In unserem Blogartikel „Weshalb Sie eine Identity-&-Access-Management-Lösung benötigen“ haben wir drei Arten von Herausforderungen identifiziert: Effizienz und Kostensenkung, Compliance-Vorgaben durch Gesetze und Rechtsvorschriften, sowie Schutz vor Cybercrime und Datenlecks. Dabei haben wir gezeigt, wie mittels User-Provisioning-Technologie ca. 80 % des Anwender- und Berechtigungsmanagements automatisiert werden können. Aber was ist mit dem Rest? Und wie managen Sie externe Mitarbeiter, die im Quellsystem gar nicht vorkommen? In diesem Blogbeitrag beschreiben wir, wie die Service Automation als spezifische IAM-Technologie Unternehmen bei diesen und weiteren Herausforderungen unterstützt.
Ein Schritt höher mit Service Automation
Eine IAM-Strategie kann sinnvoll sein, wenn das Management von Nutzern, Berechtigungen und Systemzugängen in einem Unternehmen bisher manuell erfolgt. So führt Identity & Access Management zu Effizienz und Kostensenkungen, dem Erfüllen von rechtlichen Compliance-Vorgaben und bietet Schutz vor Cybercrime und Datenlecks. Dazu werden die drei IAM-Technologien User Provisioning, Service Automation und Access Management genutzt. Für jede dieser drei Funktionalitäten erläutern wir in einem Blogartikel, wie sie die Probleme der manuellen Benutzerverwaltung lösen kann – heute für die Service Automation.
Service Automation
Ein automatisierter Prozess des User Provisionings, der auf einem Quellsystem basiert, kann viel, aber leider nicht die gesamte Nutzer- und Berechtigungsverwaltung automatisieren. Wenn sich der Aufgabenbereich eines Mitarbeiters ändert, lässt sich das im HR-System abbilden – die temporäre Einbindung in eine Arbeitsgruppe aber häufig nicht, für die vorübergehende Zugriffsrechte auf Ordner, Anwendungen oder E-Mails erforderlich sind. Gleiches gilt für „zufällige“ oder willkürliche Ereignisse wie z. B. vergessene Passwörter.
Ohne Service Automation müssen solche Situationen vom Helpdesk-Personal oder von Administratoren manuell behandelt werden. Zugleich wissen Mitarbeiter oft nicht, an wen sie sich wenden sollen, oder warten noch auf die Genehmigung durch den Vorgesetzten. Und solange sie warten, sind sie unproduktiv. Aber auch wenn Prozesse schon klar definiert sind und reibungslos funktionieren, dann sind immer noch rechtliche Vorgaben zu erfüllen und gegenüber den Behörden nachzuweisen.
Kurz gesagt ermöglicht Service Automation die Automatisierung von allem, was sich nicht (effizient) auf Grundlage des Quellsystems automatisieren lässt – das heißt, die verbleibenden 20 % der Nutzer- und Berechtigungsverwaltung. Die Service Automation bringt Mensch und Technologie zusammen, indem komplexere Aufgaben auf einfache, kontrollierte und einheitliche Weise ausgeführt werden können. So werden Benutzerfreundlichkeit, Produktivität und Reporting verbessert, Fehler minimiert und unnötige Kosten vermieden. Das Paradebeispiel für angewendete Service Automation sind Self-Service-Anwendungen, aber auch die Helpdesk-Delegierung zählt zu dieser IAM-Technologie. Auch wenn der Begriff nicht sonderlich bekannt ist, ist Service Automation häufig der erste Schritt bei der Einführung einer neuen Technologie in Ihrer Organisation.
Helpdesk-Delegierung
Traditionell haben Helpdesk-Mitarbeiter umfassende Administratorenrechte für Anwendungen wie Active Directory Users & Computers (ADUC). Dadurch entstehen allerdings zahlreiche Sicherheitsrisiken, denn wenn ein Helpdesk-Mitarbeiter berechtigt ist, Anwenderpasswörter zurückzusetzen, dann kann er auch das Passwort eines Geschäftsführers ändern, neue Benutzerkonten anlegen oder sogar das gesamte Active Directory löschen. Unrealistisch? Nein, wie wir von unseren Kunden wissen. Außerdem ist es wichtig, dass jede Änderung protokolliert wird, sodass man immer weiß, wer was gemacht hat und weshalb. Diese Protokollierung erfolgt leider in vielen Systemen nicht standardmäßig, sodass Sie darauf angewiesen sind, dass Helpdesk-Mitarbeiter daran denken.
