Kampagnen

Zugriffsüberprüfungskampagnen helfen Organisationen, Compliance und Sicherheit zu wahren, indem sie systematisch überprüfen, wer Zugriff auf welche Ressourcen hat. Kampagnen stellen sicher, dass die richtigen Personen zur richtigen Zeit den richtigen Zugriff haben, und identifizieren und entfernen übermäßige, verwaiste oder unnötige Zugriffsrechte.

Überblick

Eine Kampagne ist ein zeitlich begrenzter Zugriffsüberprüfungsprozess, bei dem benannte Überprüfer Konten bewerten und Entscheidungen treffen, um Zugriff zu genehmigen, abzulehnen oder zur weiteren Überprüfung zu markieren. Kampagnen können mit Automatisierungsregeln, Richtlinien und KI-Empfehlungen konfiguriert werden, um Überprüfer bei fundierten Entscheidungen zu unterstützen.

Typischer Kampagnen-Workflow

1. Administrator erstellt die Kampagne - Umfang definieren, Überprüfer zuweisen, Zeitplan festlegen und Automatisierung konfigurieren
2. Kampagne startet - Überprüfer werden benachrichtigt und beginnen ihre Überprüfungen
3. Überprüfer treffen Entscheidungen - Konten genehmigen, ablehnen oder zur Überprüfung markieren
4. Kampagne wird abgeschlossen - Ergebnisse werden finalisiert und stehen für Export und Audit zur Verfügung

Rollenbasierte Verantwortlichkeiten

Rolle	Verantwortlichkeiten
Administrator	Kampagnen erstellen, Automatisierungsregeln und Richtlinien konfigurieren, Überprüfer zuweisen, Fortschritt überwachen, Ergebnisse exportieren
Überprüfer	Zugewiesene Konten überprüfen, Genehmigung/Ablehnung/Markierung-Entscheidungen treffen, Kommentare hinzufügen
Auditor	Kampagnenfortschritt und -ergebnisse einsehen, auf Berichte für Compliance-Zwecke zugreifen

---

Für Administratoren: Erstellen einer Kampagne

Administratoren erstellen und konfigurieren Zugriffsüberprüfungskampagnen mit einem schrittweisen Assistenten. Der Assistent führt Sie durch sechs Schritte, um alle Aspekte Ihrer Kampagne zu definieren.

Voraussetzungen

Bevor Sie eine Kampagne erstellen:

• Stellen Sie sicher, dass Daten von Ihrer Hydden-Plattform synchronisiert wurden (Einstellungen > Datensynchronisierung)
• Konfigurieren Sie optional Kampagnenregeln für die Automatisierung
• Konfigurieren Sie optional Zugriffsrichtlinien für richtlinienbasierte Entscheidungen

Schritt 1: Kampagnen-Grundlagen

Beginnen Sie mit grundlegenden Informationen über Ihre Kampagne.

1. Navigieren Sie zu Kampagnen und klicken Sie auf + Neue Kampagne (oder verwenden Sie eine Vorlage vom Startbildschirm).
2. Geben Sie einen Kampagnennamen ein, der den Überprüfungszeitraum oder Zweck identifiziert (z.B. "Q1 2026 Zugriffsüberprüfung").
3. Fügen Sie optional eine Beschreibung hinzu, um den Zweck und Umfang der Kampagne zu erklären.
4. Wählen Sie einen Kampagneneigentümer aus der Liste der Plattformbenutzer. Der Eigentümer ist für die Überwachung der Kampagne verantwortlich.
5. Wählen Sie einen Kampagnentyp:

Typ	Beschreibung	Anwendungsfall
Anwendungsüberprüfung	Zugriff nach Anwendung überprüfen	Validieren, wer Zugriff auf bestimmte Anwendungen hat
Gruppenüberprüfung	Zugriff nach Gruppenmitgliedschaft überprüfen	Gruppenmitgliedschaften prüfen und Zwecke validieren
Rollenbasierte Überprüfung	Zugriff nach Rollenzuweisungen überprüfen	Rollenzuweisungen validieren und Definitionen optimieren
Plattformüberprüfung	Alle Konten auf einer Plattform überprüfen	Umfassende Überprüfung über verteilte Systeme hinweg

6. Legen Sie die Prioritätsstufe fest (Niedrig, Normal, Hoch, Kritisch). Kampagnen mit höherer Priorität erscheinen zuerst in den Überprüfer-Warteschlangen.

