ERM-ID - Erweiterte Rollenmodelle aus Ist-Daten

ERM-ID ist ein Projekt zur Entwicklung praxisorientierter, algorithmischer Verfahren und eines Software-Prototypen für die automatische Generierung von rollenbasierten Berechtigungsmodellen aus den Ist-Daten vorhandener Systeme.

Situation

Aus langjähriger Erfahrung in verschiedenen Beratungsprojekten bei kleinen und großen Unternehmen zeigt sich ein desaströses Bild in Bezug auf die Verwaltung von Benutzern und Berechtigungen. Es existiert üblicherweise kein festgelegtes Berechtigungskonzept, Berechtigungen werden auf Zuruf vergeben, Zugriffsrechte und Benutzerkonten eines Mitarbeiters werden bei Wechsel der Abteilung oder Ausscheiden aus dem Unternehmen nicht gelöscht. Für verschiedene Systeme gibt es unterschiedliche Administratorenteams, die sich oft nur ungenügend abstimmen, so dass Sicherheitslücken durch überzählige Berechtigungen entstehen können.

Der Ruf von Datenschützern, Geschäftsführern, Administratoren und Mitarbeitern nach einem geregelten, überschaubaren und nachvollziehbaren Berechtigungsmanagement wird immer lauter. Unternehmen beginnen daher, über Lösungen zur zentralen Benutzerverwaltung nachzudenken.

Für die Abbildung der Benutzerberechtigungen haben sich rollenbasierte (RBAC-)Berechtigungsmodelle durchgesetzt. Mit Hilfe von Rollen können organisatorische Berechtigungen ideal abgebildet werden. Außerdem unterstützen RBAC-Modelle zusätzliche Bedingungen wie Ausschlüsse von Berechtigungen, die z.B. für die Erfüllung gesetzlicher Vorgaben notwendig sind (Compliance-Anforderungen).

Mit Hilfe von Projekten zum sog. Identitätsmanagement (IdM) wird versucht, eine zentrale, rollenbasierte Berechtigungsverwaltung einzuführen.

Probleme

Im Rahmen unserer Beratungs- und Implementierungstätigkeiten in Unternehmen stoßen wir häufig auf Probleme und Vorbehalte, Anwendungen zur Berechtigungsverwaltung einzuführen. Die Einführung solcher Systeme gilt als zu komplex, zeitaufwendig und daher zu teuer.

Kernproblem ist dabei die Konvertierung der vorhandenen Benutzerberechtigungen zu Rollenmodellen, wie sie für IdM-Systeme benötigt werden. Da es hier kein automatisiertes Verfahren gibt, müssen aufwendige Prozesse zur Analyse der fachlichen Berechtigungen durchgeführt werden, die dann in Rollenmodellen abgebildet werden. Hierbei entstehen hohe Beratungskosten, die vor allem von KMUs nicht zu finanzieren sind.

Wenn sich Unternehmen trotz der Vorbehalte entschließen, ein IdM-System einzuführen, wird die Rollenmodellierung oft nicht als Bestandteil des Einführungsprojekts konzipiert, um die initialen Kosten zu reduzieren. Das System wird dann mit oberflächlichen, einfachen Modellen eingeführt, die nicht den Anforderungen des Unternehmens entsprechen und somit Sicherheitsprobleme aufweisen. Die genaue Definition der Rollen soll dann im laufenden Betrieb nachgeholt werden, wozu es aus Kapazitätsgründen und unter den Belastungen des Tagesgeschäfts nicht mehr kommt. Diese Praxis führt dann dazu, dass der ursprünglich erwartete Nutzen nicht eintritt und das IdM-Werkzeug später als Fehlinvestition eingeschätzt wird.

Lösung

Mit Hilfe von ERM-ID können rollenbasierte Berechtigungsmodelle aus den vorhandenen Berechtigungen eines Systems erstellt und an IdM-Systeme wie Parks Security Management (PSM) übergeben werden.

Die Verfahren, die im Projekt entwickelt werden sollen, analysieren die vorhandenen Berechtigungen und erstellen Vorschläge für Rollen, die dann geprüft und in die IdM-Systeme übernommen werden können.

Da Administratoren die Berechtigungen üblicherweise ad hoc und nach informellen Richtlinien vergeben, sind Abweichungen und Ungenauigkeiten in der Praxis sehr häufig. Die im Projekt ERM-ID entwickelten Algorithmen sollen die informellen Regeln erkennen, formalisieren und dokumentieren. Dabei können auch vergessene oder unübliche Berechtigungen einzelner Benutzer erkannt und anschließend durch Bearbeiter korrigiert werden.

ERM-ID liefert am Ende des Prozesses Rollenmodelle, die exakt den vorhandenen Ist-Daten entsprechen und gleichzeitig auch durch Korrekturverfahren konsistent gemacht wurden. Zusätzlich kann ERM-ID auch erweiterte Möglichkeiten von RBAC-Modellen ausnutzen und z.B. Vorschläge für Rollenhierarchien generieren.

Ein Vorteil von ERM-ID gegenüber Berechtigungsmodellen aus Geschäftsprozessanalysen ist, dass auch technische Berechtigungen, z.B. für VPN-Zugänge oder Systemdienste, in das Rollenmodell übernommen und nicht vergessen werden.

ERM-ID kann die Einführung rollenbasierter IdM-Systeme um ein Vielfaches beschleunigen, die Einführungskosten werden so bei gesteigertem Sicherheitsstatus gegenüber konventionellen Verfahren deutlich gesenkt.