Notwendigkeit von Autorisierung
In Unternehmen werden Tausende oder gar Millionen von Transaktionen innerhalb der IT Systeme durch Mitarbeiter täglich durchgeführt. Speziell in Banken, in denen besonders sensible Kundendaten gespeichert werden, stellt sich für jede Transaktion oder für jeden Geschäftsvorfall die Frage, ob der entsprechende Mitarbeiter auch die benötigten Berechtigungen hierfür hat.
Beispielhaft sollte ein Autorisierungssystem in der Lage sein, folgende Fragen zu beantworten:
- Darf ein Mitarbeiter der Filiale Hamburg auf Kundenkonten der Filiale München zugreifen?
- Darf Mitarbeiter Mustermann auf das Mitarbeiterkonto seines Vorgesetzten zugreifen? Wenn nicht, darf er dann vielleicht wenigstens eine Einzahlung auf dieses Konto verbuchen?
- Dürfen Mitarbeiter des Privatkundengeschäfts auch Firmenkredite in das System eingeben?
- Welche Mitarbeiter dürfen generell auf Personaldaten der Personalabteilung zugreifen?
Autorisierung in IT Systemen
Es wird schnell klar, daß praktisch jede Aktion eines Mitarbeiters auf die entsprechende Autorisierung hin geprüft werden muß. Hierbei geht es nicht nur darum, auf welche Daten (Kontostände, Kundendaten, Personaldaten, etc.) sondern auch auf welche Anwendungen (Krediterfassung, Kontoübersicht, Personalabteilungssysteme, etc.) ein Mitarbeiter Zugriff und Berechtigung hat. Ein Unternehmen benötigt daher zwingend ein System, in dem Zugriffsrechte auf Daten und Ausführungsrechte von Anwendungen administriert werden können, diese Rechte dann an Personen vergeben werden können und diese dann im täglichen Betrieb vollautomatische überprüft werden.
Ein System, das solche Autorisierungsprüfungen durchführt muß daher primär folgende Anforderungen erfüllen:
- Regelmäßige Verifizierung der Rechte (Administration der Rechte).
- Regelmäßige Überprüfung ob zugewiesene Rechte eines Nutzer noch benötigt werden oder entzogen werden können (Administration der Benutzer).
- Um den täglichen Geschäftsablauf der Mitarbeiter nicht zu beeinflussen muß eine Autorisierungsprüfung in wenigen Millisekunden bearbeitet werden. Das Autorisierungssystem muß hochperformant sein.
- Das Autorisierungssystem muß 24 Stunden und 365 Tage ohne Unterbrechung verfügbar sein. Ein Ausfall eines solchen zentralen Systems würde bedeuten, daß keine einzige Tätigkeit in einer IT Anwendung im Unternehmen mehr durchgeführt werden kann.
In der Praxis werden einzelnen Nutzern nicht einzelne Rechte zugewiesen. Eher werden einzelne Rechte zu sogenannten Rollen zusammengefaßt. Beispielweise könnte die Rolle "Kassierer" folgende Rechte enthalten:
- Anmeldung an das Buchungssystem.
- Ein- und Auszahlungsbuchungungen auf alle Konten der Filiale (inkl. Mitarbeiterkonten) bei der er angestellt ist.
- Zugriff auf Kontostände aller Filialkonten.
- Betreten des Filialtresorraums mit seinem Mitarbeiterausweis zum Verwalten der Bargeldbestände.
Eine solche Rolle wird dann einem (order mehreren) Mitarbeiter zugewiesen. Da Mitarbeiter in der Regel viele verschiedene Tätigkeiten ausüben, haben sie auch in der Regel mehrere verschiedene zugewiesene Rollen.
Implementierung eines Autorisierungssystems
Durch die sehr speziellen Anforderungen an ein solches System, insbesondere die permanente Verfügbarkeit und die kurze Verarbeitungszeit einer Anfrage, sind Autorisierungssystem schon seit Jahrzehnten üblicherweise Mainframe basierte Anwendungen.
Gewandelt hat sich allerdings die Adminstration von Rechten, Rollen und Nutzern. An die Stelle von 3270-Terminalmasken sind inzwischen moderne Webapplikationen getreten. Die Benutzerfreundlichkeit und damit auch die Akzeptanz solcher Systeme hat dadurch signifikant zugenommen.
Der Einsatz unserer Kompetenz
- Mitarbeit bei der Weiterentwicklung von Webapplikationen zur Administration eines Autorisierungssystems einer deutschen Großbank.
- Management von Projekten zur Erhöhung der Benutzerfreundlichkeit der Webapplikationen.
- Analyse und Umsetzung von Methoden zur Erhöhung der IT Sicherheit der Webapplikationen.