Schritt 2: Umfang definieren

Wählen Sie die Ziele (Anwendungen, Gruppen, Rollen oder Plattformen) aus, die in diese Überprüfung einbezogen werden sollen.

1. Durchsuchen oder suchen Sie die verfügbaren Ziele basierend auf Ihrem Kampagnentyp.
2. Verwenden Sie Filter, um Ergebnisse einzugrenzen:
   • Kontotypen: Nach menschlichen, Dienst- oder Maschinenkonten filtern
   • Minimale Risikobewertung: Nur Ziele über einem Risikoschwellenwert einbeziehen
   • Inaktive einbeziehen: Umschalten, ob inaktive Konten einbezogen werden sollen
3. Wählen Sie Ziele aus, indem Sie darauf klicken. Verwenden Sie Alle auswählen, um alle gefilterten Ergebnisse einzubeziehen.
4. Überprüfen Sie die Auswahlzusammenfassung mit der Anzahl der Ziele und geschätzten Konten.

Umfangsvorschau

Während Sie Auswahlen treffen, zeigt die Seitenleistenvorschau die Gesamtzahl der Anwendungen/Gruppen/Rollen und Konten an, die in die Kampagne aufgenommen werden.

Schritt 3: Überprüfer zuweisen

Definieren Sie, wer die Konten in dieser Kampagne überprüfen wird.

1. Wählen Sie eine Überprüfer-Zuweisungsmethode:

Methode	Beschreibung
Manager-Überprüfung (Empfohlen)	Der direkte Vorgesetzte jedes Benutzers überprüft dessen Zugriff
Anwendungseigentümer	App-Eigentümer überprüfen alle Zugriffe auf ihre Anwendungen
Benutzerdefinierte Überprüfer	Spezifische Überprüfer manuell aus der Plattformbenutzer-Liste zuweisen
Hybrid-Ansatz	Mehrere Überprüferstrategien kombinieren

2. Wenn Sie Benutzerdefiniert oder Hybrid verwenden, suchen und wählen Sie Überprüfer aus der verfügbaren Plattformbenutzer-Liste.

3. Konfigurieren Sie Überprüfer-Einstellungen:

   • Delegierung zulassen: Überprüfer können Überprüfungen an andere delegieren
   • Kommentare erforderlich: Kommentare bei Ablehnungen erforderlich
   • Massenaktionen zulassen: Überprüfer können mehrere Elemente gleichzeitig genehmigen/ablehnen

4. Konfigurieren Sie optional einen Eskalationspfad, um bestimmte Benutzer zu benachrichtigen, wenn Überprüfungen nicht rechtzeitig abgeschlossen werden:

   • Eskalationsstufen hinzufügen (z.B. Stufe 1: Manager nach 7 Tagen, Stufe 2: Direktor nach 14 Tagen)
   • Eskalationskontakt und Anzahl der Tage bis zur Eskalation auswählen

Schritt 4: Zeitplan festlegen

Definieren Sie, wann die Kampagne läuft und wie Überprüfer erinnert werden.

1. Wählen Sie ein Startdatum für die Kampagne.
2. Legen Sie die Dauer mit Schnellvoreinstellungen fest (14, 30, 45, 60 oder 90 Tage) oder geben Sie eine benutzerdefinierte Anzahl ein.
3. Wählen Sie die Zeitzone für alle Fristen und Erinnerungen.
4. Konfigurieren Sie den Erinnerungszeitplan:
   • Erstbenachrichtigung: Beim Kampagnenstart senden
   • Wöchentlicher Digest: Zusammenfassung ausstehender Überprüfungen jede Woche
   • Letzte Warnung: Dringende Erinnerung vor Fristende (Anzahl der Tage vor Ende konfigurieren)

Schritt 5: Automatisierung & Regeln

Konfigurieren Sie die Automatisierung, um Überprüfer bei Entscheidungen zu unterstützen.

