Newsfeed abonnieren
Unsere Erfahrungen und die aktuellen Vorfälle zeigen, dass es meist dort zu Datenklau kommt, wo Personen mehr Benutzerrechte haben als erlaubt oder nach ihrem Ausscheiden aus der Firma noch lange Zugriff auf Daten im Unternehmen haben. Identity und Access Management (IAM) ist sicher ein Weg, um derartigen "Datenkatastrophen" verantwortungsbewusst entgegen zu wirken. Ein IAM-System bedeutet Prävention durch Transparenz, Automatisierung und Sensibilisierung: Wir empfehlen, Sicherheit vorausschauend zu betrachten und nicht nur im Nachgang Schadensbegrenzung durch kostenintensive Image-Kampagnen zu betreiben.
Transparenz
"Digitale Identitäten sind auch nur Menschen", d. h. hinter jeder digitalen Identität steht ein real existierender Mitarbeiter in der Organisation. In rund 50 % der Unternehmen sind die vielen verschiedenen User IDs nicht ohne enormem Zusatzaufwand eindeutig einer Person zuzuordnen. Ziel des ersten IAM-Projektabschnittes ist daher, Transparenz durch die sogenannte User-ID-Konsolidierung zu schaffen.
Alle bestehenden Benutzerkonten, beispielsweise in Active Directory, Lotus Notes, SAP oder anderen geschäftskritischen Anwendungen, werden, durch eine eindeutige Kennung (digitale Identität) mit dem Mitarbeiter verknüpft. Verwaiste Accounts und Benutzer ohne Berechtigungen werden so schnell entdeckt und können bereinigt werden. Neben dem Sicherheitsaspekt kosten nicht benötigte Anwendungs-Lizenzen natürlich auch viel Geld. Insgesamt gilt: IAM-Systeme unterstützen nicht nur die zentrale und schnelle Vergabe von Berechtigungen, sondern, viel wichtiger, auch den sicheren und schnellen Entzug aller erteilten Zugriffsberechtigungen auf Knopfdruck.
Automatisierung
Die Geschäftsvorfälle Neueintritt, Versetzung und Austritt von Mitarbeitern verursachen einen großen administrativen Aufwand mit hoher Fehleranfälligkeit. Durch die Anbindung einer gut gepflegten Benutzerdatenbank, wie z. B. einer Personaldatenbank, an ein IAM-System werden diese Prozesse zeitnah und zuverlässig automatisiert. Probleme, die zu Sicherheitslücken führen können, beginnen oftmals in der mangelhaften Abstimmung der Personalabteilung mit der IT. Sie greifen dann auf das gesamte Unternehmen über Personalveränderungen werden gar nicht, zu spät oder unvollständig an die IT gemeldet. Die Fehlerquote steigt durch die manuelle und bereichsspezifische dezentrale Bearbeitung. Unklare Zuständigkeiten durch schlecht kommunizierte Veränderungen bei Reorganisationen und ein fehlendes Monitoring lassen erahnen, wie wenig sicher und transparent sowie schwer nachvollziehbar Berechtigungsvergaben ohne Automatisierung in der IT administriert werden können.
Ebenso sollte die Berechtigungsvergabe durch Rollen standardisiert und gleichzeitig durch Ausschluss von spezifischen Berechtigungen und Rollen (Segregation of Duties) gesichert werden. Das heißt z. B. ein Mitarbeiter mit einer Berechtigung zum Beantragen eines Kreditantrags kann diesen nicht gleichzeitig genehmigen. Die Prozessoptimierung durch standardisierte Rollen ist beim Identity Access Management von großer Bedeutung. Berechtigungsbündel, das heißt Rollen, reduzieren signifikant den Administrationsaufwand und unterstützen wesentlich den Automatisierungsprozess. Je nach Stellenbeschreibung arbeiten die Mitarbeiter mit unterschiedlichen IT-Ressourcen.
