Bevor Welser Profile tenfold einführte, waren Berechtigungsmanagement-Prozesse komplett manuell. Das belastete den IT-Service-Desk und erschwerte die Übersicht über alle Berechtigungen. [...]
Bevor man bei Welser Profile auf die Identity Access Management Lösung tenfold umstieg, mussten sämtliche Prozesse zur Verwaltung von Benutzeridentitäten und Berechtigungen manuell durchgeführt werden. Die Herausforderung hierbei war es, den Überblick über alle Berechtigungen im Unternehmen zu behalten und die IT, in Anbetracht des hohen Arbeitspensums, vor einer Überlastung zu bewahren.
Welser Profile ist ein global tätiges Unternehmen mit 2.400 MitarbeiterInnen (davon 1.500 IT-User), das sich auf die Entwicklung und Produktion von rollgeformten Sonderprofilen, Profilrohren und Baugruppen aus Stahl und Nichteisenmetallen spezialisiert hat.
Vor tenfold: Langes Warten auf Berechtigungen
Wenn einer der 1.500 IT-User bei Welser Profile, zum Beispiel im Zuge von Projektarbeit, Zugriff auf einen bestimmten Ordner benötigte, für den er zu dem Zeitpunkt noch keine Berechtigung besaß, musste er dies dem entsprechenden Dateneigentümer (Abteilungsleiter, Projektleiter) mitteilen. Dieser trug daraufhin die Berechtigungsanforderung in eine Excel-Liste ein verständigte die IT über ein Ticketsystem. Die IT wiederum war für die technische Umsetzung der Anfrage zuständig – keine leichte Aufgabe bei rund 1.500 IT-Usern an unterschiedlichen Standorten. Auf Grund des hohen Aufwands bedingt durch die manuelle Verwaltung mussten User oftmals bis zu 24 Stunden auf ihre Berechtigungen warten.
Kein Reporting möglich
Auch war es über die geführte Excel-Liste nicht vorgesehen oder möglich, einen Bericht über den Ist-Zustand der Berechtigungen zu exportieren. Dies machte es für die IT-Fachkräfte bei Welser Profile äußerst schwer, den Überblick über alle Berechtigungen im Unternehmen zu behalten und rechtzeitig jene Berechtigungen zu entziehen, die nicht mehr benötigt wurden. Privilege Creep und Insider Threat sind hier nur einige der Bedrohungen, die mit einer Überberechtigung von Endanwendern einhergehen.
Hauptanforderungen an eine IAM-Lösung
Um Abhilfe zu schaffen begab sich das Unternehmen 2018 daher auf die Suche nach einer Identity- und Access-Management-Lösung, die im Wesentlichen folgende Anforderungen umsetzen sollte:
- Berechtigungsvergabe über Data Owner anstatt über IT
- Reporting
- Entlastung des IT-Service-Desk durch Automatisierung
- Prozessoptimierung
- Verwaltung von DFS-Shares
Zur näheren Evaluation wurden drei Identity Access Management Produkte herangezogen, darunter auch tenfold. Überzeugen konnte tenfold letztendlich durch den breiten Funktionsumfangs, die einfach zu bedienende Benutzeroberfläche sowie der unkomplizierten und schnellen Implementierung. Außerdem war die Möglichkeit zur Verwaltung von DFS-Shares gegeben, was bei den Konkurrenzprodukten nicht der Fall war. Zudem war die Möglichkeit, über Plugins bei Bedarf weitere Anwendungen und Systeme anzubinden, mit Blick auf die Zukunft nicht unwichtig.
Umsetzung & Nutzung von tenfold
tenfold ist für sein einfaches und schnelles Deployment bekannt und konnte auch direkt von Welser Profile, ohne viel Unterstützung des tenfold Support Teams, im System konfiguriert und ausgerollt werden. Anfangs wurde die Software an weniger komplexen Ordnerstrukturen getestet und ist mittlerweile an drei Unternehmensstandorten auf die Ordnerstruktur ausgerollt.
In erster Linie wird tenfold zur Verwaltung von Fileserver-Berechtigungen und DFS-Shares eingesetzt, aber auch für die jährliche Rezertifizierung von Berechtigungen. Bei diesem Prozess, der auch als „User Access Review“ bekannt ist, werden abgelaufene oder obsolete Ordnerberechtigungen von den zuständigen Dateneigentümer ausfindig gemacht und auf ihre Notwendigkeit hin geprüft. In einer zweiten jährlichen Rezertifizierung werden administrative Active-Directory-Gruppen durch die IT geprüft und überflüssige administrative Rechte entfernt.
Was hat sich seit tenfold verändert?
„tenfold verkürzt die Bearbeitungszeit für Berechtigungsfreigaben erheblich. Früher dauerte es bis zu 24 Stunden, um eine Berechtigung zu erhalten, nun gelingt das innerhalb von 10-15 Minuten. Diese Verbesserung verhilft unseren Abteilungen zu mehr Geschwindigkeit und Effizienz.“
Oliver Schubert, Infrastrukturbereich bei Welser Profile
Nach wie vor zuständig für die Genehmigung von Berechtigungen sind die Dateneigentümer aus den unterschiedlichen Abteilungen. Allerdings wird bei der technischen Umsetzung der Berechtigungsvergabe die IT nun ausgeklammert, denn diesen Part übernimmt tenfold automatisch im Hintergrund. Gleichzeitig führt tenfold Protokoll darüber, wer eine Berechtigung genehmigt hat und bis wann sie gültig ist. Die IT-Fachkräfte bei Welser Profile sind von redundanten Aufgaben befreit und haben mehr Zeit für wichtigere Themen zur Verfügung.
*Der Autor Helmut Semmelmayer ist VP Revenue Operations bei tenfold.
Be the first to comment