Wie viel Self Service verträgt das Identity Management

by Christian Decker | Mär 26, 2019

An vielen Stellen haben sich Self-Service-Portale bereits etabliert. Sei es für interne Nutzer, die ihre Mitarbeiterprofile aktualisieren oder Zugang zu Unternehmensressourcen erhalten können, sei es für externe Anwender, die per Kundenprofil Kontaktdaten und genutzte Services organisieren können. Doch die Selbstverwaltung birgt auch Risiken. Deshalb sollten die IT-Abteilungen genau überlegen, wo die Grenzen des Identity-Managements liegen.

Wenn ein neuer Mitarbeiter bei ACP Österreich seine Arbeit antritt, erhält er ein Handbuch, in dem wichtige Schritte zum Start erklärt sind. Einer der wichtigsten ist die Inbetriebnahme von Rechner und Smartphone. Welche Anwendungen und Apps hier für den neuen Kollegen bereitstehen, sieht er in einem Self-Service-Portal, von dem aus er die benötigte Software aktiviert beziehungsweise installiert.

Wie hier bei ACP geht es vielen Mitarbeitern in mittleren und größeren Unternehmen. Sie können per Webportal ihre Daten vervollständigen oder ändern, wenn beispielsweise eine neue Telefonnummer zugewiesen wird oder der Arbeitsplatz zu einer anderen Niederlassung wechselt. Ebenso werden Zugang zu Verzeichnissen, Datenbanken oder Software über solche Systeme verwirklicht. Sie werden als Identitäts- und Zugriffsmanagement-Lösungen (Identity & Access Management, IAM) bezeichnet, da die Profile sowohl der Verwaltung der Identitäten als auch der Zugriffssteuerung dienen. Und dies trifft nicht nur für eigene Mitarbeiter zu: Auch für externe Anwender, beispielsweise Kunden, Dienstleistungspartner oder Lieferanten können solche Systeme genutzt werden.

Weg vom überbordenden Zentralismus

In der Vergangenheit konnten Effizienzgewinne im Unternehmen erzielt werden, indem Aufgaben in bestimmten Abteilungen zentralisiert wurden, beispielsweise die Verwaltung von Mitarbeiterdaten bei der Personalabteilung oder Zugangsberechtigungen bei der IT-Abteilung. Um alle Daten rund um Kundenbeziehungen kümmert sich oft ein Datenmanagement, das unter Umständen sogar ausgelagert werden kann. Zwei Dinge haben sich inzwischen verändert: zum einen sind Arbeits- und Kundenbeziehungen schnelllebiger geworden, es sind viel öfter Veränderungen zu verzeichnen als in der Vergangenheit. Zudem sind die Prozesse innerhalb von Unternehmen komplexer geworden. Identitäten, Rollen und damit verbundene Zugangsberechtigungen zu managen erfordert immer mehr Koordinierungsaufwand – in Summe führen diese Entwicklungen zu einer wieder sinkenden Effizienz.

Einen Ausweg bieten Portale zur Selbstverwaltung von Profilen. Änderungen lassen sich von den Betroffenen schnell vollziehen, es gibt keine Übertragungsfehler. Helpdesk und IT-Management, HR- und Daten-Management-Abteilungen werden von Standardaufgaben entlastet. Sie können schlanker aufgestellt werden oder ihre Ressourcen in eine bessere Servicequalität investieren, beispielsweise wenn der Helpdesk rascher reagieren kann. Auch viele Unternehmensprozesse werden schneller und effizienter: Wo früher erst Anforderungen geschrieben, genehmigt und weitergeleitet werden mussten, können über rollenbasierende Automatismen Genehmigungsworkflows eingerichtet werden, die Entscheidungsträger entlasten und Abläufe beschleunigen. Dies rechnet sich bereits ab einer Unternehmensgröße von 50 Mitarbeitern. 

