Wie berechtigt man die IT?
Autor: Yannick Rech | 21. Oktober 2020
Sie fragen sich, wie Sie Ihre IT berechtigen sollen? Die Berechtigungen für die IT sind so manches Mal eine Herausforderung. Schon viele unserer Kunden haben sich daran bei einem Berechtigungsredesign die Zähne ausgebissen, bevor der Durchbruch gelang. Warum das so ist und wie Sie Ihre Rollen zukünftig aufbauen sollten, erfahren Sie im Beitrag.
Was macht die IT so besonders?
Das Problem ist häufig, dass die organisatorische Gliederung nicht mit den fachlichen Tätigkeiten der User übereinstimmt. Vor allem die IT-Knowhow-Träger fallen in diese Kategorie. Das liegt vor allem daran, dass sich IT-Themen in einem sehr schnellen Wandel befinden und sich oft an den anderen Fachbereichen orientieren. Deshalb sollten Sie, bevor Sie Ihr Rollenkonzept für die IT entwerfen, die Unterschiede zwischen der fachlichen und der organisatorischen Zugehörigkeit der User analysieren und verwerten.
Oftmals tendieren die IT-Mitarbeiter dazu, viele Fachgebiete im System zu haben. Das liegt vor allem an ihren zahlreichen Erfahrungen in unterschiedlichen Modulen und Bereichen. Trotz ihrer eigentlichen Tätigkeit sollten sie trotzdem helfen können, wenn spezielle Hilfe gebraucht wird. Versucht man das Knowhow solcher IT-Mitarbeiter in nur einer festen Arbeitsplatzrolle abzubilden, kommen Überberechtigungen zustande. Auf der anderen Seite ist es ineffektiv, Ihre besten Leuten mit einem unausgereiften Rollenkonzept in Ketten zu legen.
Wie könnten Sie mit der IT umgehen?
Empfehlenswert für die IT-Berechtigung ist eine dreischichtige Berechtigungsarchitektur. Gemeint ist hierbei die Unterteilung der Berechtigungen in Arbeitsplatzrollen, Add-On-Rollen und Notfallberechtigungen (Firefighter).
Arbeitsplatzrollen
Arbeitsplatzrollen stellen die Berechtigungen der User einer bestimmten fachlichen Gruppe dar. Das, was sie für Ihre gemeinsame Arbeit brauchen, bekommen sie in dieser Rolle berechtigt. Hierdurch ist es möglich, die Basisberechtigungen zu vergeben. Das bedeutet konkret, dass ein Berechtigungsadministrator seine standartmäßige Arbeit, also das Design und Vergeben von Berechtigungen, mit dieser Rolle erfüllen kann.
Add-On-Rollen
Add-On-Rollen könnten Ihnen dabei helfen, besondere Tätigkeiten Ihrer User zu berechtigen. Wenn einer der Berechtigungsadminstratoren vertiefte Tätigkeiten in der Basis übernimmt, kann dieser die Berechtigungen in einer zusätzlichen kleinen Add-On-Rolle erhalten. So wird nicht automatisch jedes Mitglied der Berechtigungs-Arbeitsplatzgruppe mit berechtigt. Außerdem helfen Add-On-Rollen dabei, verschiedene kleinere Themengebiete vollständig aus den Arbeitsplatzrollen auszugliedern. Dadurch werden nur die User berechtigen, die diese kleineren Themen auch wirklich verwalten müssen.
Notfalluser
Notfalluser bzw. Firefighter helfen Ihnen Notfallsituationen zu behandeln. Diese vordefinierten Szenarien werden meist nicht mehr mit herkömmlichen Berechtigungen gehandhabt, sondern mit einem Konzept definiert. Dabei bekommt der IT-Mitarbeiter, der einen besonderen Fall behandeln muss, besondere Berechtigungen zugewiesen, welche er temporär benutzen kann. Nachdem er diesen Service freigeschaltet bekommen hat – entweder durch ein 4-Augen-Prinzip oder durch einen Self-Service – wird ein Trace gestartet, der alle Aktivitäten protokolleiert. Nachdem die Zeit abgelaufen ist, verliert der User automatisch diese Berechtigungen. Diese Verfahrensweise kann sowohl für Notfälle als auch für sehr systemkritische Berechtigungen verwendet werden.
Durch die Architektur Ihrer IT-Berechtigungen haben Sie ein überschaubares als auch sicheres Berechtigungskonzept für die IT. Jeder Mitarbeiter ist in der Lage im Notfall auszuhelfen, ohne dass viele Mitarbeiter überberechtigt sind.
