I.  Inhaltsverzeichnis  

II.  ABBILDUNGSVERZEICHNIS  VI

III.  TABELLENVERZEICHNIS  VII

IV.  ABKÜRZUNGSVERZEICHNIS  VIII

1  ORGANISATIONSLEHRE.  3

1.1  Definition Organisation  3

1.1.1  Institutioneller Organisationsbegriff  4

1.1.2  Instrumentaler Organisationsbegriff  4

1.1.3  Funktionaler Organisationsbegriff  5

1.2  Aufbauorganisation  6

1.2.1  Definition Organisationsform  6

1.2.2  Einliniensystem  7

1.2.3  Mehrliniensystem.  9

1.2.4  Stabliniensystem  10

1.2.5  Matrixorganisation  14

1.3  Ablauforganisation.  16

1.3.1  Prozessgestaltung  16

1.3.2  Aufgaben  18

2  IDENTITY MANAGEMENT IN ORGANISATIONEN.  21

2.1  Definition Identität.  21

2.1.1  Identität aus psychologischer Perspektive  22

2.1.2  Identität aus mathematischer Perspektive  22

2.1.3  Identität aus rechtlicher Perspektive  23

2.1.4  Abgrenzung des Begriffs „Identität“  25

2.1.4.1  Anonymität  25

2.1.4.2  Pseudonym  26

2.2  Identity Management.  27

2.2.1  Definition und Grundlagen des Identity Managements  27

2.2.2  Prozesse des Identity Managements  30

2.2.3  Ziele des Identity Managements  32

2.2.4  Anwendungsgebiete des Identity Managements.  33

2.3  Zugriffsverwaltung  34

2.3.1  Rollen  35

2.3.1.1  Definition „Rolle“  37

2.3.1.2  Erwartungen an den Rolleninhaber.  39

2.3.1.3  Rollenmodellierung.  41

2.3.1.3.1  Rollenmodellierung nach Aufgabenbereichen.  46

2.3.1.3.2  Rollenmodellierung nach Hierarchieebenen  50

2.3.2  Regeln  52

2.3.3  Gruppen.  53

2.3.4  Gegenüberstellung von Rollen und Gruppen.  54

2.3.5  Rechte.  55

3  KONZEPT ZUR UMSETZUNG ROLLENBASIERTER ZUGRIFFE  56

3.1  Role Based Access Control  56

3.1.1  Komponenten von Role Based Access Control Systemen.  58

3.1.2  Zu lösende Probleme.  61

3.1.3  Vorteile im Überblick  63

3.1.4  Workflow - Automation.  66

3.2  Requirements.  67

3.3  Design  69

3.4  Implementation  71

3.4.1  Richtlinien zur Implementation  73

IV

3.4.2  Testphase.  74

3.4.3  Produktionsphase  74

4  ZUSAMMENFASSUNG  75

4.1  Zusammenfassung.  75

VI.  LITERATURVERZEICHNIS  IX

VII.  ANHANG  XVII

V

II.  Abbildungsverzeichnis  

Abbildung  1:Organisationskategorien  

Abbildung  2:Einliniensystem.  

Abbildung  3:Mehrliniensystem.  

Abbildung  4:Zentrales Stabliniensystem  

Abbildung  5:Dezentrales Stabliniensystem  

Abbildung  6:Stabshierarchie.  

Abbildung  7:Matrixorganisation.  

Abbildung  8:Objekt-Regionalmatrix  

Abbildung  9:Gestaltung und Umsetzung von Geschäftsprozessen  

Abbildung  10:Hintergründe des Identity Managements  

Abbildung  11:Lebenszyklus einer digitalen Identität  

Abbildung  12:Einzelautorisierung  

Abbildung  13:Rollenbasierte Administration  

Abbildung  14:Rollenerwartungen im Unternehmen.  

Abbildung  15:Mehrere Rollen pro Benutzer.  

