Expedition in den Berechtigungsdschungel
BettercallPaul
BettercallPaul

// //
Lesedauer: 6 Minuten

Expedition in den Berechtigungsdschungel

… oder wie man mit sauberem Berechtigungsmanagement Ordnung in den Wildwuchs bringen kann


Berechtigungen – gähn! Hey, nicht gleich einschlafen! Das Thema ist definitiv spannender, als es auf den ersten Blick erscheint! Also, raus aus der Komfortzone, Khaki-Shorts und Boots an, Tropenhelm auf – wir starten flussaufwärts zu unserer Expedition in die Unwägbarkeiten des Berechtigungsdschungels!

Für manche sicher unbekanntes Terrain – auch wenn es Analogien zu anderen, meist bekannteren Gegenden gibt: Stetigen Anlass zur Klage bieten schwer überblickbare, „historisch gewachsene“ Systemlandschaften bei fast allen unseren Kunden und sind für uns immer wieder Gegenstand von Analyse, Umstrukturierung, Integration, Vereinfachung, um die damit verbundenen Schmerzen wenigstens in Teilen zu lindern.

Orientierung im Dickicht finden

Dazu korrespondierend gibt es aber meist auch einen noch schwerer durchschaubaren, „hysterisch gewachsenen“ Wildwuchs von Berechtigungen, in dem verwaltet werden soll, welche Mitarbeiter welche Zugriffe auf Systeme, Dialoge, Funktionen und Daten haben.

Die edle Absicht, nur Befugten und Kennern der Materie eine Erlaubnis zu geben, um Fehlbedienungen oder gar böswillige Nutzung zu verhindern, endet aber häufig in hohen Aufwänden und Konfusion. Diese Komplexität führt oft dazu, dass die Umsetzung auf die (ferne) Zukunft verschoben wird. Dadurch erhöht sich beispielsweise das Risiko eines versehentlichen Bandstillstandes in der Fabrik, von Industriespionage oder Datenklau.

Der Knackpunkt hierbei sind in den seltensten Fällen die Verwaltungssysteme für diese Berechtigungen – auch wenn es hier sicherlich verschiedene Reifegrade und Ausprägungen gibt, die mal mehr, mal weniger gut geeignet, performant, ansprechend gestaltet und komfortabel zu handhaben sind. Entscheidender ist vielmehr der richtige Zuschnitt der Berechtigungen und ihrer Strukturen. Denn häufig basiert die anfängliche Struktur auf abteilungsspezifischen Berechtigungsgruppen und Rollen, die auf die Organisationsstruktur des Unternehmens ausgerichtet sind. Diese starre Ordnung führt jedoch schnell zu einem unübersichtlichen Wildwuchs:

  • Mitarbeiter wechseln die Abteilung, sollen ihre alten Aufgaben aber noch eine Zeit lang mit erledigen, bis der Nachfolger eingearbeitet ist.
  • Abteilungen teilen bisherige Aufgaben mit anderen Abteilungen oder übernehmen komplett neue Verantwortlichkeiten.
  • Darüber hinaus gibt es umfassende Umstrukturierungen, bei denen kein Stein mehr auf dem anderen bleibt.

Die Fährte der Rechtevergabe (nicht) verlieren

Schnell löst sich dabei das ‚Need-to-know‘-Prinzip in Luft auf. Denn später fehlt oft die Zeit und der Mut, die alten Rechte zu entziehen, oder es wird schlicht vergessen, den – vielleicht sogar vorab definierten – Prozess sauber und vollständig zu durchlaufen. Kaum einer der Mitarbeiter hat am Ende genau die Berechtigungen, die er für seine aktuellen Aufgaben braucht. Stattdessen sieht und darf er oft zu viel oder kann zu wenig (manchmal auch beides).

Typisch für den ersten Fall ist das Auftreten veritabler „Rechtesammler“, bei denen im Laufe der Jahre nur noch ein Bruchteil davon durch die aktuellen Aufgaben gerechtfertigt ist. Schließlich muss hier – neben der Möglichkeit unbeabsichtigter Fehler – auch an missbräuchliche Verwendung gedacht werden. Spätestens die interne Revision wird darauf ihr Augenmerk richten.

Im zweiten Fall können dringende Aufgaben nicht durchgeführt werden, was dann hektisch im „Notfallmodus“ korrigiert wird: Im Extremfall durch die Vergabe aller potenziell als passend vermuteten Rechte – mit der entsprechenden Fehleranfälligkeit und entstehenden Unordnung als Folge. Denn eine durchdachte nachträgliche Bereinigung findet oft auch dann nicht statt, wenn längst wieder Ruhe eingekehrt ist.

Den Dschungel lichten: Eine strukturierte Herangehensweise

Die naheliegende Lösung ist, die zu vergebenden Berechtigungsgruppen bzw. Rollen konsequent an den fachlichen Aufgaben auszurichten. Damit kann den sich schnell ändernden Anforderungen agil gefolgt werden. Außerdem lassen sich neue Rollen rasch definieren und vergeben, obsolete Berechtigungen zeitnah entziehen. Es entsteht eine übersichtliche, fachlich maßgeschneiderte Berechtigungsstruktur, die klar am Nutzen und den Bedürfnissen des Geschäfts ausgerichtet ist.

Wie kann so ein fachlicher Zuschnitt gelingen? Als „Handwerkszeug“ oder zumindest Orientierung kann hier zunächst die „klassische“ Anforderungsanalyse mit User Stories und Use Cases als Zwischenergebnis dienen, natürlich basierend auf intensiven Gesprächen mit Fachbereichsvertretern. Die dazu mappenden Zugriffe auf die benötigten vorhandenen Berechtigungsitems (Dialoge, Funktionen etc.) lassen sich ableiten und in einer Rolle bzw. Berechtigungsgruppe zusammenfassen. Bei Bedarf können neue Items festgelegt, kreiert und zusätzlich aufgenommen werden.

