Alle 14 Tage aktuelle News aus der IT-Szene >
Gastbeitrag: Wie die AAU Klagenfurt effizient Compliance-Richtlinien erfüllt, weiß Sascha Giese
Foto: SolarWinds Der Autor Sascha Giese ist „Head Geek“ bei SolarWinds Seit der Gründung im Jahr 1970 hat sich die Alpen-Adria-Universität Klagenfurt (AAU) als global vernetzte Forschungsinstitution etabliert. Als eine der größten staatlichen Bildungseinrichtungen Österreichs unterliegt sie den Anforderungen der europäischen Datenschutzgrundverordnung. Doch nicht nur neue Richtlinien in Sachen IT-Sicherheit und Datenschutz haben die AAU veranlasst, ein effizientes wie transparentes System für ihr Rechtemanagement einzuführen. Die Herausforderungen sind auch interner Natur.
Die Universität pflegt einen hohen Anspruch im Bereich anwendungsorientierter Forschung und Lehre, was zu kurzzeitigen und häufig wechselnden Dienstverhältnissen mit Experten aus Wirtschaft und öffentlicher Verwaltung führt. Den jeweiligen Mitarbeiter-Lifecycle mit all seinen individuellen Dateizugriffsrechten korrekt darzustellen, stellt für die IT-Administration eine große Herausforderung dar. Gewachsene Berechtigungsstrukturen sind eine weitere Ursache für zeitraubende Recherchen und aufwendige Datenanalysen. Zur Stärkung der inneren IT-Sicherheit für (sensible) Daten war also eine Neustrukturierung des Berechtigungskonzepts erforderlich.
Im Zuge des Betriebssystemwechsels von Novell zu Microsoft und der Neustrukturierung des Berechtigungskonzepts für eine sichere Rechteverwaltung suchte die IT-Administration eine Managementlösung, die die etablierte Identity-Management-Lösung perfekt ergänzt und zusätzliche Sicherheits-Features bietet. Bei ihrer Recherche nach Möglichkeiten zur Erweiterung der Microsoft Bordmittel stießen die Administratoren auf das Berechtigungsmanagementsystem von SolarWinds. Gewünscht wurde ein schlankes, einfach bedienbares Tool, das unter anderem ermöglicht, unternehmerische Compliance-Richtlinien beispielweise in Bezug auf die EU-DSGVO einzuhalten. Auch galt es, ein Data-Ownership-Konzept zu etablieren, um intern das Bewusstsein für Sicherheit in der IT zu stärken.
Der neue Access Rights Manager ermöglicht nun die Verwaltung von Zugriffsrechten direkt im System. Damit werden Mitarbeitern und auch kurzzeitigen Lehrkräften automatisiert Standardzugriffsrechte in den jeweiligen Rollen und Organisationszugehörigkeiten entsprechend vergeben. Nur darüberhinausgehende individuelle Rechte werden durch die Datenbesitzer und das webbasierte Selfservice-Feature autorisiert. Anforderungs- und Genehmigungsworkflows sind über diese Webschnittstelle benutzerfreundlich abbildbar. Alle Abläufe werden zudem lückenlos dokumentiert: Auf Knopfdruck lassen sich Berichte darüber erstellen, wer wann auf welche Informationen Zugriff hat und hatte. Damit und mit weiteren Monitoring- und Reporting-Funktionalitäten ist die IT der AAU also stets im Bilde darüber, welche und wie Daten innerhalb des Universitätsnetzwerks genutzt werden und kann die Analysen bei Bedarf im Sinne der Auskunftspflicht bei möglichen Compliance-Verstößen oder Cyberangriffen offenlegen.
Die IT-Verantwortlichen zeigen sich sehr zufrieden mit dem neuen Access Rights Management: „Wir können nun Standardzugriffsrechte automatisiert über Rollen und Organisationszugehörigkeiten vergeben, Anforderungs- und Genehmigungsworkflows über die Webschnittstelle benutzerfreundlich abbilden und eine vollständige Audit-Dokumentation nachweisen“, erklärte Hermann Maier, Direktor des Zentralen Informatikdienstes, Alpen-Adria-Universität Klagenfurt. „Damit sind wir zuversichtlich, auch die Transparenzanforderungen im Zuge der Umsetzung der EU-DSGVO zum Thema File Access Management gut erfüllen zu können.“
Die AAU Klagenfurt konnte mithilfe des Access-Rights-Management-Systems nicht nur ihre Zugriffsrechteverwaltung transparenter machen, sondern auch der IT eine beträchtliche Zeitersparnis durch automatisierte Prozesse verschaffen. Zudem wird damit eine größere Flexibilität durch Antrags- und Berechtigungsworkflows ermöglicht. Und selbst, wenn die Fluktuation an Experten durch ständig wechselnde und abgeschlossene Anwendungsschwerpunkte steigt und sich Berechtigungsmaßnahmen weiter häufen, die Beweisführung in Sachen Datenschutz und IT-Sicherheit ist straffer denn je.