Wer Rechte nicht versteht, kann sie nicht modellieren.

Hessische Landesbank – IAM-Analyse und Rollenvorbereitung 

Omada ist beschafft. CyberArk steht bereit. Das Programm hat Budget, Zeitplan und Sponsoren. Und dann stellt sich heraus: Niemand weiß genau, welche Berechtigungen im Mainframe-Bereich tatsächlich existieren. Nicht weil niemand zuständig wäre – sondern weil es jahrelang niemanden gestört hat, dass sie nie vollständig dokumentiert wurden. 

Omada steht bereit. Die Frage ist, was hinein soll. 

Im Rahmen eines Programms zur Verbesserung der Informationssicherheit sollten die Omada Identity Suite als zentrales Identity und Access Management (IAM)-Berechtigungssystem und CyberArk als Privileged Access Management (PAM)-Lösung eingeführt werden. Beides parallel, beides unter Zeitdruck. Das Problem war nicht das Programm. Das Problem war, was darunter lag.

Gewachsene Strukturen lügen nicht. Aber sie schweigen. 

IT-Infrastruktur und Mainframe-Umgebungen haben eine eigene Geschichte. Berechtigungen, die vor Jahren vergeben wurden, sind selten dokumentiert worden – weil sie funktionierten. Berechtigungskonzepte wurden fortgeschrieben, nicht immer überprüft. Privilegierte Rechte existieren, aber niemand hat sie systematisch zusammengeführt. Genau das war die Ausgangslage. Omada braucht Rollenmodelle. CyberArk braucht sauber identifizierte privilegierte Konten. Beides war nicht fertig. 

Zählen, prüfen, bereinigen. 

Der erste Schritt war Bestandsaufnahme. Welche Berechtigungstypen existieren im IT-Infrastruktur- und Mainframe-Bereich überhaupt? Wie viele Konten, welche Mengen, welche Strukturen? Mengengerüste und Schätzungen wurden erstellt – nicht als bürokratische Übung, sondern als Entscheidungsgrundlage für die nachfolgende Integration. 

Parallel dazu wurden bestehende Berechtigungskonzepte durchgesehen. Einige entsprachen noch dem tatsächlichen Betrieb. Andere nicht. Wo nötig, wurden sie aktualisiert, bevor sie als Grundlage für die Modellierung dienen konnten. Privilegierte Rechte wurden identifiziert und so aufbereitet, dass eine strukturierte Übergabe an CyberArk möglich wurde. 

Erst wenn klar ist, was existiert, kann entschieden werden, was bleiben soll. 

Sichtbar gemacht, was jahrelang niemand gesucht hat. 

Die Rechtestrukturen sind dokumentiert, bereinigt und für Omada modellierbar. Privilegierte Konten sind identifiziert und für CyberArk vorbereitet. Das Programm konnte auf einer Grundlage aufbauen, die vorher so nicht existiert hat. Der entscheidende Punkt liegt dabei weniger in der Technik. Er liegt darin, dass Entscheidungen, die im Betrieb getroffen wurden und nie aufgeschrieben wurden, jetzt sichtbar und steuerbar sind. 

Warum Plattformeinführungen oft später scheitern als geplant. 

Viele IAM-Projekte geraten nicht in Schwierigkeiten, weil die Plattform falsch gewählt wurde. Sie geraten in Schwierigkeiten, weil die Grundlagen nicht stimmen. Rollenmodelle, die auf unvollständigen Berechtigungsstrukturen aufgebaut werden, reproduzieren die alten Probleme in der neuen Umgebung – nur mit mehr Automatisierung. 

Wer eine IAM- oder PAM-Plattform einführt und den vorgelagerten Schritt der Bestandsaufnahme überspringt, spart Zeit am Anfang und verliert sie später. Dieses Projekt zeigt, was dieser Schritt konkret bedeutet – und warum er die Voraussetzung ist, damit die neue Plattform das leistet, was sie soll.