Die Helpdesk-Delegierung erlaubt es, Helpdesk-Mitarbeitern (die nicht oder nur teilweise ausgebildet sind) sowie Key-Usern Übertragungsformulare zur Verfügung zu stellen. Mit Key-Usern meinen wir Mitarbeiter, die auf diese Weise genau die Berechtigungen erhalten, die sie für die Unterstützung ihrer Kollegen benötigen. Ein solches Formular kann IT-Aufgaben beinhalten, wie z. B. das Erstellen von Benutzerkonten, das Erteilen oder Entziehen von Zugriffsrechten oder das Zurücksetzen von Passwörtern. Damit können Mitarbeiter bestimmte, ihnen zugewiesene Helpdesk-Aufgaben ausführen, ohne dass sie Administratorenrechte in den entsprechenden Systemen haben müssen. Auch innerhalb der Formulare kann anhand von Berechtigungen abgestuft werden. So kann ein Junior-Systemmanager ggf. berechtigt sein, Passwörter zurückzusetzen, jedoch nicht solche von Vorgesetzten oder Mitgliedern der Geschäftsleitung. Oder der Delegierte darf Zugriffsrechte vergeben, wobei für Rechte mit hohem Risiko jedoch die Freigabe des jeweiligen Ressourcenverantwortlichen erforderlich ist.
Die Helpdesk-Delegierung bietet zunächst eine benutzerfreundliche, intuitive Bedienoberfläche mit zahlreichen Optionen zur Rechteverwaltung, aber vor allem viel Sicherheit. Nämlich die Sicherheit, dass Änderungen stets einheitlich erfolgen. Und die Sicherheit, dass stets ein Audit-Trail vorhanden ist, der sogar automatisch im verwendeten IT-Service-Management verwaltet werden kann, wie z. B. TOPdesk.
Meist wissen die Mitarbeiter doch selbst am besten, was sie zum effizienten Arbeiten brauchen. Besser als ihre Vorgesetzten oder als die IT-Abteilung. Es reicht aus, wenn die Vorgesetzten entscheiden, ob jemand eine bestimmte Berechtigung erhalten darf, wobei die endgültige Entscheidung natürlich oft von Experten, d. h. Administratoren oder Lizenzverantwortlichen getroffen wird. Die meisten Anfragen beim Helpdesk ähneln einander sehr: Passwörter zurücksetzen, Benutzerkonten entsperren, Berechtigungen anpassen. Das sind keine Herausforderungen für die IT, sondern Standardaufgaben, die wertvolle Ressourcen binden. Durch die Helpdesk-Delegierung werden die IT-Mitarbeiter von diesen repetitiven, simplen Aufgaben entlastet, während die oben genannten Personen in einer jeweils eigenen Ansicht IT-bezogene Aufgaben für sich selbst, ihr Team oder ihre Ressourcen erledigen können.
Self-Service-Administration
Mittels Self-Service werden Tätigkeiten, die bisher von der IT-Abteilung erledigt wurden, in das Unternehmen selbst verlagert. Nicht nur der Helpdesk, sondern auch die Ressourcenverantwortlichen erhalten einen IT-Zugangspunkt. Ressourcenverantwortliche sind meist (Anwendungs-)Administratoren oder Lizenzmanager, die für ein bestimmtes System, eine Anwendung oder einen Ordner verantwortlich sind. Dank Service Automation haben sie einen klaren Überblick über alle Benutzer, die Zugriff auf ihre Ressourcen haben, und können auf einfache Weise Zugriff gewähren oder entziehen. Und sie sehen, wer welche Lizenzen nutzt und ob noch ausreichend Lizenzen vorhanden sind.
Manager-Self-Service
Die Delegierung an Vorgesetzte (Manager) ist der nächste Schritt. Aus technischer Sicht ist dieser Schritt einfach, denn die Formulare und Aktionen sind bereits für die Mitarbeiter des Service-Desk und die Ressourcenverantwortlichen definiert. Für das Unternehmen ist der Schritt allerdings sehr bedeutsam, weil mehr Mitarbeiter mit der Service-Automation-Lösung in Berührung kommen. Vorgesetzte haben dann direkt einen Überblick, welche Mitarbeiter welche Zugriffsrechte haben und welche Lizenzen sie nutzen. So erhalten die Manager eine Art „IT-Fußabdruck“ ihrer Abteilung, anhand dessen sie Kosten senken können. Außerdem hat der oder die Vorgesetzte selbst die Möglichkeit, Mitarbeitern Berechtigungen zu erteilen bzw. zu entziehen – der umständliche Prozess über Service-Tickets und IT-Mitarbeiter entfällt.
Mitarbeiter-Self-Service
Der ultimative Self-Service-Schritt ist die Delegierung an den Endanwender. In einem Self-Service-Katalog können diese auf einfache Weise zusätzliche Berechtigungen für den Zugriff auf Anwendungen, Ordner oder E-Mails beantragen. Um zu verhindern, dass Endanwender falsche oder zu viele Berechtigungen erhalten, erfolgt vorab noch eine Freigabe durch den jeweiligen Vorgesetzten. Über eine solche Freigabe können Vorgesetzte oder Lizenzverantwortliche viel besser entscheiden als ein IT-Mitarbeiter. Nach der Bewilligung sorgt die Service-Automation-Lösung dafür, dass die Änderungen automatisch durchgeführt werden.
