User Provisioning

Der Benutzeraccount eines Mitarbeiters muss dessen beruflichen Werdegang widerspiegeln. Beginnend mit seiner initialen Einrichtung unterliegt der Account einer Art Lebenszyklus und wird von einer Vielzahl von Ereignissen modifiziert. Sowie es bei der Mitarbeiterin oder dem Mitarbeiter zu Veränderungen kommt, müssen Anpassungen im Benutzerkonto vorgenommen werden. Diese werden z.B. bei Abteilungs- oder Standortwechsel, bei temporärer Vertretung oder zeitlich befristeter Projektarbeit, bei Beförderung sowie schlussendlich bei Austritt erforderlich. Daher folgen auf die Aktivierung des Kontos eine Vielzahl von Anpassungen, ehe es schließlich deaktiviert oder gelöscht und dann archiviert werden muss.

Einen Sonderfall bilden externe Mitarbeiter, da über deren Tätigkeitsende oftmals nicht rechtzeitig informiert wird. Ablaufdaten für diese Userkonten sowie regelmäßige Validierungen mittels dafür geeigneter Auswertungen sind unerlässlich, damit externe Accounts rechtzeitig gesperrt oder gelöscht werden können.

Zudem ist ein besonderes Augenmerk auf die Konten der Auszubildenden zu werfen, da dort der „Azubi-Effekt“ lauert: In vielen Unternehmen gehört es zur Ausbildungskarriere, dass der oder die Auszubildende die Tätigkeitsfelder und Arbeitsprozesse in den unterschiedlichen Abteilungen kennenlernt. Weil in jeder Abteilung spezifische Berechtigungen benötigt werden, besteht die Gefahr einer „Rechte-Anhäufung“ über die zwischenzeitlich beendete Mitarbeit in der Abteilung hinaus. Jeder interne Wechsel sollte daher immer Anstoß für eine Überprüfung und Bereinigung der Berechtigungen sein!

Ab dem ersten Arbeitstag eines neuen Mitarbeiters müssen die Prozesse rund um die Benutzer- und Berechtigungsverwaltung alle Applikationen, in denen eigene Accounts und Rechte vergeben werden, berücksichtigen. Betrachtet man allein die Windows-Welt, so verlangt die Einrichtung eines Users u.a. die Anlage eines Active Directory Benutzers, das Erstellen entsprechender Berechtigungsgruppen und die Aufnahme des Benutzers darin, das Einrichten des Exchange Postfaches und des SharePoint-Zugangs sowie das Erstellen des Home-Laufwerks. Weitere Ressourcen, die darüber hinaus bereitgestellt werden müssen, sind Token, VPN-Zugänge, Zertifikate, Smartcards usw.

Ganz zu schweigen von den Aufwänden, die durch die parallele Benutzerverwaltung in Business-Systemen wie z.B. ERP und CRM verursacht werden.

Gleichwohl ist es unumgänglich, systemübergreifend ein Prinzip des geringsten Rechts („least privilege“) durchzusetzen, damit sichergestellt ist, dass Benutzer ausschließlich Berechtigungen haben, die sie für ihre Arbeit benötigen. Anderenfalls führen falsch gesetzte oder zu weit gefasste Berechtigungen zu einem erheblichen Datensicherheitsrisiko.