Abbildung  16:Möglichkeit der Partialrollenbildung.  

Abbildung  17:Rollenmodellierung im Unternehmen.  

Abbildung  18:Top-Down Ansatz.  

Abbildung  19:Erläuterung „Induktiv“  

Abbildung  20:Ausgewählte Informationsebenen einer Rollenkonfiguration  

Abbildung  21:Unterteilung der Hierarchieebenen  

Abbildung  22:Rollenbasierte Zugriffsberechtigung  

Abbildung  23:Role Based Access Control - Basiskonzept  

Abbildung  24:Role Based Access Control - Rollenhierarchie.  

Abbildung  25:Beispiel für Rollendefinitionen und dazugehörige Ressourcen.  

Abbildung  26:Beispiel für Rollendefinitionen und dazugehörige Ressourcen.  

Abbildung  27:Role Based Access Control Systemarchitektur.  

Abbildung  28:Rollenbasierte Administration mit Identity Management.  

VI

III.  Tabellenverzeichnis  

Tabelle 1:Rollenerwartungen  in Unternehmen  40

Tabelle 2:Differenzierte  Informationsbedarfe für Mitarbeiter.  49

Tabelle 3:Eigenschaften  von Rollen und Regeln  52

Tabelle 4:Gegenüberstellung  von Rollen und Gruppen.  54

Tabelle 5:Role  Based Access Control -Konzept.  57

Tabelle 6:Überblick:  Schritte zur Umsetzung einer rollenbasierten Lösung  66

VII

IV. Abkürzungsverzeichnis

DI - Digitale Identität

ID - Identität IM - Identity Management IMS - Identity Management System IT - Informationstechnologie ITPM - IT Produktmanager LDAP - Lightweight Directory Access Protocol MSO - Multiple Sign On

NIST - National Institute of Standards & Technology O.V. - ohne Verfasser PIN - persönliche Identifikationsnummer PStG - Personenstandsgesetz PWM - Private Wealth Management RBAC - Role Based Access Control

REFA -Reichsausschuss für Arbeitszeitermittlung, heute Verband für Arbeitszeitstudien ROI - Return on Investment

VIII

S.A. - Société Anonyme SSO - Single Sign On VgR - Vergaberecht VgRÄG - Vergaberechtsänderungsgesetz

IX

Einleitung

Im Rahmen dieser Diplomarbeit soll gezeigt werden, was Identity Management ist und was im Zuge dessen rollenbasierte Zugriffe in Unternehmen ermöglichen können. Dazu werden die Grundlagen des Identity Management zur Umsetzung eines rollenbasierten Zugriffssystems theoretisch erörtert und in einem allgemeinen Konzept manifestiert. Das Ziel der Diplomarbeit ist es die einzelnen Schritte zur Umsetzung eines rollenbasierten Zugriffsverwaltungssystems in Organisationen aufzuzeigen und zu konzeptualisieren.

Das Thema Identity Management beschäftigt sich mit dem Verwalten von Identitäten und der Frage, wer welche Zugriffsrechte besitzt und wie diese Zugriffsrechte administriert werden. Unternehmen sind heute bereit in Identity Management und Zugriffsverwaltungssysteme zu investieren, weil sie die Furcht vor Sicherheitsdefiziten und den damit verbundenen finanziellen Schadensfolgen vermeiden möchten. Das dabei Geschäftsprozesse flexibilisiert und optimiert werden können, wird an entsprechender Stelle der Arbeit aufgezeigt.

In Kapitel eins erfolgt zunächst eine Einführung in das Thema der Organisationslehre. Es werden die grundlegenden Begriffe der Organisationslehre definiert und die verschiedenen Organisationsformen und Prozessgestaltungsmöglichkeiten erläutert. Kapitel zwei geht detailliert auf Identity Management in Organisationen ein. Hier werden die Grundlagen der Zugriffsverwaltung aus Identity Management Sicht erläutert. Weiterhin soll gezeigt werden, welche Vor- und Nachteile Identity Management und rollenbasierte Zugriffsverwaltungssysteme in Unternehmen mit sich bringen.

