

Aufgaben der Fachmitarbeiter:innen

Fachmitarbeiter:innen kennen die internen Prozesse des Unternehmens, sowohl technisch wie auch organisatorisch und die damit verbunden regulatorischen Anforderungen. Zudem kennen sie die Vorgaben der Revision und wissen, welche Informationen relevant sind. In Abhängigkeit der Grösse des Systems, kann hier ein grösseres, mehrköpfiges Team notwendig sein, um die Anforderungen des Unternehmens und den damit verbundenen Aufwand abzudecken.

Berechtigungsmanagement

  • Verwaltung von Berechtigungsobjekten und Zuweisung von Rollen und Zugriffsrechten für Benutzer
  • Regelmässige Überprüfung und Aktualisierung von Benutzerrollen und Zugriffsrechten, um sicherzustellen, dass die Zugriffsrechte stets aktuell und konform sind

Produktpflege

  • Bewirtschaftung der Berechtigungsobjekte im IAM-System (z.B. Webshop)
  • Pflege von Beschreibungen, Übersetzungen und Anleitungen

Applikationsmanagement

  • Aufschalten bzw. Rückbau von Anwendungen im IAM-System in Abstimmung mit Applikations- und Systemverantwortlichen
  • Verwaltung der Integration und Migration neuer Anwendungen, inklusive Import und Zuordnung von Berechtigungen

Änderungsanträge

  • Einholen von Feedback zu den durchgeführten Änderungsanträgen, um mögliche Verbesserungen oder Optimierungen zu identifizieren
  • Mitarbeit am Change-Management-Prozess für zukünftige Änderungsanträge im IAM-System

Aufgaben für Applikationsentwickler:innen

Die IT-Landschaft ist im ständigen Wandel und so muss auch ein IAM-System regelmässig erweitert, angepasst und aktualisiert werden. Dazu benötigt es Applikationsentwickler:innen, die sich um Themen wie Customizing und Weiterentwicklung der Applikation befassen. Die Abstimmung mit der IT-Abteilung und den Fachbereichen ist dabei eine zentrale Aufgabe, um alle Stakeholder abzuholen und eine effiziente Lösung anzustreben.

Anpassung und Weiterentwicklung

  • Anpassung der IAM-Plattform an die spezifischen Anforderungen des Unternehmens (Customizing)
  • Entwicklung neuer Funktionen und Erweiterungen, um den sich ändernden Anforderungen an das Identitäts- und Zugriffsmanagement gerecht zu werden
  • Entwicklung und Pflege von Schnittstellen zu angebundenen Systemen und Anwendungen

Automatisierung von Prozessen

  • Entwicklung und Implementierung automatisierter Workflows für die Zuweisung und den Entzug von Berechtigungen
  • Unterstützung bei der Automatisierung für Lifecycle-Management Prozesse

Fehlerbehebung und Wartung

  • Analyse und Behebung technischer Probleme im IAM-System
  • Wartung und Optimierung der Applikation

Zusammenarbeit mit anderen Teams

  • Enge Zusammenarbeit mit Systemadministrator:innen, Sicherheits- und Compliance-Teams sowie den Verantwortlichen für angebundene Applikationen
  • Abstimmung mit Fachbereichen, um sicherzustellen, dass die IAM-Lösungen den geschäftlichen Anforderungen entsprechen

Fazit

Ein IAM-System spielt eine zentrale Rolle in der IT-Infrastruktur moderner Unternehmen. Es trägt nicht nur zur Steigerung der Sicherheit bei, sondern fördert auch die Effizienz und Flexibilität. Das System ermöglicht eine klare und regelkonforme Verwaltung von Benutzeridentitäten und Zugriffsberechtigungen, was langfristig zu einer stabileren und sichereren IT-Umgebung führt.

Durch die Implementierung eines IAM-Systems können Unternehmen ihre Zugriffsrechte besser kontrollieren, interne Abläufe verbessern und gleichzeitig ihre Ziele in Bezug auf IT-Sicherheit und Compliance erfolgreich umsetzen.

