Credentialmanagement
Im Kundenprojekt „User- und Credentialmanagement“ verantwortet die VISPIRON SYSTEMS als Projektpartner die sichere Zugriffsverwaltung auf Projektinformationen. Entwicklungsbeteiligte haben, aufgrund ihres Projektauftrages, unterschiedliche Zugriffs- und Berechtigungsstufen auf Informationen, Nutzungsrechte an Softwaretools und Dokumentenstrukturen. VISPIRON SYSTEMS gewährleistet durch ein transparentes und revisionssicheres Usermanagement die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.
1. Ausgangssituation - Sicherstellung der Zugriffsrechte
Unser Kunde entwickelt zusammen mit zahlreichen Partnern hochkomplexe Software für Fahrerassistenzsysteme. Da die agilen Entwicklungsprozesse zwischen allen Stakeholdern stark vernetzt sind, ergibt sich ein hoher Anspruch an die Nutzer- und Zugriffsverwaltung. Das Usermanagement ist eine Kernaufgabe des IT-Administrators. Benutzeraccounts und Benutzerkennungen werden durch diesen eingerichtet. Zu seinen Aufgaben zählt ebenfalls die Vergabe und der Entzug von Zugriffsberechtigungen auf IT-Systeme oder entsprechende Anwendungen. Die Benutzerverwaltung kann lokal im betroffenen System oder über eine extern angebundene, zentralisierte Datenbanklösung erfolgen. Auf diese Art und Weise wird im Unternehmen sichergestellt, dass nur berechtigte User Zugriff auf definierte Daten bzw. Plattformen haben. Dies ist eine essentielle Voraussetzung bei agilen Entwicklungsprozessen, an welchen mitunter mehrere Hundert Entwickler gleichzeitig arbeiten.
2. Herausforderung - User Management
Das Usermanagement bei unserem Kunden fiel bislang in das Aufgabengebiet eines Mitarbeiter in seinem Team und wurde nicht losgelöst in einer gesonderten Rolle verantwortet. Diese Mehrbelastung führte zu einem langen, intransparenten Prozess in der Antragsbearbeitung und zu einer hohen Zahl an falschen oder nicht mehr aktuellen Berechtigungen. Eine große Gefahr für viele agile und firmenübergreifende Entwicklungsprojekte stellen die Industriespionage oder die illegale Wettbewerbsabsprachen dar.
3. Vorgehensweise - Sicherheitskonzept
Es galt für uns die bestehenden Prozesse der Berechtigungsverwaltung ohne Einschränkungen des Tagesgeschäfts für den Kunden zu übernehmen und unter Einhaltung höchster Sicherheitsaspekte zu verbessern. Als erster Schritt wurde ein transparentes Sicherheitskonzept – ein sogenanntes “Permission Handbook – Handbuch für Zugriffsberechtigungen” erstellt und im zweiten Schritt umgesetzt. Dieses Konzept umfasste die Verifizierung aller Nutzer- und Zugriffsanfragen, die Verfolgung des Freischaltungsprozesses, die Dokumentation aller Anfragen und Anpassungen, sowie die Sicherstellung der Archivierung zum Zwecke der Revisionssicherheit. Das Konzept führte in weiterer Folge zu einer erheblichen Verkürzung der Reaktionszeit. Nach wie vor beraten, unterstützen und begleiten wir unseren Kunden in Sachen Prozesskonformität hinsichtlich aller relevanten ISO-Normen (Need-to-know-Prinzip) und führen dabei regelmäßig interne Audits zur Prozessüberwachung durch. Dafür setzen wir agile Tools wie Jira/Confluence als primäres Kommunikationsmittel ein. Die relevanten Prozessschritte für die jeweils berechtigten User werden erfasst und dokumentiert.
4. Fazit - Automatisierung der Freigabeprozesses
Wir automatisierten den Freigabeprozess für die im Einsatz befindlichen Tools mit der Möglichkeit einer kontinuierlichen und dynamischen Anpassung des Prozesses. Dadurch konnten wir die Anzahl der falschen Berechtigungen von 12% auf 1% reduzieren. Wir generieren fortlaufend eine hohe Effizienz der Abläufe von über 200 unterschiedlichen Projekten. Weiter gewährleisten wir sowohl Sicherheit und Transparenz der Entwicklungsdaten, als auch eine 100%-ige Revisionssicherheit gegenüber dem Konzern und dem Kartellamt.