Kapitel drei fokussiert die einzelnen Schritte zur Erstellung eines allgemeinen Konzeptes zur Umsetzung rollenbasierter Zugriffe in einer Organisation. Dazu werden die Anforderungen, Designvorgaben und Implementationsrichtlinien zur Umsetzung eines rollenbasierten Zugriffssystems definiert.

1

Das abschließende Kapitel vier besteht aus einer Zusammenfassung dieser Arbeit und gibt einen Ausblick auf weitere Entwicklungen des Themenblocks des Identity Managements.

2

1 Organisationslehre

1.1 Definition Organisation

Das Wort „Organisation“ stammt aus dem griechischen und bedeutet wörtliche übersetzt „Werkzeug“. Picot beschreibt die Organisation als ein Instrument, welches uns im Betrieb überall begegnet. 1

Die Organisation dient dabei der Arbeitsteilung ² :

- in einem Unternehmen und

- zwischen Unternehmen. 3

Bei der Interpretation des Begriffes „Organisation“ ist es von entscheidender Wichtigkeit, aus welchem Blickwinkel man diesen betrachtet. In der Literatur wird der Begriff sehr vielseitig verwendet. Die unter dem Oberbegriff „Organisation“ geführten Inhalte lassen sich in drei Kategorien einteilen, welche in Abbildung 1 dargestellt sind und im folgenden Text erläutert werden:

Quelle: Eigene Erstellung in Anlehnung an Picot, A.- Organisation: eine ökonomische Perspektive, 2007.

¹ Picot, A. (2002): Organisation - eine ökonomische Perspektive, 3. Auflage, Stuttgart, S. 5.

² Vgl. Nordsieck, F. (1934): Grundlagen der Organisationslehre, Stuttgart.

³ Vgl. Kosiol, E. (1962): Das Unternehmen als Organisation, Wiesbaden.

3

1.1.1 Institutioneller Organisationsbegriff

Die institutionell akzentuierte Form des Organisationsbegriffes definiert die Organisation als zielgerichtetes, soziales oder sozio-technisches System mit einer formalen Struktur und formalen Prozessen. Geprägt ist die Definition besonders durch die Organisationssoziologie, Organisationspsychologie und durch den Systemansatz in der Betriebswirtschaft. 4

Der institutionell interpretierte Ansatz besagt, dass ein Unternehmen einen besonderen Typ von Organisation darstellt und es daneben noch viele weitere Erscheinungsformen, wie z.B. Behörden, Parteien oder Bildungsstätten, gibt. Die Gemeinsamkeit dieser Institutionen liegt darin, dass sie auf Dauer angelegt sind bzw. gegründet werden. 5

1.1.2 Instrumentaler Organisationsbegriff

In dieser Interpretation des Organisationsbegriffes manifestiert sich der Prozess des „Organisierens“, welchen man als ein Aufstellen von grundsätzlichen Regelungen verstehen muss. Diese Organisationsstruktur besteht nach Schulte-Zurhausen aus einem formalen System mit dauerhaften Regeln, welche das Verhalten der Organisationsmitglieder auf ein gemeinsames Ziel ausrichten sollen. Geregelt werden unter anderem die Verteilung von Aufgaben und Kompetenzen und die genaue Abwicklung von Arbeitsprozessen. 6

Es wird besonderen Wert darauf gelegt, dass die Unternehmung organisiert ist und als Instrument zur Zielerreichung dient.

⁴ Ulrich, H. (1968): Die Unternehmung als produktives soziales System, Bern.

⁵ Vgl. Schulte-Zurhausen, M. (2005): Organisation, 4. Auflage, München, S. 2.

⁶ Vgl. Schulte-Zurhausen, M. (2005): Organisation, 4. Auflage, München, S. 2f.