Service Automation ist standardmäßig perfekt geeignet, um Zugriffsanfragen für Systeme, Anwendungen und Ordner zu verwalten. Diese IAM-Funktion bietet aber auch die Möglichkeit, durch kontrollierte Anpassungen komplexe, organisationsspezifische Vorgänge und Prozesse zu automatisieren, wie zum Beispiel das Erstellen und Verlängern von Gast-Benutzerkonten, die Einrichtung einer Datenschutzzustimmung vor der Aktivierung eines Kontos oder der gesamte Vorgang der Beantragung von Betriebsmitteln einschließlich der digitalen Unterzeichnung von temporären Nutzungsvereinbarungen für diese Betriebsmittel. Wie bei allen Konnektoren für das User Provisioning besteht die einzige Einschränkung darin, dass ein Verknüpfungspunkt zum System vorhanden sein muss, in dem die Änderungen durchgeführt werden sollen. Und natürlich bei Ihrem eigenen Vorstellungsvermögen.
Workflows
Was im Rollenmodell die „Role Based Access Control“ (rollenbasierte Zugriffskontrolle, RBAC) ist, wird beim Self-Service als „Claim Based Access Control“ (anfragebasierte Zugriffskontrolle, CBAC) bezeichnet. Das bedeutet natürlich nicht, dass jeder Mitarbeiter per Anfrage jegliche Berechtigungen erhalten kann. Für teure und spezialisierte Anwendungen wie Microsoft Visio oder Adobe Photoshop bietet sich beispielsweise eine selektive Vergabe an, und beim Zugriff auf einen Netzwerkordner der Personalabteilung spielen vor allem die Aspekte Datenschutz und Sicherheitsrisiken eine Rolle. Verschiedene Anfragen erfordern verschiedene Einschätzungen durch unterschiedliche Personen. Eine Service-Automation-Lösung muss diese unterschiedlichen Anfrage- und Freigabeszenarien abdecken können.
Manueller Anfrage- und Freigabeprozess
Ohne Service Automation kommen Benutzeranfragen über unterschiedliche Kanäle, z. B. per Telefon, E-Mail oder Serviceticket. Die IT-Mitarbeiter nutzen anschließend dieselbe Vielfalt an Kanälen für die Freigabe, und genehmigte Änderungen werden manuell in den betreffenden Systemen und Anwendungen ausgeführt. Zuletzt muss noch protokolliert werden, welche Tätigkeiten erfolgt sind.
Anfrage und Freigabe mittels Service Automation
Es ist offensichtlich, dass von der Anfrage bis zur Umsetzung einige manuelle Schritte erledigt werden müssen. Die Service Automation macht diese Prozesse mithilfe sogenannter Workflows wesentlich schneller und effizienter. In einem Workflow ist definiert, ob eine Anfrage automatisch bewilligt werden darf oder zunächst geprüft werden muss. Ein Beispiel: Der Zugriff auf Microsoft Visio wird automatisch genehmigt, aber für den Zugriff auf einen Ordner mit personenbezogenen Daten ist die Freigabe durch einen Vorgesetzten sowie den zuständigen Abteilungsleiter erforderlich. Sobald eine Anfrage eines Mitarbeiters eingeht, werden die Personen, die die Freigabe erteilen müssen, automatisch benachrichtigt und können die Anfrage per Knopfdruck bestätigen oder ablehnen. Wenn alle definierten Freigaben erteilt wurden, erfolgt eine automatische Verarbeitung durch die Lösung.
Automatisches Widerrufen von Berechtigungen
Hier endet die Reise jedoch nicht. Was ist, wenn der Anfragende die Berechtigungen nicht mehr benötigt? Berechtigungen, die unverzichtbar für seine Rolle sind, hätte er oder sie bereits im Rahmen des User Provisioning erhalten. Bei solchen Anfragen handelt es sich daher häufig um temporäre Rechteausweitungen. Eine unnötig vergebene Nutzerlizenz für Microsoft Visio kostet das Unternehmen aber beispielsweise viel Geld, während es dem Mitarbeiter relativ egal sein kann, ob er oder sie dieses Zugriffsrecht gerade hat.
