GEHE vergibt Zugriffsrechte automatisch und systemübergreifend

Rund 2.900 Mitarbeiter beschäftigt die GEHE Pharma Handel GmbH an 19 Standorten in ganz Deutschland. Für die IT-Administratoren brachte diese heterogene Firmenstruktur einen enormen Aufwand mit sich. Mussten sie doch die Zugriffsrechte für jeden Mitarbeiter einzeln frei schalten – und zwar separat für alle 19 Standort-Server. Durch den Einsatz eines Identity Management-Systems konnte der Pharmagroßhändler dieses Aufwand erheblich reduzieren.

Wer darf in einem Unternehmen auf welche Daten zugreifen? Welche Benutzerrechte sind mit einer bestimmten Position verbunden? Wie lässt sich verhindern, dass Unberechtigte auf sensible Daten oder Anwendungen zugreifen können? Hinter diesen Fragen verbirgt sich ein komplexes Regelwerk, das eine Vielzahl möglicher Szenarien in sich einschließt: Neue Mitarbeiter kommen, andere wechseln die Abteilung, wieder andere verlassen das Unternehmen. Für die Benutzerverwaltung bedeutet das: Zugriffsrechte müssen neu verteilt, Benutzerkonten angepasst oder deaktiviert werden. Hinzu kommen häufig noch Partner und Lieferanten, die ebenfalls Zugriff auf ausgewählte Anwendungen benötigen. Für viele IT-Administratoren ist die Benutzerverwaltung deshalb mit einem großen Aufwand verbunden. Doch das zeit- und kostenintensive Unterfangen lässt sich kaum umgehen. Denn entstehen Lücken im System, sind geschäftskritische Daten schutzlos unerlaubtem Zugriff ausgesetzt. Die Vergabe von individuellen Zugriffsrechten ist deshalb in hohem Maße sicherheitsrelevant.

 

Zugriffsrechte für 19 Standorte verwalten

 

Der Stuttgarter Pharmagroßhändler GEHE war sich dessen stets bewusst. „Aufgrund unserer Tätigkeit in der Pharmabranche müssen wir bei der Benutzerverwaltung strengere Sicherheitsmaßstäbe anlegen als andere Unternehmen. So müssen wir beispielsweise die Vorschriften der US-amerikanische Gesundheitsbehörde FDA (Food and Drug Administration) einhalten, die für die Aufzeichnung von Daten in elektronischer Form bestimmte Vorgaben macht“, erklärt Robert Henke, Manager Infrastructure Group Intel bei der GEHE Pharma Handel GmbH. Mit den damit verbundenen hohen Administrationskosten wollte sich das Unternehmen allerdings nicht abfinden.

Bis Ende 2003 mussten die IT-Administratoren von GEHE die Zugriffsrechte für jeden Mitarbeiter einzeln freischalten – und zwar separat für alle 19 Standort-Server. Da das Einrichten eines neuen Benutzerkontos inklusive Ein- und Ausloggen etwa fünf Minuten dauert, war der Administrator insgesamt über eineinhalb Stunden damit beschäftigt, die Zugriffsrechte für einen neuen Mitarbeiter anzulegen. „Dieser Zustand war unhaltbar“, blick Robert Henke zurück. „Unsere IT-Verantwortlichen sollten entlastet werden, damit sie sich wieder voll und ganz auf ihre Kernaufgaben konzentrieren konnten.“

Um die Vergabe der Zugriffsrechte für die rund 2.900 Mitarbeiter effizienter zu gestalten und zeitgleich die Sicherheitsstandards bei der Benutzerverwaltung zu erhöhen, entschloss sich GEHE, eine Identity-Management-Lösung einzuführen.

 

Unabhängiges Beraterhaus übernimmt stockendes Projekt

 

Die Wahl fiel auf den Novell Identity Manager. Die Softwarelösung sollte den Administrationsaufwand spürbar verringern. Doch die angestrebte automatisierte, systemübergreifende Rechtevergabe gelang nicht auf Anhieb. Zum einen erwies sich die Regelstruktur für die automatisierte Rechtevergabe als hoch komplex. Zum anderen war auch die heterogene IT-Landschaft unterschätzt worden. „In unseren Niederlassungen nutzen wir verschiedene Plattformen wie Windows NT und IBM AIX. Sie alle sollten an das Identity Management-System angeschlossen sein“, erklärt Robert Henke. Nachdem das Projekt ins Stocken geraten war, suchte GEHE Hilfe bei einem herstellerunabhängigen Berater. Unterstützung fand der Pharmagroßhändler bei deron, einem auf Identity Management-Systeme spezialisierten Beratungshaus mit Sitz in Stuttgart.

Als die Stuttgarter Berater das Projekt übernahmen, war es bereits ein Stück weit vorangeschritten. Dennoch begannen die deron-Mitarbeiter noch einmal mit einer grundlegenden Analyse. „Das Projekt war ein gutes Beispiel dafür, dass die häufig angepriesene Plug-and-Play-Philosophie solch komplexen IT-Projekten nicht gerecht wird“, erklärt Klaus Scherrbacher, Geschäftsführer bei deron. „Häufig sprengen gerade solche Projekte, die ohne die notwendige Vorarbeit umgesetzt werden, den Zeit- und Kostenrahmen. Wir setzen auf eine umfassende Analyse, bei der im Vorfeld sämtliche Fragen detailliert geklärt und unterschiedliche Szenarien durchgespielt werden.“ Da ein Identity-Management-System sehr viele Anwendungsmöglichkeiten bietet, ist eine vorherige ausführliche Anforderungsanalyse unverzichtbar. Denn nicht alles, was möglich ist, ist auch sinnvoll – insbesondere in Hinblick auf die Kosten-Nutzen-Relation. „Diese analytische Vorgehensweise von deron hat uns besonders gut gefallen“, erinnert sich Robert Henke.

