Anekdoten rund um die Regelung von Zugriffsrechten machen nur hinter vorgehaltener Hand die Runde. Wenn Ex-Mitarbeiter mit nicht zurückgegebenen Hausausweisen weiterhin in der Kantine essen, ist das noch zu verschmerzen. Deutlich unangenehmer wird es, wenn einstige Außendienstler Zugriff auf interne E-Mail-Verteiler und Kundendatenbanken behalten, weil ihre Nutzerkonten nicht stillgelegt wurden.
Identity Management macht nicht nur am Ende eines Arbeitsvertrags Arbeit und Probleme. Der Wirrwarr der Rechte verzögert auch den Zeitpunkt, bis neue Projektmitarbeiter ihre Telefonnummer zugewiesen bekommen und in die Verzeichnisse eingetragen werden. Und Kunden, die Informationen zum Lagerbestand benötigen oder Rechnungen einsehen wollen, müssen warten, bis Systemadministratoren Zugriffsrechte erteilt haben.
Provisioning für 5000 Mitarbeiter
Um diese Probleme zu lösen, setzt Webasto, Hersteller von Standheizungen, Schiebedächern und Klimaanlagen für Kraftfahrzeuge, für seine 5000 Mitarbeiter seit 2001 eine Provisioning-Software ein. "Wir wollten den Aufwand bei der Verwaltung der Nutzer reduzieren", sagt Bernd Göllnitz, IT-Leiter des Unternehmens. Außerdem seien Sicherheitsfragen ausschlaggebend gewesen, denn Zugriffsrechte beim Abteilungswechsel oder Ausscheiden aus der Firma sollten zentral geregelt werden.
"Das Problem, mit dem sich die Unternehmen auseinander setzen müssen, kennen wir seit Jahren", sagt Dirk Fox von der Sicherheitsberatung Secorvo. Der Consultant verweist auf die verschiedenen Ansätze der letzten Zeit, etwa das "Single Sign-on", das bereits als Lösung angeboten wird. "Inhomogenität und Komplexität der IT-Landschaften erschweren jedoch zunehmend die Verwaltung der Nutzer", so Fox. Die erhöhte Aufmerksamkeit, die Analysten von Gartner oder Butler dem Thema mittlerweile widmen, freut den Fachmann, denn "so werden neue technische Lösungen stimuliert".
Gegen die Einschätzung von Fox verwahrt sich Peter Höhne, Geschäftsführer der deutschen Niederlassung des Provisioning-Anbieters Business Layers. "Mitarbeiter sollten automatisiert und kontrolliert verwaltet werden, eingebettet in die normalen Arbeitsabläufe", so Höhne. Mit dem Eintritt ins Unternehmen sollten neue Mitarbeiter Zugriff auf Datenbanken und Rechner erhalten. Zugleich, so Höhne, sorge die Lösung für die Bestellung von Telefondurchwahl und Visitenkarten. "Das Profil hängt davon ab, welche Rollen ein Neuzugang ausfüllen soll", erläutert der Business-Layers-Mann.
Anwender ändern ihre Adressen selbst
Mit dem Eintrag eines neuen Mitarbeiters in die Provisioning-Datenbank werden die Abläufe angestoßen, um ihm alle Rechte und Ressourcen zu verschaffen, die er für seinen Job braucht. Umgekehrt entzieht die Software beim Ausscheiden eines Mitarbeiters die Rechte wieder. Gleichzeitig pflegt sie eine Liste, welche Arbeitsgeräte und Ausweise einzuziehen oder zu deaktivieren sind.
Sind Provisioning-Lösungen an CRM-, ERP- oder Personalsysteme angebunden, dann kann ein Teil der Aufgaben auch auf Anwender übertragen werden. Wer umzieht, kann seine Adresse im CRM-System der Firma selbst ändern. Die Software nimmt die geänderten Daten entgegen und schleust sie durch zur CRM-Datenbank. Kontrollfunktionen verschaffen den Administratoren einen Überblick, wer welche Rechte hat.
Das ist nicht trivial, wie man heute bei Webasto weiß. "Wenn Mitarbeiter mehrere Funktionen ausführen, lassen sich die Rechte nicht immer eindeutig zuordnen", sagt IT-Chef Göllnitz. Zudem müssten die Schnittstellen des Provisioning-Systems zur Zielsoftware bei einem Versionswechsel angepasst werden. Daher hat er sich darauf beschränkt, den Zugriff auf zentrale Anwendungen wie Office-Software, ERP und E-Mail durch die Provisioning-Software zu regeln. "Unser Aufwand zur Administration ist so gesunken", sagt Göllnitz.
Noch sehen Analysten der Butler Group den Markt für Provisioning-Software in einer frühen Phase. Anbieter wie RSA Security, Entrust oder Netegrity versprächen zwar vollständige Lösungen, doch bei vielen Herstellern klafften noch Lücken in der Software. Zudem ist Identity Management durch seine Komplexität beratungsintensiv. Um den RoI transparenter zu machen, kooperiert IBM mit der Unternehmensberatung Deloitte & Touche, die Identity-Management-Lösungen auf der Basis der Systemmanagement-Software Tivoli zum Festpreis bietet. Kosten: etwa 200 000 Euro für 1500 Mitarbeiter.
Analysten raten Firmen, nach Ersatz für das derzeitige Stückwerk in der Rechteverwaltung zu suchen. Mit der Verknüpfung von Unternehmensnetzwerken und Internet werde ein nutzerorientierter Ansatz immer wichtiger. Den ersten Schritt hat das Industriekonsortium Oasis, das E-Business-Standards entwickelt, bereits Ende 2003 gemacht. Oasis verabschiedete die erste Version der SPML (Service Provisioning Markup Language). Das XMLbasierte Regelwerk soll eine plattformübergreifende Lösung ermöglichen.