Beim Rollenmanagement werden Einzelberechtigungen von Benutzern mit identischen Aufgaben im Unternehmen zu einer Rolle zusammengefasst. Anhand der Rolle eines Mitarbeiters und dessen Aufgaben im Unternehmen können Zugriffsrechte geschäftsprozessorientiert in einer IT-Rolle gebündelt werden. Rollen bilden also die wichtige Schnittstelle zwischen dem eigentlichen Business, den Geschäftsprozessen und der IT. Das Rollenmanagement ist eine Organisationsaufgabe. Geschäftsprozessverantwortliche müssen entscheiden, welche Rechte den Rollen zugeordnet und welche Rolle welchem Mitarbeiter zugewiesen werden. Permanente Änderungsprozesse in den Organisationen erfordern eine transparente und rasche Anpassung der Rollen und übergeordneten Rollenmodelle. Wichtig ist daher, dass die Zahl der Rollen überschaubar bleibt und die Rollendefinitionen nachvollziehbar sind.
Sogenannte Role-Mining-Werkzeuge wie SAM Rolmine unterstützen die Definition und fortlaufende Optimierung von Berechtigungsrollen. Die aktuellen Zugriffsinformationen, Organisationsdaten sowie unternehmensweite und gesetzliche Vorgaben zur Berechtigungsvergabe bilden dabei die Basis für die stetige Modellierung, Verfeinerung und Optimierung der Rollen.
Sensibilisierung
„Heute ist es wichtig, die Mitarbeiter über ihre Aufgabe und Rolle im Unternehmen in einem ganzheitlichen Lebenszyklus zu betrachten und zu administrieren.” Boris Lüdtke, Senior Consultant Identity Management, Beta Systems Software AG
Ein browsergestütztes Berechtigungsmanagement, beispielsweise für Passwort-Anträge und -Attestierungen, beschleunigt und sichert dabei die administrativen Prozesse und ermöglicht kürzere Durchlauf- und Realisierungszeiten. Der Workflow wird somit effizienter und stellt den Mitarbeiter in den Mittelpunkt. Mitarbeiter, die ihre Passwörter schützen, Vertretungsberechtigungen gezielt und nur temporär zuweisen und konsequent ausschließlich mit ihrer eigenen digitalen Identität arbeiten, erhöhen die Datensicherheit im Unternehmen erheblich.
Fazit
Heute ist es wichtig, die Mitarbeiter über ihre Aufgabe und Rolle im Unternehmen in einem ganzheitlichen Lebenszyklus zu betrachten und zu administrieren. Vom Managen reiner technischer Berechtigungen haben sich IAM-Lösungen weit entfernt.
Sie müssen viel stärker geschäftsprozessorientiert und über businessorientierte Rollen in die komplexen Unternehmensstrukturen eingebunden werden. Vorgesetzte, die die Berechtigungen ihrer Mitarbeiter regelmäßig überprüfen müssen (Re-Zertifizierung), haben dank geschäftsprozessorientierter Rollen - statt kryptischer technischer Berechtigungen - ein verlässliches und verständliches Medium an der Hand. Identity Access Management schlägt so die Brücke zwischen Business und IT bzw. zwischen Fachebene und Technik und schließt damit schon im Vorfeld Sicherheitslücken im System noch bevor ein Schaden entstehen kann.
2011 werden sich die Finanzdienstleister intensiv mit dem Thema IT und IT-Infrastrukturlösungen auseinandersetzen müssen. Denn nicht nur die Datensicherheit, sondern auch Regularien sowie Merger und Fusionen - denken wir nur an die anspruchsvolle Zusammenführung der digitalen Identitäten von Commerzbank und Dresdner Bank - verlangen die Modernisierung der Technik. Letztlich trägt die IT wesentlich zum Erfolg am Markt bei.
Hier gratis downloaden!
1/2012
8/2011
7/2011
Dr. Christine Wahlmüller-Schiller ist freie Autorin und Kommunikationsberaterin, spezialisiert auf die IT- und Telekom-Branche. 