Eine sorgsame Berechtigungsverwaltung ist ein wesentlicher Bestandteil der IT-Sicherheit. Zur Ablöse einer Legacy-Berechtigungsvergabeanwendung durch ein modernes, ganzheitliches Identity Management Systems (IDM) holte sich die Niederösterreichische Landesverwaltung die IPG als Expertin in diesem Bereich an Bord.
Datum
20.02.2023
Dieser Beitrag wurde verfasst von:
Wie aus einem Oldtimer ein moderner Sportwagen wird
Die Geschichte einer Verjüngungskur für eine in die Jahre gekommene Zugriffs- und Berechtigungsverwaltung
Auftrag und Zielsetzung
Transparenz, Effizienz, Sicherheit
169 Organisationseinheiten, weit über 61 000 bestellbare Produkte im Webshop, 12 500 primäre Identitäten und rund 2 Mio. Produktzuweisungen – in der Niederösterreichischen Landesverwaltung sind durch die hohe Anzahl unterschiedlicher im Einsatz befindlicher Softwareprodukte und einer feingranularen Rechtevergabe, eine enorme Anzahl individueller Zugriffsrechte zu verwalten. Dies erfolgte bislang auf unterschiedliche Weise und teilweise dezentral: Während in den Bezirksverwaltungsbehörden eine selbst entwickelte Lösung im Einsatz war, wurden in anderen Bereichen die Berechtigungen manuell vergeben und dokumentiert. Gefragt war eine ganzheitliche IDM-Lösung, welche die vorhandenen Systeme bzw. die bisherigen Standardprozesse ablöst, damit die Zugriffsrechte künftig sicher, effizient und nachvollziehbar über eine einzige Stelle verwaltet werden können.
Mittels offizieller Ausschreibung nach österreichischem Bundesvergabegesetz wurde die IPG als geeignete Partnerin mit dem passenden Produkt, Service und Know-how evaluiert. Anfang 2018 fiel der Startschuss für das Projekt und bis September 2021 war die Umstellung erfolgreich in der gesamten Verwaltung abgeschlossen.
Vorgehen und Methodik
IDM als Zentrum neuer Prozesse
In einer Vorprojektphase erarbeitete man bei der NÖ Landesverwaltung ein Pflichtenheft mit den wichtigsten Anforderungen. Dazu gehörten die Verkürzung der Durchlaufzeiten von Anträgen auf Berechtigungszuweisungen, die Schaffung von Transparenz bezüglich bestehender Zugriffsrechte, deren lückenlose Löschung, bspw. bei Versetzungen und Beendigung des Dienstverhältnisses, sowie die Einführung eines Berichtwesens. Zusätzlich zur Umsetzung sollte das System auch vom Partner betrieben werden.
Nach dem Zuschlag haben die Verantwortlichen bei der NÖ Landesverwaltung und der IPG das Konzept konkretisiert und in enger Zusammenarbeit sämtliche Detailspezifikationen erarbeitet. Es galt, die Anforderungen bestmöglich im Produkt umzusetzen. Das neue IDM sollte so nahe wie möglich am Standard bleiben, damit Updates auch in Zukunft reibungslos durchgeführt werden können – schliesslich ist es der zentrale Dreh- und Angelpunkt jeder neuen Anwendung, die in Betrieb genommen wird.
Die Einführung erfolgte sowohl technisch als auch organisatorisch in zwei Schritten: Zuerst wurde 2020 die Eigenlösung in den Bezirksverwaltungsbehörden durch das neue, viel umfassendere IDM ersetzt. Im September 2021 folgte die zentrale Verwaltung (Amt der NÖ Landesregierung) und der Automatisierungsgrad wurde durch Systemanbindungen an das IDM wesentlich erhöht.
Herausforderungen
Harmonisierung und Zentralisierung der Zugriffsverwaltung
Die Grösse der Organisation, die vielen im Einsatz stehenden Softwareanwendungen und die über Jahrzehnte gewachsenen Prozesse führten zu einer beträchtlichen Menge an Rechten und Rollen. Das dynamische Umfeld einer Verwaltung mit stetigen Personalwechseln und internen Veränderungen spiegelt sich naturgemäss in den häufigen Anpassungen der Berechtigungen für IT-Systeme wider. Es galt, die unterschiedlichen Organisationseinheiten, Produkte, Grade und Rollen prozessual und technisch zu harmonisieren. Die regionale Gliederung und die sich daraus ergebenden Zuständigkeiten machten den Berechtigungs- und Rollenaufbau sowie die Abbildung der bestellbaren Produkte äusserst komplex. Die Umstellung erforderte die Bereitschaft aller Administratoren und 100 Dienststellenleitungen, sich mit der Lösung intensiv auseinanderzusetzen und sich auf das neue Rollenkonzept – trotz pandemiebedingter neuer Herausforderungen für die NÖ Landesverwaltung – einzulassen.
Ergebnis
- Zentrale Vergabe und Mutation von Rechten
- Überblick über die Rechte und Rollen jeder einzelnen Person per Knopfdruck
- Zentrale Lösung in hoher Qualität ohne Sonder- oder Ausnahmeregelungen
- Effizientere Arbeitsabläufe dank standardisierter, gut verständlicher Prozesse
- Qualitätssteigerung dank zertifizierter Berechtigungsvergabe
- Reduktion des personellen Aufwands
- Eliminierung von Fehlerquellen und Sicherheitslücken
- Umfassende Kontrolle aller Zugriffe auf Daten und Systeme
- Verbesserte Datenqualität
- Hohe Akzeptanz der Lösung bei allen Beteiligten
Ausblick
Die Weiterentwicklung des Systems zur Steigerung des Automatisierungsgrads soll 2023 gemeinsam mit der IPG erhöht werden.
Kundenstimme von NÖL
Die Grösse der Organisation und die enorme Vielfalt und Anzahl an Rechten, Produkten und regionalen Zuständigkeiten stellten hohe Ansprüche an das gesamte Team auf beiden Seiten. Auch während herausfordernden Phasen war die Zusammenarbeit mit IPG immer ausgezeichnet, die Projektleiter und Projektleiterinnen begegneten sich stets auf Augenhöhe. Die Leistungsbereitschaft des Teams der IPG war grossartig und hat zum Gelingen des Projektes sehr viel beigetragen. Das IDM erfährt mittlerweile grosse Akzeptanz bei allen Zuständigen innerhalb der NÖ Landesverwaltung, heute laufen sämtliche Freigaben zentral über das neue System.
Mag. P. Stummer Leiterin Bereich InformationstechnologieAmt der NÖ LandesregierungIPG Expertenstimme
Die NÖ Landesverwaltung stand vor der Herausforderung, ihre Identity- und Access-Management-Initiativen einen grossen Schritt weiterzubringen. Dazu wurde ihre Legacy-Lösung mit einer umfangreichen Standard-IDM-Anwendung ersetzt. Die Implementierung brachte sofort signifikante Verbesserungen durch die Verkürzung der Zeiten bei Berechtigungsvergaben. Berechtigungstransparenz konnte geschaffen werden. Die Ergebnisse bilden eine solide Grundlage für eine rasche Umsetzung weiterer IDM-Vorhaben, um einen hohen Sicherheitsstandard zu bewahren.
Sabine LukasTeamleader Technical Consulting ATIPGÜber die NÖ Landesverwaltung
Die Landesverwaltung des Bundeslandes Niederösterreich setzt sich zusammen aus der NÖ Landesregierung und dem Amt der NÖ Landesregierung im Landhaus St. Pölten, sowie den 24 regionalen Bezirksverwaltungsbehörden.