4

1.1.3 Funktionaler Organisationsbegriff

Der funktionale Organisationsbegriff fasst alle Aktivitäten zusammen, welche im Zusammenhang mit einer Planung, Einführung und Durchsetzung der organisatorischen Regelungen in Verbindung stehen. 7

Eine Organisation muss ständig organisiert werden und ist nach Grochla ein geeignetes Mittel zur „Schaffung einer Organisationsstruktur“. ⁸ Diese funktionale Assoziation stellt die Organisation als eine Funktion des Managements dar. Dabei ist zu beachten, dass sich das Organisieren einer Organisation nicht auf einen Zeitpunkt beschränkt, sondern dass dieser Prozess dauerhaft und permanent vollzogen werden muss. Um dies zu bewältigen sind diagnostische, analytische und gestalterische Fähigkeiten von Nöten. ⁹ Dabei befasst sich die organisatorische Gestaltung eines Betriebes mit der Aufteilung der betrieblichen Gesamtaufgaben in einzelne Teilaufgaben und der erneuten Koordination dieser einzelnen Arbeitsteile zu einem Gesamtziel.

Die Gründer der deutschen traditionellen Organisationslehre - Nordsieck ¹⁰ und Kosiol ¹¹ - sehen in der Wahl der Organisationsform einen maßgeblichen Entscheidungsfaktor für die Produktivität und Wirtschaftlichkeit des späteren Ergebnisses der Organisation (z. B.: ein Produkt oder eine Dienstleistung). Daher wird im nächsten Kapitel detaillierter auf die Organisationsform eingegangen.

⁷ Vgl. Schulte-Zurhausen, M. (2005): Organisation, 4. Auflage, München, S. 4.

⁸ Grochla, E. (1982): Grundlagen der organisatorischen Gestaltung, Stuttgart.

⁹ Vgl. Schulte-Zurhausen, M. (2005): Organisation, 4. Auflage, München, S. 4.

¹⁰ Vgl. Nordsieck, F. (1934): Grundlagen der Organisationslehre, Stuttgart.

¹¹ Vgl. Kosiol, E. (1962): Das Unternehmen als Organisation, Wiesbaden.

5

1.2 Aufbauorganisation

„Die Gestaltung eines dauerhaften Gefüges der Unternehmung bildet den Hauptgegenstand aufbauorganisatorischer Überlegungen.“ ¹² Durch eine Aufbauorganisation erfolgt eine Aufspaltung der Gesamtaufgabe eines Betriebes in Einzelaufgaben, so dass durch die anschließende Kombination dieser Einzelaufgaben eine sinnvolle arbeitsteilige Gliederung und Ordnung der betrieblichen Handelsprozesse entsteht. Diese Aufspaltung der Aufgaben und deren anschließende Kombination führen zu so genannten Stellen. Als Ergebnis zeigt sich eine Struktur als Verknüpfung dieser organisatorischen Grundelemente, die sich als Organigramm darstellen lässt. 13

Die Aufbauorganisation ist in Abhängigkeit der Ablauforganisation zu gestalten, auf welche in Kapitel 1.3 näher eingegangen wird.

Im Folgenden werden die Organisationsformen und -modelle einer Aufbauorganisation näher erläutert.

1.2.1 Definition Organisationsform

Organisationsformen stellen Gestaltungsalternativen der Organisation für eine direkte, unmittelbare Zusammenarbeit von Mitgliedern eines Systems dar. Die Verteilungs- und Arbeitsbeziehungen werden einstufig geregelt. 14

Um einen Betrieb bestmöglich zu organisieren, werden verschiedene Abteilungen definiert. In und zwischen den Abteilungen wird anschließend im Rahmen der Betriebsorganisation festgelegt, wer wem Anweisungen erteilen oder Bericht erstatten muss.

¹² Jung, H. (2000): Allgemeine Betriebswirtschaftslehre, München / Wien.