Die Grenzen des Identity-Managements

Für das Identitäts- und Zugriffsmanagement entstehen aber auch Gefahren durch solche Self-Service-Modelle. Hier steht zum einen die Qualität der Daten in Frage. Werden die Einträge von Nutzern nicht aktuell gehalten oder fehlerhafte Einträge gemacht, können ungeahnte Probleme bei automatisierten Geschäftsprozessen auftreten. Bei externen Nutzern ist darüber hinaus die Frage nach der Datensicherheit zu stellen: Wie kann sichergestellt werden, dass die Eingaben tatsächlich von der berechtigten Person erfolgen und nicht ein unberechtigter Dritter persönliche Informationen in die Hände bekommt? Nicht erst seit der vollständigen Inkraftsetzung der Europäischen Datenschutz-Grundverordnung (DSGVO) sollten Unternehmen hier besonders sensibel sein. Nun aber drohen massive Strafen, wenn hier geschlampt wird. 

Sicherung der Datenqualität

Häufig wird Self-Service für die Verwaltung geschäftlicher und privater Profile genutzt. In Mitarbeiter-Webportalen wird üblicherweise ein Teil des Profils aus den ursprünglichen Angaben bei der Personalabteilung vorgeladen. Der Mitarbeiter kann dann die Informationen vervollständigen und bei Bedarf aktualisieren. Dazu zählen beispielsweise Kontaktinformationen, Firmenadresse (beispielsweise bei wechselnden Standorten), geschäftliche Telefon- und Handynummern, Titel und andere Geschäftsinformationen wie Job- oder Abteilungsbezeichnungen oder -Kennziffern, Notfall-Kontaktdaten zu Hause und ähnliches. Solange diese Informationen lediglich für interne (Such-)Zwecke verwendet werden, gibt es noch keine Probleme.

Gefährlich wird es dagegen, wenn interne Prozesse auf diesen Daten aufbauen – es aber versäumt wurde, den Mitarbeitern bewusst zu machen, welche Konsequenzen veraltete oder falsche Einträge haben können. Und die können unter Umständen dramatisch sein. So gab es in einem Großunternehmen mit rund 1.000 Mitarbeitern einen Brand. Die einzige Person, die der Feuerwehr Zugang zum Brandherd – in einem sensiblen Unternehmensbereich – geben konnte, war der Chef der physischen Sicherheit. Doch dieser war im Chaos der Gebäude-Evakuierung nicht zu finden. Und seine im System hinterlegte Handynummer war veraltet.

In einem anderen Fall erlaubte sich ein Programmierer einen Scherz und ersetzte seinen regulären Berufstitel durch einen Fantasie-Eintrag. Da die Mitarbeiter-Informationen für ein rollenbasierendes Zugriffssystem (Roll Based Access Control, RBAC) verwendet wurden, ergaben sich eine Reihe von Fehlfunktionen, da es die angegebene Rolle nicht gab. Oft werden Datensätze auch unvollständig eingetragen, bei Adressen beispielsweise ohne Postleitzahl oder Hausnummer, oder es schleichen sich Tippfehler beim Straßennamen ein.

Eine ordnungsgemäße Selbstverwaltung muss also so konzipiert sein, dass ungültige Einträge entweder unmöglich sind oder durch Gegenchecks schnell erkannt und korrigiert werden können. Mitarbeiter müssen darüber hinaus für dieses Thema sensibilisiert werden. Denn letztendlich können funktionierende Unternehmensprozesse nur dann sichergestellt werden, wenn die Datenqualität durch den Self-Service nicht entscheidend beeinträchtigt wird. 

Wer hat Zugriff?

Besondere Aufmerksamkeit verdienen Prozesse, bei denen externe Nutzer Datenzugriff erhalten sollen. Die Autorisierung erfolgt oft anhand einer Reihe persönlicher Merkmale, beispielsweise Name, Geburtsdatum und zusätzlicher Kennziffern, wie die Personenkennzahl oder eine Vertragsnummer, beispielsweise bei Versicherungen. Es gibt jedoch Fälle, in denen diese nicht ausreichen. So kennt beispielsweise auch der geschiedene Ehepartner in der Regel alle diese Daten – er oder sie soll aber nicht mehr abfragen können, welche Ansprüche sich beispielsweise in einer Lebensversicherung angesammelt haben. 

