Management von Identitäten in komplexen Strukturen
Unternehmen verwalten heute eine Vielzahl unterschiedlicher Identitätstypen – von internen Mitarbeitenden über externe Partner, Dienstleister und Kunden bis hin zu Non‑Human Identities wie Service‑Identitäten, Bots und KI‑Agenten. Besonders bei externen Identitäten und Non‑Human Identities gewinnt das Thema an Komplexität, weil traditionelle HR‑Systeme nicht mehr als Identitätsquelle ausreichen und klassische (De-)Provisionierungsprozesse nicht mehr greifen.
Bei der Verwaltung externer Mitarbeitender zeigen sich häufig Herausforderungen, da die Verantwortung für den Prozess nicht eindeutig geregelt ist. In der Praxis empfiehlt sich eine Anbindung an die Einkaufsprozesse, da dort die Beauftragungen initiiert werden. Aufgrund der Vielzahl unterschiedlicher Vertrags‑ und Beauftragungsmodelle ist jedoch auch dieser Ansatz nicht immer eindeutig umsetzbar und erfordert eine sorgfältige Abstimmung zwischen Einkauf, HR und IT.
Non-Human Identities werden Gerade in Cloud‑ und KI‑Umgebungen automatisch aus technischen Quellsystemen heraus erstellt, sind hochgradig volatil und entziehen sich klassischen Antrags‑ und Genehmigungsprozessen. Hier stellt sich die Frage, wie solche Non-Human Identities gemanagt werden können. Entscheidend ist dabei nicht die automatisierte Provisionierung, sondern insbesondere die kontrollierte Deprovisionierung und die jederzeitige Auskunftsfähigkeit darüber, welche Identitäten auf welche Ressourcen Zugriff haben.
Gemeinsam mit unseren Kunden entwickeln wir Governance Modelle, mit denen die verschiedenen Identitätstypen zentral verwaltet und nahtlos in bestehende Prozesse integriert werden können.
Identity Lifecycle
Identitäten durchlaufen verschiedene Phasen. Mit uniqkeys Identity Governance Lösungen können diese Phasen automatisiert werden, so dass bei Eintritt in das Unternehmen die notwendigen Zugänge und Berechtigungen bereitgestellt werden und Mitarbeitende von Tag eins an voll arbeitsfähig sind. Rollen- oder Abteilungswechsel führen zu einer Anpassung der Zugriffsrechte, wodurch stets nur die relevanten Berechtigungen zugewiesen sind. Bei Austritt werden alle Zugriffsrechte unmittelbar entzogen, um Sicherheitsrisiken zu vermeiden. Außerdem wird die Identität inkl. der zugeordneten Konten deaktiviert und nach einem definierten Zeitablauf gelöscht, damit keine verwaisten Identitäten oder Accounts entstehen.
Die Verwaltung externer Nutzer folgt denselben Prinzipien. Durch konsequente Dokumentation und die Integration mit HR-Systemen und IT-Service-Management-Tools gestalten wir jeden Schritt nachvollziehbar und auditierbar.
Rollen- und Berechtigungsmanagement
Wir erstellen gemeinsam mit unseren Kunden ein strukturiertes Rollenkonzept, um die Basis für die Vergabe von Zugriffsrechten zu schaffen. Durch intelligente Analysen von Bestandsdaten können bereits bestehende Nutzungsmuster ausgewertet und daraus geeignete Rollenprofile abgeleitet werden – was die initiale Modellierung deutlich erleichtert. Um den Aufbau des Rollenkonzepts von Anfang an effizient zu gestalten, empfehlen wir, mit einem überschaubaren Set an Rollen zu starten und dieses schrittweise zu erweitern. Das erleichtert die Einführung, erhöht die Akzeptanz und reduziert den Pflegeaufwand in der Anfangsphase.
Für die Berechtigungsvergabe nutzen wir mehrere Mechanismen: die rollenbasierte Zugriffskontrolle (RBAC) ordnet Berechtigungen nach Aufgaben oder Funktionen zu, die attributbasierte Zugriffskontrolle (ABAC) ergänzt dies um zusätzliche Eigenschaften wie Standort oder Abteilung und die richtlinienbasierte Zugriffskontrolle (PBAC) steuert den Zugriff über zentral definierte Regeln und berücksichtig so Governance‑, Risiko‑ und Compliance‑Vorgaben. . Für weitere individuelle Rollen und Berechtigungen vereinfacht die Implementierung von Self-Service-Funktionen die Beantragung und entlastet die Verwaltung. Bei der Vergabe von Berechtigungen kommt das „Least Privilege“ und „Need to Know“ Prinzip zum Einsatz: Das bedeutet, dass allen Mitarbeitenden nur so viele Berechtigungen zugewiesen werden, wie notwendig sind aber auch mindestens die, die zur vollständigen Erledigung der Aufgaben im Unternehmen benötigt werden. Wichtig ist die Trennung kritischer Aufgaben – „Segregation of Duties“, um Missbrauch zu vermeiden.
Rezertifizierung
Mit der Einführung regelmäßiger Rezertifizierungen helfen wir sicherzustellen, dass zugewiesene Rollen und Berechtigungen weiterhin notwendig und angemessen sind. Der Rezertifizierungsprozess kann zeit- oder eventbasiert ausgelöst werden und bindet automatisch die verantwortlichen Fachbereiche und Führungskräfte ein, sodass überflüssige Berechtigungen schnell erkannt und entfernt werden. Moderne KI-gestützte Verfahren berücksichtigen zudem die Kritikalität einzelner Rollen, reduzieren manuellen Aufwand und heben risikorelevante Zugriffe gezielt hervor. Ergänzend empfehlen wir die regelmäßige Überprüfung der Rollen selbst, um Inhalte, Zweck und Konsistenz des gesamten Rollenkatalogs sicherzustellen.
Eskalationsmechanismen verhindern übersehene Prüfungen, während eine lückenlose Dokumentation die Auditfähigkeit stärkt und Compliance‑Vorgaben zuverlässig erfüllt. Voraussetzung für verlässliche Ergebnisse bleibt eine hohe Datenqualität – insbesondere der HR‑Stammdaten –, damit Entscheidungen auf aktuellen und vertrauenswürdigen Informationen basieren.