Die IPG unterstützt Sie als führender IAM-Lösungsspezialist mit über 20 Jahren dedizierter Erfahrung. Unsere 360°-Expertise reicht von der Bedarfsermittlung und strategischen Positionierung über Prozessmodellierung und Fachberatung bis hin zur Auswahl des passenden IAM-Systems. Wir kümmern uns um die Implementierung und übernehmen den operativen Betrieb.

Optimieren Sie Ihr Berechtigungsmanagement und schaffen Sie klare Strukturen – gemeinsam entwickeln wir die passende Lösung für Ihre Anforderungen!

Blogbeitrag, wie Sie One Identity Safeguard und One Identity Manager verkuppeln
Blog 22.12.20

Administrationstiefe von IAM-Systemen

In unseren IAM-Projekten haben wir regelmäßig mit Prüferinnen und Prüfern der internen Revision zu tun. Insbesondere während der ersten Projektschritte ereilen uns immer wieder die Fragen: Woran erkenne ich denn jetzt im IAM-System, ob Herr Meier auf das Share XYZ Zugriff hat? Was sind aktuell seine wirksamen Berechtigungen?

Teaserbild Expertenbericht IAM zu FINMA Rundschreiben
Blog 23.10.23

IAM für Banken & Finanzinstitute in der Schweiz

Verlieren Sie keine Zeit: ✓Compliance ✓Sicherheit ✓Effizienz ✓Vertrauen! Jetzt handeln und mit der Einführung einer IAM-Software die Anforderungen des FINMA Rundschreiben 2023/1 erfüllen. ✅ Mehr dazu in unserem Blog.
Referenz 27.01.25

IAM-Transformation in der Praxis: SR Technics optimiert IT

IAM-Transformation in der Praxis. Wie SR Technics mit einer modernen IAM-Lösung Prozesse automatisiert, Compliance-Vorgaben erfüllt und Kosten senkt. Erfahren Sie mehr in der Success Story!

Titelbild zur Referenz IAM-Lösung, Unia
Referenz 30.09.20

UNIA

Die Einführung eines leistungsstarken IAM-Systems erlaubt es UNIA, organisatorische Abläufe zu zentralisieren und die Anforderungen an die Sicherheit und Compliance zu erfüllen.
Teaser KI IAM
Blog 21.03.22

Die schlaue Seite der Identity und Access Governance

Im Identity und Access Management beginnt die «Artificial Intelligence» Einzug zu halten. Als wertvolle Hilfe für Entscheider wird sie in diesem Bereich wohl bald nicht mehr wegzudenken sein.

Teaserbild nDSG CH
Blog 11.05.23

Neues Datenschutzgesetz – Schutz vor Sanktionen dank IAM

Ab September 2023 gilt in der Schweiz das totalrevidierte Datenschutzgesetz (nDSG). Was bedeutet es für Unternehmen und wie kann ein effektives IAM Unternehmen unterstützen, das neue Gesetz einzuhalten? Mit diesem Expertenbericht erhalten Sie einen detaillierten Überblick.
Blog 09.12.24

Smarte digitale Berechtigungskonzepte mit NEXIS 4.1

Digitale Berechtigungskonzepte sind der Schlüssel zu mehr IT-Sicherheit und Effizienz. Entdecken Sie, wie NEXIS 4.1 moderne Anforderungen erfüllt und Ihre Prozesse revolutioniert.
Teaserbild Expertenbericht IAM Brownfield
Blog 08.07.24

Der Brownfield-Ansatz im Identity and Access Management

Die Modernisierung veralteter IAM-Systeme ist essenziell für Cybersicherheit. Der Brownfield-Ansatz minimiert Risiken und senkt Kosten durch eine schrittweise Migration auf zeitgemäße Lösungen.