So muss zum Beispiel verhindert werden, dass einfach ein zweiter Account eingerichtet wird, wenn schon einer existiert. Ebenso müssen Änderungen der Kontaktdaten – Adresse, eMail und Handynummer – so verifiziert werden, dass es nicht zu unautorisierten Zugriffen kommen kann. Eine Erhebung des österreichischen Versicherungsverbandes VVO, des KFV (Kuratorium für Verkehrssicherheit) und Experten von KPMG zeigte, dass der Identitätsdiebstahl unter den verschiedenen Cybercrime-Bereichen besonders hohe Schäden verursacht. Während die Betroffenen im Schnitt mit 480 Euro belastet sind, beträgt die Schadenssumme bei den rund 2.400 Fällen des Jahres 2016 im Schnitt 1.200 Euro. 

Benutzerfreundliche Lösungen gesucht

Eine der Herausforderungen für IAM-Lösungen liegt in der Nutzerakzeptanz. Wenn Webportale intuitiv zu bedienen sind, Doppeleingaben vermeiden und einerseits keine unnötigen Informationen abfragen, andererseits alle relevanten Daten abbilden, dann steigt die Chance, dass Mitarbeiter tatsächlich die Selbstverwaltungsangebote annehmen und dort auch ihre Profile aktuell halten – und dabei den Support nicht unnötig belasten.

Doch auch für die IT-Administration muss eine Self-Service-Applikation handhabbar bleiben. Standard für die Benutzerverwaltung ist in vielen Unternehmen das Active Directory (AD) im Windows-basierten Netzwerk. Daneben gibt es Anwendungen, die bereits eigene Self-Service-Portale mitbringen. Zwar ist es einfach, diese parallel nebeneinander laufen zu lassen. Doch Lösungen, die verschiedene Profile in solchen unterschiedlichen Portalen abbilden, sind wenig benutzerfreundlich. Denn der Nutzer muss fast immer gleiche Daten mehrfach eingeben, und auch die Bedienung ist oft unterschiedlich, so dass der Anwender mehrere Portale erlernen muss. Dies hat in der Regel höhere Support-Kosten im Helpdesk zur Folge.

Einen Ausweg bieten übergreifende Single-Sign-on-Lösungen, die sich mit verschiedenen Systemen, beispielsweise HR, AD und weiteren Unternehmensapplikationen, koppeln lassen. Doch diese erfordern höheren Aufwand bei der IT-Administration bei der Implementierung. Eine solche Lösung ist zum Beispiel die FirstWave-Software von First Attribute. Diese stellt ein intuitiv zu bedienendes Portal zur Verfügung, in dem sich die Active-Directory-Einträge bearbeiten lassen. Von diesem aus können auch weitere Systeme verbunden werden, beispielsweise die App-Verwaltung myapps.microsoft.com. FirstWave stellt damit einen Mittelweg zwischen reduzierter Komplexität und einfacher, kostengünstiger Implementierung dar.

Einen anderen Weg geht die Haufe Suite. Sie gehört in die Kategorie der UMRA-Lösungen (User Management Resources Administrator). Sie dient als übergreifendes Portal für eine ganze Reihe verschiedener Applikationen, beispielsweise Personal-, Knowledge-, Dokumenten- und Geräte-Management. Damit lassen sich Benutzerkonten, Berechtigungen und die dazugehörende Reportingfunktionalitäten einheitlich und systemübergreifend verwalten.