Wie wir sehen, ist die Motivation für Mitarbeiter, ein Zugriffsrecht wieder zurückzugeben, eher gering. Dieses nachvollziehbare Verhalten läuft allerdings dem Sicherheitsprinzip der minimalen Rechte zuwider, demzufolge Benutzer nur die Rechte haben sollten, die sie für ihre Aufgaben tatsächlich benötigen. Ein häufig unterschätzter Aspekt der Service Automation ist daher auch die Möglichkeit der Kontrolle, dass Berechtigungen nur temporär erteilt werden. So lässt sich in einem Workflow eine maximale Laufzeit einrichten. Innerhalb dieser Periode können Mitarbeiter selbst auswählen, wie lange sie ein Self-Service-Produkt benötigen. Mit diesem Mechanismus ist sichergestellt, dass jede Gewährung von Rechten immer auch wieder auf automatische Weise beendet wird, und die oben beschriebene, unerwünschte Anhäufung von Berechtigungen wird kontrolliert vermieden.
Auditfähigkeit
Unternehmen müssen belegen können, dass ihre Prozesse den maßgeblichen Gesetzen und Vorschriften genügen, und sie müssen nachweisen können, wer welche Tätigkeiten ausgeführt hat. Protokollierung und Reporting sind daher von grundlegender Bedeutung für alle Prozesse im Benutzer-, Berechtigungs- und Zugangsmanagement.
Ohne Service Automation ist es besonders herausfordernd, Protokollierung und Reporting für optionale, aufgabenspezifisch zugewiesene Berechtigungen umzusetzen. Mit einer Service-Automation-Lösung wird es hingegen plötzlich sehr einfach. Dabei kann ein Helpdesk-Mitarbeiter mittels Helpdesk-Delegierung arbeiten, oder ein Beschäftigter selbst mittels Self-Service. Ungeachtet des Workflows ist stets sichergestellt, dass alle Anfragen, Freigaben, ausgeführten Aktionen usw. stets automatisch umgesetzt und protokolliert werden. Bei einer manuellen Ausführung, wie z. B. in ADUC, fehlt die Protokollierung hingegen oft oder ist über verschiedene Systeme und Anwendungen verteilt. Oder die Protokollierung stellt selbst einen manuellen Vorgang dar, wie z. B. in ITSM-Anwendungen wie TOPdesk oder ServiceNow. Das ist ein Problem, denn viele Datenlecks sind auf (unbewusste) interne Fehler zurückzuführen, und eine manuelle Protokollierung gilt bestenfalls als notwendiges Übel.
Das spricht jedoch keinesfalls gegen ITSM-Lösungen wie TOPdesk, Ultimo, Zendesk oder ServiceNow. Ganz im Gegenteil, denn wo diese in vielen Unternehmen der Ausgangspunkt für Anfragen in Bezug auf Benutzerkonten oder Berechtigungen waren, sind sie dort nun zum Endpunkt geworden. Die Workflows sind, ebenso wie die Umsetzung, in die Service Automation integriert. Wenn jedoch trotzdem noch eine manuelle Handlung erforderlich ist, beispielsweise zum Erteilen von Rechten in nicht verknüpften Anwendungen oder für die Ausgabe von Tokens, dann wird dies als Änderungsanfrage im ITSM erledigt. Da jeder Workflow im Geschäftsberichtswesen mitprotokolliert wird, können Anwendungen wie TOPdesk vollständige strategische Informationen über die Performance des Service Desk liefern und zugleich Einblicke in Produktivitätsgewinne bieten. Vor Beginn einer Implementierung empfehlen wir stets, die 10 zentralen Aufgaben Ihrer Service-Desk-Anwendung zu identifizieren, um zu bestimmen, welche Ziele sich per Service Automation mit vergleichsweise wenig Aufwand erreichen lassen.
Fazit
Eine Service-Automation-Lösung ermöglicht die Einrichtung vorgegebener, einheitlicher Prozesse für diverse Anfrage- und Freigabeszenarien, wobei alle Aktivitäten protokolliert werden. Damit weisen Sie zugleich auch nach, dass alle geltenden Vorgaben zur Informationssicherheit eingehalten werden. Über eine benutzerfreundliche Oberfläche können Mitarbeiter ihre IT-Probleme selbst verwalten, und Vorgesetzte, Administratoren und weitere Ressourcenverantwortliche entsprechende Anfragen per Mausklick bestätigen oder ablehnen. Als direkte Konsequenz sinkt die Arbeitslast für den IT-Helpdesk, und die Servicemitarbeiter können sich sinnvolleren, komplexen Aufgaben widmen. Mit Service-Automation-Technologie schaffen Unternehmen einen Anfrage- und Freigabeprozess, der effizienter, wirksamer und sicherer ist – also drei Vorteile zugleich bietet.
Geschrieben von:
Ali Özdogan
Senior Consultant IAM/SAP & HelloID
Ali Özdogan ist als Senior Consultant IAM/SAP seit mehr als 10 Jahren fester Bestandteil von Tools4ever. Er studierte Computer Engineering an der Galatasaray University in Istanbul und später an der RWTH in Aachen und ist unser Spezialist für Cloud-Access-Management mit HelloID.