1. Wählen Sie Automatisierungsregeln, um Zugriff automatisch basierend auf definierten Bedingungen zu genehmigen oder abzulehnen:

   • Durchsuchen Sie verfügbare Regeln und wählen Sie die für diese Kampagne zutreffenden aus
   • Regeln zeigen ihren Entscheidungstyp an (genehmigen, ablehnen, zur Überprüfung markieren)
   • Ausgewählte Regeln werden während der Kampagne ausgewertet

   Hinweis

   Erstellen Sie Regeln unter Einstellungen | Kampagnenregeln.

2. Wählen Sie Zugriffsrichtlinien, um richtlinienbasierte Kontrollen anzuwenden:

   • Durchsuchen Sie verfügbare Richtlinien und wählen Sie die anzuwendenden aus
   • Richtlinien mit "Auto-Genehmigung" genehmigen passende Zugriffe automatisch

   Hinweis

   Erstellen Sie Richtlinien unter Richtlinien.

3. Konfigurieren Sie KI-Empfehlungen:

   • KI-Empfehlungen aktivieren: KI analysiert die Risikofaktoren, den Eigentümerkontext und die Berechtigungen jedes Kontos, um Aktionen vorzuschlagen
   • Anomalien automatisch markieren: Konten mit ungewöhnlichen Zugriffsmustern automatisch markieren
   • Risikobasierte Priorisierung: Konten nach KI-bewerteter Risikostufe sortieren, höchstes Risiko zuerst anzeigen

Verarbeitungszeit

Wenn KI-Empfehlungen aktiviert sind, wird jedes Konto während der Kampagnenaktivierung analysiert. Dies kann bei großen Kampagnen zusätzliche Verarbeitungszeit beim Start verursachen.

Schritt 6: Überprüfen & Starten

Überprüfen Sie Ihre Kampagnenkonfiguration vor dem Start.

1. Überprüfen Sie die Zusammenfassung mit allen konfigurierten Einstellungen:
   • Kampagnen-Grundlagen (Name, Typ, Eigentümer, Priorität)
   • Umfang (Ziele und geschätzte Konten)
   • Überprüfer und Einstellungen
   • Zeitplan und Erinnerungen
   • Automatisierungsregeln und Richtlinien
2. Klicken Sie auf Bearbeiten in einem beliebigen Abschnitt, um Änderungen vorzunehmen.
3. Aktivieren Sie optional Als Vorlage speichern, um diese Konfiguration für zukünftige Kampagnen wiederzuverwenden.
4. Klicken Sie auf Kampagne starten, um die Kampagne zu starten.

Vorlagen verwenden

Sparen Sie Zeit durch die Verwendung von Kampagnenvorlagen:

• Vorlage laden: Klicken Sie auf Vorlage laden im Assistentenkopf, um eine zuvor gespeicherte Vorlage zu laden
• Als Vorlage speichern: Klicken Sie auf Als Vorlage speichern, um die aktuelle Konfiguration zur Wiederverwendung zu speichern
• Vorlagen speichern die gesamte Konfiguration einschließlich Umfang, Überprüfer, Regeln und Richtlinien

---

Für Überprüfer: Konten überprüfen

Überprüfer sind für die Bewertung von Konten und das Treffen von Zugriffsentscheidungen verantwortlich. Wenn eine Kampagne startet, erhalten Überprüfer Benachrichtigungen und können auf ihre zugewiesenen Überprüfungen zugreifen.

Zugriff auf Ihre Überprüfungen

1. Navigieren Sie zu Kampagnen in der linken Seitenleiste.
2. Finden Sie Kampagnen, bei denen Sie als Überprüfer zugewiesen sind.
3. Klicken Sie auf Ansehen bei der Kampagne, um die Überprüfungsschnittstelle zu öffnen.

