6000 Zugangsberechtigungen umgelenkt

Ein dezentrales Unternehmen, in dem Mitarbeiter mehrerer Töchter in wechselnden Konstellationen zusammenarbeiten: Zugangsberechtigungen zu den Systemen zu verwalten wird da schnell unübersichtlich. Dieser Situation stand Thomas Thürck gegenüber, Divisional Information Officer (DIO) von Bilfinger Berger Facility Services (BBFS). Papierbasierte Anträge für Zugriffsrechte stellte er auf ein elektronisches System um. Seit zwei Jahren hilft ihm eine Software, Berechtigungen externer und interner Mitarbeiter zu prüfen.

BBFS gehört zum international tätigen Engineering- und Dienstleistungskonzern Bilfinger Berger. Mit fünf Tochtergesellschaften erbringt BBFS Leistungen rund um Immobilien, vom Hochbau über Gebäudetechnik bis zur Abwasserbehandlung. 15.000 Mitarbeiter sind bei BBFS tätig, für 6000 von ihnen betreut die IT-Abteilung von Thomas Thürck einen PC-Arbeitsplatz oder ein mobiles Gerät, 500 sitzen vor Kundenrechnern und greifen von dort auf die zentralen Systeme zu.

Die Struktur von BBFS ist wie die des ganzen Bilfinger-Konzerns dezentral. Abgesehen von der gemeinsamen IT-Governance haben die fünf Töchter jeweils eine eigene IT. Bei der auf Facility-Management spezialisierten HSG Zander zum Beispiel, bei der Thürck zugleich IT-Leiter ist, gibt es regional unterschiedliche Systeme etwa für Gebäudetechnik. "Alle haben eigene Benutzerverwaltungen, das macht ein übergreifendes Benutzer-Management sehr komplex", sagt Thürck.

Anspruchsvoll macht die Benutzerverwaltung zudem, dass Mitarbeiter verschiedener Tochtergesellschaften an gemeinsamen Projekten arbeiten. Oft sind zusätzlich externe Berater mit im Boot und erhalten Zugriff auf das ERP-System der BBFS-Partner. "Irgendwann endet das Projekt, ohne dass die IT automatisch mitkriegt, dass die Externen nicht mehr an Bord sind", sagt Thürck. Die Folge: Womöglich haben Mitarbeiter oder externe Beteiligte über längere Zeit Zugang zu Systemen, den sie nicht mehr haben sollten. Diesem Risiko kommt "Daccord" zuvor: Vollautomatisch werden über die Software verantwortliche Mitarbeiter informiert.

Ein gesellschaftsübergreifendes Management-System mit Anbindung an die Personalabteilung gibt es bei Bilfinger Berger Facility Services schon seit sechs Jahren. Es erlaubt, dass Mitarbeiter der verschiedenen BBFS-Gesellschaften gemeinsame Anwendungen wie CRM, Intranet oder Antragswesen nutzen. Eingeführt wurde es, als das Unternehmen in den vergangenen Jahren mehrere Firmen übernahm und deren Belegschaften eingliederte - was die Übersicht zusätzlich erschwerte. "Wir haben die möglichen Gefahren gesehen und parallel zum Wachstum das Identitäts-Management aufgebaut", berichtet DIO Thürck.

Bis vor zwei Jahren stützten sich die Abläufe auf Papierformulare. Bis die durch die Abteilungen zum richtigen Ansprechpartner gewandert waren, verging oft einige Zeit. Für Projektmitarbeiter, die für begrenzte Dauer Zugriff auf eine Software haben sollten, war auch nicht immer sofort ersichtlich, wer der Richtige war, ihren Antrag abzuzeichnen. "Schied ein Mitarbeiter aus oder wurde versetzt, kam die Mitteilung darüber meist verspätet bei der IT an", erinnert sich Thürck.

Die Software "Daccord"

Mit der Software "Daccord", die das IT-Systemhaus G+H Netzwerk-Design aus Offenbach entwickelt hat, wurden Anträge und die Verwaltung der Zugangsberechtigungen komplett auf einer elektronischen Plattform zusammengeführt, Papier-Workflows abgeschafft. Braucht ein Mitarbeiter nun temporär Zugriff auf ein System, stellt er einen elektronischen Antrag. Der landet automatisch bei dem Vorgesetzten, der für die Vergabe der Zugangsrechte zuständig ist. "Beim Antrag kann für den Zugriff auch ein Verfallsdatum festgelegt werden", sagt Thürck. Nützlich ist das, wenn zu Beginn eines Projekts mit einem neuen Kunden für einen kurzen Zeitraum auch Mitarbeiter aus dessen Reihen Zugriff auf Daten in Systemen von BBFS haben sollen.

"Daccord" erstellt Berichte, die Regionalgeschäftsführern oder anderen Führungskräften anzeigen, wer Zugriff auf Systeme hat. Auch die Verwaltung der Rechte läuft also dezentral. "Der Rechte-Manager ist immer der Manager vor Ort, der auch personelle Veränderungen mitkriegt - das macht nicht die IT", sagt Thürck.

Das System schlägt zudem Alarm, wenn Angestellte konkurrierende Rechte besitzen. Ein Zugang zur Kreditoren- und gleichzeitig zur Debitoren-Buchhaltung etwa fiele auf. Grund für solche Konstellationen ist in den meisten Fällen das, was Thürck das "Azubi-Syndrom" nennt: "Die Auszubildenden durchlaufen alle Abteilungen und sammeln dadurch mit der Zeit die meisten Rechte an." "Daccord" decke das auf.

Bei der Auswahl der Software war Thomas Thürck wichtig, dass die gewählte Lösung Support aus Deutschland anbietet. Zudem musste sie systemübergreifend funktionieren. "Wir hatten auch drei andere Lösungen in der engeren Wahl, aber eine davon unterstützt zum Beispiel fast nur SAP, das kam für uns nicht infrage", berichtet der Divisional Information Officer.

Für "Daccord“ sprach zudem, dass sich darüber auch Cloud-Anwendungen überprüfen lassen. Bilfinger Berger Facility Services nutzt Salesforce.com. Die Zugangsrechte dafür vergibt und verantwortet der Vertriebsleiter. "Bisher ist Salesforce noch nicht an die übergreifende Rechteüberwachung und -verwaltung angeschlossen, das soll aber in Kürze geschehen", sagt Thomas Thürck.

Das Unternehmen der Bilfinger Berger Facility Services