¹³ Vgl. Jung, H. (2000): Allgemeine Betriebswirtschaftslehre, München / Wien.

¹⁴ Vgl. Bea/Dichtl/Schweitzer (1991), Allgemeine Betriebswirtschaftslehre, S. 130.

6

Eine übersichtliche Darstellung dieser Verbindungen wird im Leitungssystem veranschaulicht. Folgende Leitungssysteme lassen sich unterscheiden:

• Einliniensystem

• Mehrliniensystem

• Stabliniensystem

• Matrixorganisation

Die ursprünglichen Formen eines Leitungssystems spiegeln sich in Ein- und Mehrliniensystemen wieder. Stabliniensysteme und Matrixorganisationen stellen Weiterentwicklungen dieser ursprünglichen Form dar.

Nachfolgend aufgeführte Organisationsformen treten so gut wie nie in Reinform auf, stattdessen sind Übergänge zwischen ihnen sehr fließend und oft nicht direkt erkennbar.

1.2.2 Einliniensystem

Das Einliniensystem ist eine besonders gestraffte Form der Aufbauorganisation, in der alle Mitarbeiter in einem zentralisierten Weisungsweg eingebunden sind. Hierbei sind räumliche Aufgabenträger durch einen einheitlichen Dienstweg miteinander verbunden, der immer über eine Instanz führt. Somit kann jede Stelle lediglich von der unmittelbar vorgesetzten Stelle eine Anweisung erhalten. Durch die Einhaltung dieser Art von Dienstweg soll verhindert werden, dass eine untergeordnete Stelle von unterschiedlichen Seiten Weisungen erhalten kann. 15

In umgekehrter Richtung müssen z.B. Berichte und Kontrollmeldungen wiederum an die übergeordnete Stelle geleitet werden. Somit ist nur die Möglichkeit eines einzigen Dienstweges gegeben, welcher in jedem Fall eingehalten werden muss.

¹⁵ Vgl. Jung, H. (2000): Allgemeine Betriebswirtschaftslehre, München / Wien, S. 262.

7

Eine weitere Folge der Rangordnung eines Einliniensystem ist, dass gleichrangige Stellen nur über die gemeinsame übergeordnete Stelle zusammenarbeiten können. Folgende Abbildung veranschaulicht den strukturellen Aufbau eines Einliniensystems:

Quelle: Eigene Erstellung in Anlehnung an Picot, Arnold. / Dietl, Helmut / Franck, Egon: Organisation -

eine ökonomische Perspektive, Stuttgart 2002, S. 221.

Die Abbildung zeigt durch farbliche Markierungen, dass es mehrere Stellen oder auch Abteilungen geben kann, welche sich im hierarchischen Aufbau des Einliniensystems auf einer Ebene befinden. Jeder dieser Stellen und Abteilungen hat einen festen Platz in der Rangordnung des Systems und ist einer direkt übergeordneten Einheit unterstellt. Die Vorteile des Einliniensystems bestehen in der sehr straffen und übersichtlichen Organisation. Weiterhin sind die Dienstwege und Verantwortungsbereiche klar definiert. Eine Folge davon ist, dass der Spielraum für Kompetenzgerangel minimiert ist. Allerdings hat das Einliniensystem sehr starre und teilweise lange Dienstwege, was einen eindeutigen Nachteil darstellt. Die Gefahr der Informationsverfälschung auf langen Dienstwegen ist dadurch sehr hoch. Zudem werden die Vorgesetzten sehr stark Belastet, da alle Informationen und Entscheidungen von ihnen bearbeitet werden müssen. Hier ist auch eine Gefahr der Bürokratisierung und des Motivationsverlustes bei Inhabern untergeordneter Stellen gegeben.

Das Einliniensystem ist in seiner reinen Form am Besten für kleinere Betriebe geeignet, da eine zunehmende Betriebsgröße den Nachteilen mehr Gewicht verleiht.