Die Überprüfungsschnittstelle

Die Überprüfungsschnittstelle ist in zwei Hauptbereiche unterteilt:

Bereich	Beschreibung
Kontoliste (Links)	Scrollbare Liste aller zu überprüfenden Konten mit Suche, Filtern und Sortierung
Überprüfungspanel (Rechts)	Detaillierte Informationen über das ausgewählte Konto mit Aktionsschaltflächen

Funktionen der Kontoliste

• Suche: Konten nach Name oder E-Mail finden
• Statusfilter: Alle, Ausstehend, Genehmigt, Abgelehnt oder Markierte Konten anzeigen
• Risikofilter: Nach Kritisch, Hoch, Mittel oder Niedrig filtern
• Sortieroptionen: Nach Risiko (hoch zu niedrig), Name oder Anwendung sortieren
• KI-Indikatoren: Visuelle Indikatoren zeigen KI-Empfehlungen (Häkchen für genehmigen, X für widerrufen, ? für überprüfen)

Überprüfungspanel-Registerkarten

Wenn Sie ein Konto auswählen, zeigt das Überprüfungspanel detaillierte Informationen über vier Registerkarten an:

Registerkarte	Informationen
Risikofaktoren	Risikobewertung (0-100), Risikostufe (kritisch/hoch/mittel/niedrig), ausgelöste Risikofaktoren mit Schweregrad-Gewichtung, bestandene Prüfungen und Richtlinienprüfergebnisse (bestanden/nicht bestanden/warnung) mit Meldungen
Kontodetails	Abteilung, Status, Datenquelle, Anwendungsinformationen, Kontotyp, MFA-Status, letzte Anmeldung und Berechtigungsstufe
Eigentümerkontext	Eigentümerprofil (Name, E-Mail, Titel, Abteilung, Vorgesetzter), Eigentümerstatus, Risikobewertung, Anzahl privilegierter Konten, Gesamtzahl der Konten, Anzahl der Richtlinienverstöße und Rollenanalysen, die Zugriffsmuster zeigen
Eigentümeränderungen	Prüfpfad von Änderungen am Eigentümer und seinen Konten mit Zeitstempeln und verantwortlichen Parteien

Erweiterter Eigentümerkontext

Die Registerkarte Eigentümerkontext enthält jetzt eine Rollenanalyse, die zeigt, auf welche Anwendungen und Gruppen üblicherweise von Benutzern mit derselben Rolle zugegriffen wird, und hilft Ihnen zu verstehen, ob der Zugriff des Kontos typisch für die Rolle ist.

Entscheidungen treffen

Für jedes ausstehende Konto haben Sie vier Entscheidungsoptionen:

Aktion	Wann zu verwenden	Tastenkürzel
Genehmigen	Zugriff ist angemessen und sollte fortgesetzt werden	A
Ablehnen	Zugriff sollte widerrufen und entfernt werden	R
Widerrufen	Ähnlich wie ablehnen, entfernt explizit Zugriffsberechtigungen	V
Zur Überprüfung markieren	Benötigt weitere Untersuchung oder Eskalation	F

Zusätzliche Tastenkürzel:

• S - Zum nächsten Konto überspringen ohne Entscheidung zu treffen
• N - Eine Notiz zum aktuellen Konto hinzufügen
• Auf/Ab-Pfeile - Zwischen Konten navigieren
• Strg+Z - Letzte Entscheidung rückgängig machen (30 Sekunden verfügbar)

KI-Empfehlungen

Wenn KI-Empfehlungen für die Kampagne aktiviert sind, zeigt jedes Konto:

• Vorgeschlagene Aktion: Genehmigen, widerrufen oder überprüfen
• Vertrauensbewertung: Wie zuversichtlich die KI in ihrer Empfehlung ist (0-100)
• Grund: Ein-Satz-Erklärung, warum die KI diese Empfehlung gemacht hat
• Hauptfaktoren: Schlüsselfaktoren, die die Empfehlung beeinflusst haben
• Risikoindikatoren: Identifizierte Sicherheits- oder Compliance-Bedenken
• Datenlücken: Fehlende Informationen, die die Analyse eingeschränkt haben

Verwendung von KI-Empfehlungen

KI-Empfehlungen werden beim Kampagnenstart generiert und für eine konsistente Überprüfung gespeichert. Empfehlungen basieren auf Risikofaktoren, Zugriffsmustern, Eigentümerkontext, Gruppenmitgliedschaften und Rollenanalyse. Überprüfen Sie immer die unterstützenden Informationen, bevor Sie Ihre Entscheidung treffen.

