Davon träumen IT-Manager: Alle Berechtigungen auf Programme und Daten verteilen sich automatisch auf die Benutzer, so dass jeder genau das bekommt, was er für seine Arbeit braucht. Keiner quengelt mehr und die IT-Admins kommen endlich mal dazu, die wirklich wichtigen Dinge anzupacken.
So eine Vorstellung muss ja kein Traum bleiben – Systeme zur automatischen Rechtevergabe gibt es genug – aber selbst die besten Systeme verteilen nur, was vorher definiert wurde. Und an der Definition von Rollen und Rechten hat sich schon mancher die Tastatur abgeknabbert. Plant man das System zu kleinteilig – zu jedem Programmmodul genau eine Rolle – ist wenig gewonnen. Dann hätte man gleich die Zugriffsrechte einzeln verwalten können. Man will schon Rechte zusammenfassen, die in der Organisation immer wieder gemeinsam genutzt werden. Dazu sind ja die Rollen da.
Ein bekanntes Problem
Bildet man aber zu große Rollen mit vielen Rechten, dann passen sie im Alltag nicht auf die unterschiedlichen Benutzergruppen. Zu viele Leute haben zu viele Programme und Daten im Zugriff, die sie nicht brauchen. Das belastet nicht nur die Lizenzkosten, auch die Datenschützer achten darauf, dass nicht zu viele Personen zu viele Kundendaten einsehen.
Die Manager aus den Fachabteilungen finden solche Gedanken eher kleinkrämerisch: Wenn es nach ihnen ginge, wären die Rechte großzügig verteilt, denn dann können sie flexibel Aufgaben verteilen und müssten nicht ständig diese ellenlangen kryptischen Formulare ausfüllen, um mal wieder irgendeinem Sachbearbeiter irgendein Recht in der Artikelverwaltung gewähren zu dürfen.
So wird aus dem Traum schnell ein Alptraum – ständig wird am Rollenkatalog herumgedoktort und die Admins fragen sich, warum man nicht gleich bei der alten Einzelrechte-Vergabe mit Antragsformular geblieben ist.
Die Lösung: BPMN-Modell
Mein Tipp dazu: Ihr BPMN-Modell bietet die Lösung. Wenn die wichtigen Prozesse im Haus in klaren Modellen zusammengefasst sind, stehen in den BPMN-Lanes genau die Rollen, mit der die IT ihre Rollenbasierte Rechteverwaltung aufbaut. Wer einen Prozess modelliert, unterscheidet auch, welches Team oder welcher Experte bestimmte Aufgaben übernimmt. Jeder Beteiligte an einem Prozess bekommt eine „Schwimmbahn“ im Prozessmodell für seine Aufgaben. Diese Lanes stellen Rollen dar – der Pool benennt einen Prozess.
Wenn das Modellierungsteam sich bei der Benennung der Rollen koordiniert und nicht jeder frei nach Gusto die Lanes benennt, sind die Prozessmodelle die ideale Quelle für einen Rollenkatalog. Es hat sich allerdings über Pools und Lanes ein Missverständnis verbreitet, das dazu führt, dass in die Lanes nur Organisationseinheiten der Aufbauorganisation geschrieben werden, also Abteilungen, Teams oder Referate. In Wirklichkeit kann man aber am Prozess sehr gut unterscheiden, dass innerhalb eines Teams nicht alle dieselben Aufgaben übernehmen. Und manchmal benennt man Spezialaufgaben, für die Experten in verschiedenen Abteilungen sitzen.
Fazit
Wer also die Verantwortlichen in Prozessmodellen geschickt differenziert – kleinteiliger als abteilungsweise – und dabei gleiche Gruppen überall gleich benennt, bekommt aus dem Prozessmodell einen hervorragenden Rollenkatalog. Und die Anforderungen für IT-Rechte lassen sich nebenbei aus den Prozessen ableiten, in denen die Rolle Verantwortung übernimmt. Ob die definierten Rollen am Ende genau einzelnen Abteilungen zugeordnet werden ist nebensächlich. Am Ende hat jeder Mitarbeiter eine Sammlung von Rollen, die seine Arbeitswelt definieren. Und damit sind die IT-Anforderungen weitaus treffender beschrieben als über Abteilungshierarchien.