Die Top-5-Tipps für die Praxis

Es gibt eine ganze Reihe von Fallstricken, die Self-Services, trotz der unbestreitbaren Vorteile, zu einem Risiko für die Datensicherheit, das Funktionieren automatisierter Geschäftsprozesse und nicht zuletzt für die Kosteneffizienz darstellen. Mit folgenden Tipps sorgen Sie dafür, dass die Umsetzung gelingt und die angesprochenen Probleme vermieden werden:

•  Verständnis für Self Service schaffen: Was bedeutet es, wenn Endbenutzer zum Eigentümer wird? IAM-Experten sollten anhand von Prozessen und Verfahren entscheiden, wo Selbstverwaltung zulässig wird und wo nicht. Technische Machbarkeit allein ist als Entscheidungskriterium nicht zielführend.

•  Gute Anleitungen entwickeln: Sowohl Mitarbeiter als auch Endkunden oder externe Partner, die Self-Services nutzen sollen, müssen verständlich und übersichtlich darüber informiert werden, was zu tun ist, warum dies zu tun ist, wie es zu tun ist und welche Probleme und Risiken bestehen, wenn diese Regeln nicht beachtet werden.

•  Checks-and-Balanced-Prozesse implementieren: In Ergänzung zu den Anleitungen müssen auch technische Verfahren dafür sorgen, dass Fehleingaben, fehlende Informationen und andere Benutzerfehler erkannt, verhindert oder repariert werden. Führen Sie sich vor Augen, dass der menschliche Administrator, der normalerweise Fehler und Ungereimtheiten erkennt, durch entsprechende Automatismen weitgehend vollständig ersetzt werden muss.

•  Budgets nicht zu schnell herunterfahren: Gerade in der Implementierungsphase ist mit zusätzlichen Verwaltungs- und Überwachungstätigkeiten zu rechnen, die die Kosten vorübergehend sogar steigen lassen. Auch danach sollte zunächst die Entwicklung von Aufwänden beobachtet werden. Erst wenn sich die erhofften Effizienzgewinne nachweislich einstellen, können Budgets heruntergefahren beziehungsweise neu verteilt werden.

•  Übergang sorgsam managen: Neben den direkten Prozessen sollten Sie auch weitere Effekte im Auge behalten: Gibt es negative Auswirkungen auf andere Geschäftsprozesse? Bleibt die Datenqualität stabil? Oder gibt es Anlass zu Korrekturen und Gegensteuern? 

Fazit

Steigende Mitarbeiter- und Kundenzahlen, neuartige Services auf Basis automatisierter Prozesse und höhere Taktzahlen bei zu dokumentierenden Veränderungen machen Self-Services attraktiv. Sie können dafür sorgen, dass Kosten nicht mehr so schnell steigen oder sogar reduziert werden können.

Bei der Implementierung sind allerdings eine Reihe von Risiken zu beachten, die sich sowohl auf Geschäftsprozesse und -kosten als auch auf die Datensicherheit negativ auswirken können. Hier kommt es darauf an, in die Konzeption zu investieren und mit der nötigen Sorgfalt vorzugehen. Externe IAM-Experten können Sie dabei unterstützen.

Hybrid Identity Services Kontrollieren Sie effizient welche Mitarbeiter welche  Dienste nutzen - mit Hybrid Itentity Services! zum Angebot 

Autor: Christian Decker

Cloud Architect│Business Unit Cloud

Ich bin seit mehr als 20 Jahren in der IT-Branche tätig. Mein Fokus in all diesen Jahren war es, Unternehmen und Menschen mit Hilfe von Technologie erfolgreicher zu machen. Bei Microsoft Österreich und dessen besten Partnern habe ich über Jahre hinweg ein tiefes Verständnis für Microsoft-Produkte und -Plattformen erworben. Insbesondere bei meinem Kompetenzschwerpunkt, der Office 365 Plattform, inklusive der Enterprise Mobility und Security Suite. Am meisten Freude bereitet es mir, Kunden dabei zu unterstützen, mit all den neuen hilfreichen Tools und Funktionen wie Teams, Yammer, OneDrive und Co. zu arbeiten.

In meiner Freizeit mache ich gerne in „Barfußschuhen“ lange Läufe und unterrichte mit Liebe die Lauftechnik ChiRunning - mehr Infos dazu gibt es unter www.wozulaufschuhe.at/