Stapelüberprüfung mit KI-Gruppierung

Wenn KI-Empfehlungen aktiviert sind, kann das System ähnliche Konten für eine effiziente Überprüfung in Stapeln gruppieren:

• Stapelgruppen: Konten mit ähnlichen Merkmalen werden zusammen gruppiert
• KI-Analyse: Jeder Stapel enthält eine KI-generierte Zusammenfassung mit:
  • Titel: Beschreibender Name für den Stapel
  • Merkmale: Gemeinsame Eigenschaften, die Konten im Stapel teilen
  • Zusammenfassung: Wichtige Beobachtungen über den Stapel
  • Empfehlung: Vorgeschlagene Aktion für den Stapel
  • Vertrauen: KI-Vertrauen in die Stapelempfehlung
• Massenaktionen: Entscheidungen gleichzeitig auf alle Konten in einem Stapel anwenden

Stapelgruppierung ist besonders nützlich für Kampagnen mit Hunderten oder Tausenden von Konten und ermöglicht es Überprüfern, ähnliche Konten effizient zu bearbeiten, während die Entscheidungsqualität erhalten bleibt.

Entscheidungen rückgängig machen

Nach dem Treffen einer Entscheidung haben Sie ein 30-Sekunden-Fenster, um sie rückgängig zu machen:

1. Die Aktionsleiste zeigt "Rückgängig verfügbar für Xs"
2. Klicken Sie auf Entscheidung rückgängig machen oder drücken Sie Strg+Z
3. Das Konto kehrt zum Status "Ausstehend" zurück

Rückgängig-Fenster

Das Rückgängig-Fenster ist auf 30 Sekunden nach dem Treffen einer Entscheidung begrenzt. Nach dieser Zeit ist die Entscheidung finalisiert und kann nur von Administratoren geändert werden.

---

Kampagnenverwaltung

Kampagnenfortschritt anzeigen

Administratoren und Auditoren können den Kampagnenfortschritt überwachen:

1. Navigieren Sie zu Kampagnen und klicken Sie auf Ansehen bei einer Kampagne.
2. Die Registerkarte Überblick zeigt:
   • Start- und Enddatum
   • Kampagneneigentümer
   • Fortschritt in Prozent
   • Statistiken (gesamt, ausstehend, genehmigt, abgelehnt, markiert)

Kampagnenregisterkarten

Registerkarte	Beschreibung
Überblick	Wichtige Kampagnendetails und Fortschrittsstatistiken
Alle	Alle Konten in der Kampagne mit ihrem aktuellen Status
Ausstehend	Konten, die auf Überprüfung warten
Überprüft	Konten, die überprüft wurden (genehmigt, abgelehnt oder markiert)
Richtlinien & Regeln	Angewandte Richtlinien und Kampagnenregeln mit Bewertungsergebnissen
Einstellungen	Kampagnenkonfiguration (schreibgeschützt) und Regelauswertungsoptionen

Regelauswertung und -tests

Administratoren können Kampagnenregeln testen und auswerten, bevor sie diese anwenden:

1. Regeln testen: Regelbedingungen gegen aktuelle Daten testen, um zu sehen, wie viele Konten oder Eigentümer übereinstimmen würden

   • Gesamttreffer und Beispielergebnisse anzeigen
   • Teil-für-Teil-Auswertungsergebnisse für komplexe Regeln sehen
   • Syntaxfehler vor dem Start von Kampagnen identifizieren

2. Kampagnenregeln auswerten: Regelauswertung für eine aktive Kampagne ausführen, um automatisierte Entscheidungen zu sehen

   • Auswertungsfortschritt überwachen (ausstehend → in Bearbeitung → abgeschlossen)
   • Anzahl genehmigte, abgelehnte und keine-Entscheidung-Konten anzeigen
   • Fehler oder übersprungene Konten überprüfen

3. Hintergrund-Jobs: Regelauswertungen laufen als Hintergrund-Jobs

   • Fortschritt in Prozent und verarbeitete Entitäten verfolgen
   • Job-Historie und Ergebnisse anzeigen
   • Benachrichtigung erhalten, wenn Auswertung abgeschlossen ist

Tests vor dem Start

Testen Sie Kampagnenregeln immer vor dem Start von Kampagnen, um sicherzustellen, dass sie mit den erwarteten Konten übereinstimmen und die gewünschten Entscheidungen liefern.