DORA 24 Teaserbild
Blog 10.07.24

DORA-Compliance: Was Finanzunternehmen jetzt wissen müssen

DORA und IAG: Wie Finanzinstitute die Anforderungen der neuen Verordnung erfüllen und die IT-Sicherheit verbessern können. Lesen Sie hier mehr.
Teaserbild Expertenbericht 360 Grad Assessment IAM
Blog 19.12.22

IAM-Projekt – 360 Grad Assessment

360° Assessment – wozu ein übergreifendes Assessment, wenn man «nur» ein IAM braucht? Unsere Fach-Expertin für IAM erläutert nun, wie wir in einem «360° Assessment» Unternehmen dabei unterstützen, erfolgreich ein IAM-Projekt zu etablieren. Mehr dazu in unserem Blog.
Teaserbild Managed Service IPG
Blog 16.01.25

IAM Managed Service: Der Schlüssel zur digitalen Sicherheit

Entdecken Sie die Vorteile von IAM Managed Services: umfassende Überwachung, schnelle Fehlerbehebung und transparente Kostenstruktur für maximale Sicherheit und Effizienz im Unternehmen. Lesen Sie hier mehr.
GARANCY ist ein IAM Produkt mit vielfältigen Möglichkeiten
Blog 09.09.20

GARANCY – vielfältigen IAM-Möglichkeiten

Die GARANCY IAM Suite stellt eine dynamische Lösung zur Verfügung, um Datendiebstählen vorzubeugen.

Teaserbild Rollenmodellierung PAM IPG
Blog 23.01.23

Toolunterstützung im Role Mining und in der Rollenbildung

Durch den Einsatz des richtigen Werkzeuges lassen sich bei der Geschäftsrollenbildung nicht nur ein schlankes und effizientes Vorgehen realisieren, sondern auch eine hohe Akzeptanz in den Fachbereichen und der IT erzielen.
Teaserbild IAM Prozess Expertenbericht
Blog 12.12.22

IAM-Prozesse – Betrachtungswinkel und Prozesssichtweisen

Die Einführung einer IAM-Lösung in einem Unternehmen zieht Änderungen in Arbeitsabläufen nach sich. Die Erhebung und Modellierung der IAM-Prozesse sind essenzielle Schritte zum Verständnis und der Akzeptanz der Lösung in der Organisation. Lesen mehr dazu in unserem Blog.
Übersicht

IAM Managed Service

Vereinfachen Sie Ihr IAM-Management mit den Managed Services von IPG. Maximale Sicherheit, Compliance und Effizienz – ohne zusätzlichen Aufwand
Teaserbild IAM Experte Identity Provider
Blog 02.12.22

Identity Provider – ein Schlüssel für viele Schlösser

Viele Unternehmen sind bestrebt, Anmeldeprozesse zu vereinheitlichen bzw. zu vereinfachen. Ist es möglich, mit einem einzigen Identity Provider (IdP) sowohl interne als auch externe Web-Anwendungen zu betreiben? Unsere Kollegen Jan Weiberg & Sorush S.Torshizi geben Einblick in ein Kundenprojekt.

Teaserbild Referenz IAM Kritikalität
Blog 07.03.23

Kritikalität im IAM

Jede Person im Unternehmen, mit Zugriff auf ein IT-System, stellt ein mögliches Sicherheitsrisiko dar. Ein Leitfaden für die Bewertung und Handhabung von kritischen Zugriffen gibt es in unserem aktuellen Blogbeitrag.
Teaserbild KPT Referenz IAM
Referenz 13.11.23

Effizientes IAM für Cloud-Systeme bei der KPT

Mit einer neuen IAM-Lösung behält KPT die Kontrolle über Benutzerkonten und Berechtigungen, um einen effizienten und sicheren Betrieb ihrer Cloud-Systeme zu gewährleisten. ✅ Lesen Sie mehr dazu.
DSC
Referenz 15.12.23

IAM als digitales Immunsystem der Spital Thurgau AG

Die IPG gestaltet mit One Identity Manager eine flexible, sichere Lösung, die Zutrittsrechte, Programme und Datenbanken automatisiert verwaltet. Die Implementierung sichert eine skalierbare IAM-Lösung für die stetig wandelnden Anforderungen der Spital Thurgau AG.
Teaserbild_Expertenbericht_DORA_IAM
Blog 02.10.23

DORA: Stärkung der Resilienz im europäischen Finanzwesen

Sichere Einhaltung der Digitalen Betriebs Resilienz-Verordnung (DORA) der EU: Wir unterstützen Unternehmen im Finanzsektor mit geeigneter IAM-Strategie die Richtlinien einzuhalten. ✅ Mehr dazu in unserem Blog.