zum Inhalt springen
Kontakt

Hast du die Berechtigungen der Mitarbeiter im Griff?

Adrian Jöri
gezeichnete Geschäftspersonen

Viele dieser Fragen können in Unternehmen nicht beantwortet werden. Die Berechtigungsstrukturen von Fileservern oder Applikationen sind historisch gewachsen und in den meisten Fällen unstrukturiert und unübersichtlich. Es werden laufend neue Gruppen in Active Directory erstellt und die Verwaltung dieser wird zeitaufwendiger und immer schwieriger. Welche Gruppe beinhaltet nun welche Berechtigungen? Als System Engineer habe ich die Verantwortlichkeit die Berechtigungen und Zugriffe transparent und technisch korrekt zu implementieren. Doch ist es mir nicht möglich zu beurteilen, ob Hans Muster aus der Buchhaltung auf die Marketing Daten oder auf Dokumente der Management Stufe zugreifen darf. Die Haupt-Problemfelder, in denen Mitarbeiter falsche Berechtigungen erhalten, sind gemäss meiner Erfahrung der Benutzer Eintritt und der interne Abteilungswechsel eines Mitarbeiters.

Eine Möglichkeit die Probleme mit den Mitarbeiterberechtigungen anzugehen ist das Role Based Access Model (RBAC), welches bereits 1970 thematisiert wurde aber bei klein und mittleren Unternehmen selten verwendet wird. Der zentrale Punkt von RBAC ist, dass Berechtigungen mit der Rolle verknüpft (Mitglied von) und die Mitarbeiter zu der Rolle hinzugefügt werden (Mitglieder). So werden Rollen für die unterschiedlichen Aufgaben im Unternehmen erstellt und die Benutzer aufgrund ihrer Verantwortlichkeiten und Qualifikationen den Rollen zugewiesen. Dabei hat eine Rolle zwei wichtige Eigenschaften:

  1. Die Berechtigungen und Mitglieder müssen einfach ermittelt werden können
  2. Die Kontrolle der Berechtigungen und der Mitglieder sollte auf wenige Mitarbeiter beschränkt werden

Das RBAC Modell wurde seit der Entwicklung in verschiedenen Variationen und Ausprägungen beschrieben. In diesem Blog wird aber nur auf einige zentrale Punkte für ein kleines und mittleres Unternehmen eingegangen.

Praxis

Nachfolgend wird ein einfaches Beispiel aus der Praxis mit den Active Directory Services von Microsoft näher beschrieben:

Hans Muster ist ein externer Consultant und muss regelmässig von extern auf die Unternehmensdaten zugreifen.

RBAC

 

Hans Muster ist durch die Implemetierung des RBAC Models lediglich Mitglied der  „Gruppe RollenGruppe_CitrixConsultant“. Die Mitglieder der Gruppe „RollenGruppe_CitrixConsultant“ können von der Personalabteilung oder einer verantwortlichen Person – ohne technisches Verstädnis – kontrolliert und vergeben werden. Wechselt Hans Muster die Abteilung so kann er aus der Rolle „RollenGruppe_CitrixConsultant“ entfernt und einer neuen Rolle zugewiesen werden.

Einige Leser werden nun sagen, dass das soeben vorgestellte RBAC Model nur eine Verschachtelung von Gruppen ist. Doch dieses Argument greift zu kurz. Durch das RBAC Modell lässt sich die Sicherheit, Dokumentation und Auditfähigkeit in einem Unternhemen verbessern. Diese Vorteile haben dazu geführt, dass bereits 2010 50% der Mitarbeiterberechtigungen mit einem RBAC Model erteilt wurden.

Fazit

Das RBAC Model kann nicht sämtliche individuellen Berechtigungen ersetzen. Es kann aber dabei helfen Transparenz im Berechtigungskonzept des Unternehmens zu schaffen.
Die am Anfang gestellten Fragen können durch die Einführung eines RBAC Modells positiv beantwortet werden. Der Eintrittsprozess kann durch das RBAC Modell erheblich vereinfacht werden. Selbst der Wechsel der Abteilung innerhalb der Firma kann so einfach abgewickelt werden. Zusätzlich können die Rollen laufend von der Personalabteilung oder der verantwortlichen Person aus der Linie kontrolliert werden. So wird sichergestellt, dass falsche Mutationen umgehend bemerkt und korrigiert werden.