Das Problem: „Durch den hohen Anteil an Handarbeit entstehen bei einem derartigen Vorgehen nicht selten Fehleingaben, und Nachfragen sind an der Tagesordnung“, weiß Thomas Reeb, Vorstand Marketing Sales des Münchner IAM-Spezialisten Econet. Ein hohes Fehlerrisiko entstehe auch dadurch, dass mittelständisches IT-Personal oftmals mit zu vielen Rechten, wie beispielsweise Domain-Administrationsrechten, in den Zielsystemen arbeitet. Schnell seien hier statt einem einzelnen User eine ganze Organisationseinheit mit vielen Gruppen und hunderten von Nutzern gelöscht. Grundsätzliche Prinzipien für die Rechtevergabe wie „Least Privilege“ und „Right Access to the Right People at the Right Time“ würden im Alltagsgeschäft leider oft ignoriert.
Angst vor unüberschaubaren Projekten und ausufernden Kosten
Einen Ausweg aus dem Dilemma versprechen moderne Lösungen zum Zugangs- und Identitätsmanagement (IAM), auch Provisioning-Systeme genannt. Doch Tools wie beispielsweise die von CA, einem der weltweit größten Anbieter von IT-Management-Software, aber auch Novell, IBM, Sun oder HP sind für den Einsatz in Großunternehmen zugeschnitten und für kleine und mittelständische Unternehmen nicht nur schlichtweg zu teuer, sondern in ihren Funktionen auch viel zu überdimensioniert. Entsprechend groß war bislang die Scheu der Mittelständler vor unüberschaubaren Projekten mit ausufernden Kosten.
Doch weil die Justiz immer mehr Mittelständler dazu zwingt, Verhaltensmaßregeln, Gesetze und Richtlinien zur IT-Sicherheit einzuhalten und dabei vor allem zu verhindern, dass Unbefugte Zugriff auf sensible Unternehmensdaten haben, wird das Thema IAM für sie immer dringlicher. Das haben auch IT-Spezialisten wie der Münchner IAM-Anbieter Econet erkannt und spezielle IAM-Lösungen für mittelständische Bedürfnisse auf den Markt gebracht. Mit ihnen können IT-Verantwortliche Standard-Administrationstätigkeiten wie User-, E-Mail- oder File-Management über eine Oberfläche erledigen. „Die aufeinander folgenden Aufgaben sind in Prozessketten zusammengefasst und laufen nach bestimmten Vorgaben, die einmal definiert werden, regelbasiert und unter Zuhilfenahme von Metadaten automatisiert ab. Außerdem sind sie jederzeit in identischer Qualität reproduzierbar“, erklärt Econet-Chef Thomas Reeb die Funktionsweise des Systems.
Entlasteter Helpdesk, zufriedene Anwender
Wird zum Beispiel ein neuer Mitarbeiter bei der Anlage im Provisioning-System einer Abteilung – also ein User-Stammdatensatzes einem hierarchischen Strukturierungsobjekt – zugewiesen, ermittelt das System automatisch verschiedene Zugehörigkeiten. Abhängig von Fachgruppe oder Abteilung wird für den neuen Mitarbeiter vom System ein Account erstellt und in die richtigen Gruppen eingetragen. Zudem wird der Mitarbeiter automatisch mit entsprechend festgelegten Services versorgt, er erhält beispielsweise eine Exchange Mailbox und eine E-Mail-Adresse nach den unternehmensüblichen Namenskonventionen. Gleichzeitig wird jeder Zielsystem-Account einem Mitarbeiter zugeordnet. „Unpersönliche Benutzerobjekte – Active Directory user objects, für die keine Zuständigkeit ermittelt werden kann, gehören damit der Vergangenheit an“, verspricht Reeb und hält noch einen weiteren Trumpf in der Hand: „Da die Prozesse nach definierten Regeln ausgeführt und unter Zuhilfenahme von Metadaten umgesetzt werden, erfordern sie lediglich ein Minimum an Eingaben. Das gestattet auch technisch ungeschulten Mitarbeitern wie beispielsweise HR-Personal nach Erfassung der Stammdaten neuer Mitarbeiter gleich das Anlegen von Benutzer-Accounts und zugehöriger Exchange Mailbox.“
Doch nicht nur die IT-Abteilung wird durch Provisioning-Systeme entlastet, auch die Zufriedenheit bei den Mitarbeitern steigt. Weil viele Probleme von Anfang an vermieden werden und doch auftretende Schwierigkeiten rasch beseitigt werden können, wird es immer seltener heißen: „Das gibt’s doch nicht, dass ich schon wieder nicht in das blöde System komme.“
&HTRE)