Kampagne verlängern

Wenn Überprüfer mehr Zeit benötigen:

1. Öffnen Sie die Kampagne und klicken Sie auf Kampagne verlängern.
2. Wählen Sie ein neues Enddatum.
3. Überprüfer werden über die Verlängerung benachrichtigt.

Kampagne abschließen

Sobald alle Konten überprüft wurden:

1. Klicken Sie auf Kampagne abschließen, um die Kampagne zu finalisieren.
2. Ergebnisse werden gesperrt und stehen für den Export zur Verfügung.

Ergebnisse exportieren

Kampagnenergebnisse für Compliance- und Audit-Zwecke exportieren:

1. Navigieren Sie zu einer abgeschlossenen Kampagne.
2. Klicken Sie auf Als CSV exportieren, um die Ergebnisse herunterzuladen.
3. Der Export umfasst Kontodetails, Entscheidungen, Überprüfer, Kommentare und Zeitstempel.

---

Kampagnentypen

Anwendungsüberprüfung

Überprüfen Sie, wer Zugriff auf bestimmte Anwendungen hat:

• Spezifische Anwendungen aus Ihren synchronisierten Daten auswählen
• Geschäftsbedarf für den Zugriff jedes Kontos validieren
• Sicherstellen, dass Prinzipien der minimalen Berechtigung befolgt werden

Gruppenüberprüfung

Gruppenmitgliedschaften überprüfen:

• Spezifische Gruppen zur Prüfung auswählen
• Gruppenzwecke und Angemessenheit der Mitgliedschaft validieren
• Unnötige oder veraltete Mitgliedschaften bereinigen

Rollenbasierte Überprüfung

Rollenzuweisungen überprüfen:

• Spezifische Rollen zur Überprüfung auswählen
• Rollenzuweisungen gegen Jobfunktionen validieren
• Möglichkeiten zur Optimierung von Rollendefinitionen identifizieren

Plattformüberprüfung

Umfassende Überprüfung über verteilte Systeme:

• Ganze Plattformen auswählen (z.B. alle Active Directory-Konten)
• Zugriff über Systeme desselben Typs überprüfen
• Nützlich für breite Compliance-Überprüfungen

---

Kampagnenfunktionen

Automatisierte Zielsetzung

• Regelbasierte Auswahl mit Kampagnenregeln
• Dynamischer Kampagnenumfang basierend auf Filtern
• Risikoschwellenwert-Filterung

Genehmigungsworkflow

• Mehrere Überprüfer-Zuweisungsmethoden
• Delegierungsunterstützung
• Massengenehmigung/Ablehnungsoperationen
• Kommentaranforderungen

Fortschrittsverfolgung

• Echtzeit-Fortschrittsüberwachung
• Abschlussstatistiken nach Überprüfer
• Erinnerungsbenachrichtigungen
• Eskalationspfade für überfällige Überprüfungen

KI-gestützte Unterstützung

• Risikobasierte Kontopriorisierung
• KI-Empfehlungen mit Vertrauensbewertungen
• Automatische Anomalie-Markierung
• Zugriffsmusteranalyse

---

Kampagnen-Dashboard

Die Kampagnenseite bietet Filter zur Steuerung, welche Kampagnen angezeigt werden:

Statusfilter

Status	Beschreibung
Alle	Alle Kampagnen anzeigen
Entwurf	Kampagnen, die noch nicht gestartet wurden
Aktiv	Derzeit laufende Kampagnen
Abgeschlossen	Beendete Kampagnen
Abgebrochen	Kampagnen, die abgebrochen wurden

Typfilter

Nach Kampagnentyp filtern: Alle, Manager-Überprüfung, Gruppenüberprüfung, Rollenüberprüfung, Anwendungsüberprüfung oder Plattformüberprüfung.

Tabellenspalten

Die Kampagnentabelle zeigt:

• Name: Kampagnenname mit Beschreibung
• Typ: Kampagnentyp
• Status: Aktuelles Status-Badge
• Start-/Enddatum: Kampagnenzeitlinie
• Kampagneneigentümer: Person, die für die Kampagne verantwortlich ist
• Aktionen: Ansehen, Löschen (falls zutreffend), Exportieren (für abgeschlossene Kampagnen)

Verwandte Themen

• Kampagnenregeln erstellen
• Zugriffsrichtlinien
• Erste Anmeldung
• Plattformbenutzer