8

1.2.3 Mehrliniensystem

In einem Mehrliniensystem ist die Möglichkeit gegeben, dass eine Stelle von mehreren, funktionell verschiedenen Stellen ihre Anweisungen erhält. Dadurch werden langwierige Instanzwege umgangen. Allerdings besteht die Gefahr, dass Kompetenzstreitigkeiten entstehen. Folgende Abbildung zeigt die

Weisungszusammenhänge in einem Mehrliniensystem auf:

Quelle: Eigene Erstellung in Anlehnung an Picot, Arnold. / Dietl, Helmut / Franck, Egon: Organisation -

eine ökonomische Perspektive, Stuttgart 2002, S. 223.

Im Mehrliniensystem kann eine Stelle somit von allen Einheiten, welche in der Rangordnung eine Ebene über ihnen stehen Anweisungen erhalten. In den einzelnen Funktionsbereichen ist zudem die Möglichkeit gegeben sich zu spezialisieren. Die Dienstwege sind relativ kurz und die Motivation der Mitarbeiter ist höher als im Einliniensystem. Dadurch kann ein verbessertes Betriebsklima unterstützt werden. Jedoch ist der Verlust der Übersichtlichkeit in der Organisation gegeben. Es gibt nur schlechte Kontrollmöglichkeiten und weniger klare Kompetenzabgrenzungen und Verantwortungsbereiche. Es besteht folglich die Gefahr der Verunsicherung untergeordneter Stellen durch unterschiedliche Weisungszuständigkeiten und von Koordinationsproblemen zwischen Funktionsbereichen.

9

Obwohl dieses Leitungssystem relativ viele Nachteile aufweist, wird es bei mittleren bis größeren Unternehmen oft auf der oberen Führungsebene eingesetzt. Die Anzahl der dort anzutreffenden komplexen Aufgaben ist so hoch, dass deren Bewältigung oft von einem Spezialistenteam bewältigt werden kann. Diese Spezialisten haben im Fall eines Mehrliniensystems ein fachliches Weisungsrecht gegenüber allen untergeordneten Abteilungen.

1.2.4 Stabliniensystem

Das Stabliniensystem ist ein Liniensystem, das durch Stabsstellen erweitert wird. Dabei wird die Einheitlichkeit der Leitung beibehalten, jedoch werden Spezialaufgaben, wie strategische und taktische Entscheidungen, auf besonders qualifizierte Stabsstellen verlagert. Die Stabsstellen können entweder für einzelne Unternehmenseinheiten oder auch für alle zuständig sein. Sie übernehmen die Verantwortung dafür Informationen zu sammeln und aufzubereiten. Weiterhin koordinieren sie die Kommunikation an bestehenden Schnittstellen. Die Stabsstellen haben keine Weisungsbefugnis. Sie wirken lediglich in beratender Funktion für die Linienstellen und dienen der Entlastung der Leitung. Typische Stabsaufgaben sind Organisation, Revision, Rechtsberatung, Marketing und Personalführung. 16

¹⁶ Vgl. http://www.teialehrbuch.de/Kostenlose-Kurse/Technologiemanagement/22940-

Stabliniensystem.html; 15.08.2007 - 11:25h.

10

In einer bestehenden Organisationen können die Stäbe zentral (vgl. Abbildung 4), dezentral (vgl. Abbildung 5) oder als Stabshierarchie (vgl. Abbildung 6) integriert sein. Folgende Abbildung veranschaulicht die Kennzeichen einer zentralen Stabshierarchie im Unternehmen:

Die Abbildung zeigt mehrere Unternehmensinstanzen, welche in grau dargestellt sind. Hier gibt es nur eine Stabsstelle, welche alle ihre beratenden Aufgaben zentral von einer Stelle aus bewältigt.

In folgender Abbildung 5 wird dagegen der Aufbau eines dezentralen Stabliniensystems dargestellt:

11