Eine Matrix-Darstellung der Abteilungen und Mitarbeitergruppen in einem Unternehmen. Das Bild zeigt drei Abteilungen (ABT. 1, ABT. 2, ABT. 3) mit jeweils vier Mitarbeitern (B11, B12, B13, B14, etc.). MA1 und MA2 sind zwei markierte Bereiche, die sich über mehrere Abteilungen erstrecken. Ein Bereich in ABT. 3 ist rosa umrandet und als 'Abteilungsspezifische Steuerungsgruppe' gekennzeichnet. Farben heben verschiedene Gruppen und Verbindungen hervor.
Die Mitarbeitenden benötigen für ihre (neuen) fachlichen Aufgaben Berechtigungselemente, die bisher abteilungsspezifischen Berechtigungsgruppen zugeordnet sind. MA1 benötigt eigentlich nur fünf Berechtigungselemente, erhält aber zwölf. Dies widerspricht dem ‚Need-to-know/do‘-Prinzip und könnte zu Beanstandungen bei einem Security-Audit führen.
Eine weitere Matrix-Darstellung, die die Struktur einer Organisation zeigt. Hier sind vier Abteilungen (FA1, FA2, FA3, FA4) mit jeweils vier Mitarbeitern (B11, B12, B13, B14, etc.). MA1, MA2, MA3 und eine Kombination von MA1/MA3 sind markiert. Ein Bereich in FA4 ist rosa umrandet und als 'Fachlich geschnittene Berechtigungsgruppe' gekennzeichnet. Verschiedene Farben verdeutlichen die Zugehörigkeit der Mitarbeiter zu den Abteilungen und Funktionsbereichen.
In diesem Beispiel können B33 und B43 als Berechtigungselemente einer eigenen fachlichen Aufgabe FA4 gesehen werden, die von zwei Mitarbeitenden (MA1 und MA3) wahrgenommen wird. Somit wurden die Berechtigungselemente von MA1 auf die Anzahl gekürzt, die auch tatsächlich benötigt werden.

Von besonderer Bedeutung für die Berechtigungsgruppen sind dabei konsistente Benennungen und fachliche Beschreibungen (etwa: Wer? Macht was? In welchen Systemen? Wozu?), die einfache und technisch überprüfbare Konventionen einhalten. Damit können, bei einer späteren Beantragung oder Zuordnung, die Rollen/Berechtigungsgruppen dann auch mit einer einfachen Suche nach Schlüsselbegriffen gefunden werden. Das häufige, lange Rätselraten, welche Gruppe denn nun die richtige ist, verkürzt sich deutlich.

Auf der sicheren Seite

Ist nun die neue Berechtigungsstruktur für einen Aufgabenbereich aufgebaut, steht schließlich noch die Migration aus dem alten Berechtigungsdschungel in die neuen, geordneten Bahnen an. Diese kann einfachheitshalber nun auch wieder entlang der Organisationsstrukturen, Abteilung für Abteilung, und immer in enger Abstimmung mit allen Betroffenen erfolgen:

Zunächst für sorgsam ausgewählte und gut informierte „Pilotuser“ je fachlicher Aufgabe. Sie werden mit ihrer neuen Rolle bzw. Berechtigungsgruppe ausgerüstet, bevor ihnen dann Stück für Stück – in wohlüberlegter Reihenfolge und immer erst nach fehlerfrei durchgeführten, vorher definierten Testfällen – die alten Berechtigungen entzogen werden. Vorsicht ist aber vor irreführenden Überlappungen von Berechtigungsgruppen geboten! „One step at a time“ heißt hier die Devise, die sicherer ans Ziel führt. Bei grünem Licht in der Pilotphase kann dann mit derselben Vorgehensweise der „Rollout“ für alle weiteren Mitarbeiter starten.

Die unterwegs angefallenen Zwischenergebnisse von User Stories und Use Cases können natürlich weiterverwendet werden und zusammen mit einer Detailbetrachtung systemübergreifender Berechtigungsgruppen auch Indizien und Anhaltspunkte zur sinnvollen Umgestaltung der zugrundeliegenden Systemlandschaften geben.

Schätze aus dem Dschungel

Die wichtigste Erkenntnis am Ende unserer Expedition: Das Auslichten eines Dschungels kann sich lohnen und mit dem richtigen, strukturierten Vorgehen auch gelingen – und sogar klimafreundlich CO2 sparen: Wenn die übliche Schnappatmung bei Berechtigungsproblemen das nächste Mal durch sauberes Berechtigungsmanagement einem entspannten Lächeln weicht. 😉


Über die Autoren

Christian Schumacher ist ein erfahrener Berater und Digital Designer bei BettercallPaul in München. Seit mehr als 30 Jahren begleitet er IT-Projekte verschiedenster Branchen von frühen Phasen über Requirements Engineering und Fachliches Design bis hin zu Umsetzung, Test und Rollout. Seine Leidenschaft ist die Vermittlung zwischen Fachbereichen und IT und neuerdings die richtige Balance zwischen Künstlicher und Natürlicher Intelligenz.

Dr. Sarah-Lena von der Weiden-Reinmüller ist eine erfahrene Software-Ingenieurin und seit 10 Jahren als IT- und Prozess-Beraterin im Bereich Automotive aktiv. Ihre Schwerpunkte liegen in der Anforderungsanalyse, der Fachkonzeption und der Vermittlung zwischen Fachbereichen und IT. Zur Zeit ist sie verantwortlich für das Testmanagement in der Entwicklung eines Vertriebssystems für den europäischen Markt.