"Mehr Compliance, mehr Sicherheit"

IT stellt nicht nur die Infrastruktur für Geschäftsprozesse bereit, sondern muss auch den Compliance-Anforderungen an das gesamte Unternehmen Folge leisten beziehungsweise für deren Einhaltung das nötige Rüstzeug liefern. Die Basis dafür bilden die Dokumentation interner Abläufe und Prozesse sowie entsprechende Kontrollsysteme.

Der Berechtigungsauditor (AudIT) ist eine Lösung, die es ermöglicht, die aktuellen Zugriffsberechtigungen auf Ressourcen unterschiedlichster Systeme übersichtlich und einheitlich darzustellen. Im Rahmen von Compliance-Maßnahmen hilft sie zunächst bei einer vollständigen Bestandsaufnahme sowie bei den daraus abzuleitenden Benutzerdaten-Bereinigungsaktivitäten. Darüber hinaus stellt sie die Basis für die Entwicklung von modernen Rollenkonzepten beziehungsweise rollenbasierendem Identitätsmanagement dar.

"Wer darf was?"

Im Zentrum stehen dabei Fragen nach den vorhandenen Ressourcen, dem verfügbaren Rechteportfolio, den Zugriffsberechtigungen auf diese Ressourcen, der Anwender und Anwendergruppen, die diese Ressourcen nutzen dürfen, den einzelnen Mitgliedern dieser Anwendergruppen und vieles mehr.

"Oft stellt sich erst im Zuge eines Compliance-Projektes heraus", so Michael Botek, Geschäftsführer ITdesign, "dass Unternehmen für die Zuweisung von Rollen und Verantwortlichkeiten die notwendigen Basisdaten fehlen. Wer kann zum Beispiel dokumentieren, dass alle Abteilungswechsel oder Firmenaustritte von Mitarbeitern, in allen Systemen entsprechend den Sicherheitsvorgaben durchgeführt wurden? AudIT löst diese Anforderung."

Mit einem Tool wie dem Berechtigungsauditor können diese Informationen erstmals aus unterschiedlichen Quellen zusammengefasst und dargestellt werden. Dabei kann es sich um Directories, Datenbanken, File Shares, Applikationen, und anderem mehr handeln. So wurden beispielsweise, wie Botek erläutert, während eines aktuellen Rollenkonzept-Projektes Daten aus dem MS Windows File-System, MS Exchange, SQL Server, IXOS Archiv, IBM iSeries und einer Reihe von eigenentwickelten Applikationen ausgelesen.

Alle Berechtigungen im Griff

Das Herzstück des Tools ist eine SQL-Server Datenbank, in welche die Daten importiert werden. Alle Informationen, die im Zusammenhang mit Berechtigungen stehen, sind hier von Belang:

• Gruppen: Active Directory Sicherheitsgruppen, Verteilerlisten, iSeries Benutzergruppen,
• Organisationseinheiten, deren Hierarchie und Mitglieder,
• Personen (alle in den Systemen vorhanden Accounts) und ihre Gruppenzugehörigkeit,
• Ressourcen (Files, Shares, Folders, E-Mail Accounts, iSeries Programme und Funktionen),
• Berechtigungen (Gruppen und Einzelpersonen) auf alle im System bekannten Ressourcen,
• Lokationen.

Nach abgeschlossenem Projekt werden über eine browser-basierte Darstellung den Verantwortlichen, die für die Bedienung keinerlei EDV Wissen benötigen, auf einem Blick die gewünschten Informationen bereitgestellt. Diese Informationen sind zugleich ein gutes Rüstzeug, um beispielsweise mit einem Identity-Management-Projekt den Sicherheitslevel, die Transparenz und die Nachvollziehbarkeit zu erhöhen. "Die zentrale Verwaltung von benutzerbezogenen Daten in Unternehmensnetzen bringt nicht nur Zeit- und Kostenersparnis, sondern ist auch ein wichtiges Sicherheitskriterium", so Botek.

www.itdesign.at

Berechtigungsauditor (AudIT)

Der Berechtigungsauditor beantwortet u.a. folgende Fragen:

• Welche Ressourcen sind im System vorhanden?
• Welche Rechte sind für die Ressourcen vorgesehen?
• Wer hat welche Zugriffsberechtigung (z.B.: Lesen, Ausführen, Vollzugriff, ...)?
• Welche Gruppen sind in den Systemen angelegt?
• Wer ist Mitglied welcher Gruppe?
• Welche Gruppe hat auf welchen Ressourcen welche Berechtigungen?
• Wer gehört welcher Organisationseinheit an?