 

Aus einem Standardprodukt wird eine maßgeschneiderte Lösung

 

Gemeinsam mit den Projektverantwortlichen von GEHE erstellten die deron-Berater dann ein individuelles Konzept, um die Novell-Lösung an die spezifischen Bedürfnisse des Pharmahändlers anzupassen. Dabei zeichnete sich ab, dass das Unternehmen die Warenwirtschaftssysteme seiner 19 Niederlassungen zentral verwalten wollte und auf eine einheitliche Oberfläche für Benutzer und Administratoren Wert legte. Jeder Mitarbeiter-Account sollte nur noch einmal eingerichtet werden. Die Rechtevergabe für alle weiteren Server sollte künftig über klar definierte Regeln automatisch erfolgen. Für eine Entlastung der IT-Verantwortlichen sollte eine rollenbasierte Administration sorgen. Über diese Rollen definiert der Administrator, welche Zugriffsberechtigungen ein Mitarbeiter erhalten soll. So wird darin beispielsweise festgelegt, auf welche Informationen Vertriebsmitarbeiter zugreifen dürfen oder welche Anwendungen für die Personalsachbearbeiter relevant sind. Ist eine Rolle einmal erstellt, kann sie automatisiert vergeben und beliebig oft – und damit auch sicher und kostengünstig – zugeteilt werden.

Nachdem die Anforderungen detailliert geklärt waren, begann deron die vorhandene Identity Management-Lösung anzupassen, alle relevanten Voreinstellungen vorzunehmen und Regeln zu hinterlegen. Um das Projekt überschaubar zu halten, setzte deron eine Funktion nach der anderen um. Erst wenn eine Funktion erfolgreich implementiert war, folgte die nächste. Mit dieser schrittweisen Einführung stellte das Beraterhaus sicher, dass das Projekt exakt im vereinbarten Kostenrahmen blieb.

 

Account-Vergabe in zwei Minuten

 

Inzwischen profitiert GEHE von sämtlichen Vorteilen, die sich durch den Einsatz der maßgeschneiderten Identity Management-Lösung ergeben. Als besonders positiv betrachtet der Pharmagroßhändler die enormen Zeiteinsparungen. Für die Einrichtung eines neuen Benutzerkontos benötigen die Administratoren heute noch zwei Minuten. Dieses wird übergreifend für alle Standorte und Anwendungsbereiche genutzt. „Jeder Benutzer hat jetzt nur noch einen Account für alle Systeme unter AIX und Windows – einschließlich Siebel, Lotus Notes, Microsoft Exchange und verschiedener Intranet-Anwendungen“, freut sich Robert Henke. Da sich die Konten innerhalb von Minuten einrichten lassen, können neue Mitarbeiter unmittelbar nachdem ihre Daten an die Personalstelle übermittelt wurden auf alle relevanten Anwendungen zugreifen und sofort mit der Arbeit beginnen.

Hinzu kommt, dass sich die Anwender lediglich einmal im System anmelden müssen (Single Sign On). Denn nach der Umstellung genügt ein einziges Passwort, um sich an den verschiedenen Systemen und Anwendungen anzumelden.

 

Geschäftskritische Daten vor Missbrauch schützen

 

Auch die wichtigen sicherheitstechnischen Aspekte hat der Pharmagroßhändler mit der Identity Management-Lösung verbessert. Wechselt ein Mitarbeiter die Abteilung oder verlässt er das Unternehmen ganz, lassen sich die Zugänge über eine einzige Aktion sperren. Sämtliche Berechtigungen werden danach im Hintergrund angepasst bzw. verlieren sofort ihre Gültigkeit.

Um das Passwort selbständig ändern zu können, implementierte deron zudem einen Self-Service mit Passwortsynchronisation – eine wichtige Voraussetzung, um bei Bedarf und ohne administrativen Mehraufwand strengere Passwortvorschriften einführen zu können. Somit ist der Pharmagroßhändler auch auf künftige Anforderungen gut vorbereitet. Robert Henke zeigt sich mit den Verbesserungen sehr zufrieden: „Die Lösung erfüllt unsere Vorgaben für Sicherheit voll und ganz. Sie trägt einen erheblichen Teil dazu bei, unsere geschäftskritischen Daten zu schützen. Und natürlich hat sie uns geholfen, den Administrationsaufwand auf ein Minimum zu reduzieren.“

 

Vorteile auf einen Blick:

 

Zeit- und Kosteneinsparungen durch vereinfachte Rechtevergabe

  • Entlastung der Mitarbeiter durch Single Sign On
  • Sofortiger Datenzugriff für neue Mitarbeiter
  • Sofortige Sperrung ehemaliger Mitarbeiter
  • Alle Niederlassungen sowie unterschiedliche IT-Systeme und Anwendungen an ein Identity Management-System angeschlossen