IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

martinkuhlmann80.jpgDr. Martin Kuhlmann, Omada, über Compliance-Anforderungen und deren Gewährleistung.

„Wir haben in unsere Infrastruktur für die Benutzer- und Berechtigungsverwaltung nun Einiges investiert, aber die Fachabteilungen beklagen immer noch mangelnde Übersicht, und die Revisoren vermissen den Nachweis der Compliance!“ Nicht selten höre ich diesen verwunderten Ausruf von IT-Verantwortlichen. Die IT hat in dem Falle zwar nicht grundsätzlich etwas Falsches gemacht, hätte aber wahrscheinlich die Wünsche der Fachanwender höher werten müssen. Zunehmend wird klar, dass beim Thema Compliance und Governance der Schuh drückt. Daher sollte man sein Identity & Access Management (IAM) Programm entsprechend ausrichten. Um Lorbeeren für ein erfolgreiches Projekt zu ernten, müssen die Bedürfnisse der Auftraggeber von Beginn an verstanden und berücksichtigt werden. Generell gilt: Effiziente IT Operations ist gut, gleichzeitig gehen jedoch die Fachanfordungen über das übliche Geschäft der Benutzeradminstration hinaus.
 
Die Sichtweise der Business-Ebene zählt
 
Woher kommen die Klagen der Fachabteilungen? Diese Abteilungen haben die Aufgabe, zu beurteilen, ob Berechtigungen entsprechend der Compliance-Richtlinien vergeben und verwaltet werden. Dies wird als Zeitfresser und Zusatzbelastung empfunden, wenn die Informationen nicht verständlich sind und geeigneten Analyse-Werkzeuge fehlen. Systemspezifische Richtlinien und Berechtigungen sind sehr häufig in einer sehr technischen Sprache definiert und meist nicht so aufbereitet, dass Verantwortliche deren fachliche Bedeutung und Korrektheit beurteilen können. Dadurch haben sie das Gefühl, dass potenzielle Schwachstellen wie etwa der Zugang zu sensiblen Daten nicht zuverlässig erkannt werden. Und die Revision bestätigt das. 
Die Verantwortlichen brauchen also Unterstützung:
 
  • Vorbereitete Dashboards und Berichte in der Sprache der Fachabteilungen bieten eine leicht erfassbare Übersicht und detaillierte Auskunftsmöglichkeiten über aktuelle und historische Berechtigungen. 
  • Eine toolgestützte Risikoklassifikation hilft, risikoträchtige oder nicht erlaubte Rechtekonstellationen auf fachlicher Ebene darzustellen. 
  • Die regelmäßige Überprüfung vorhandener Berechtigungen („Rezertifizierung“) muss einfach handhabbar und durchschaubar sein – ansonsten gibt es für diese neben dem Tagesgeschäft anfallende Aufgabe keine Akzeptanz. Wichtig für eine Bewertung der bestehenden Berechtigungen ist auch der Vergleich mit einem vorher definierten Soll-Zustand. Um den Soll-Standard festzulegen, können Fachverantwortliche und IT-Spezialisten gemeinsam unter Zuhilfenahme von Analysetools („Role Mining“) Berechtigungen in fachliche Rollen zuammenfassen. Die tatsächlich in den produktiven Systemen vorhandenen Rechte, die von diesem Standard abweichen, werden dann automatisch ermittelt.
   
Informationen zusammenführen
 
Die Basis für die Unterstützung der Fachseite ist das Zusammenführen von Berechtigungs-Informationen aus den IT-Systemen in einer zentralen IAM-Datenbank. Dies kann über Konnektoren oder mittels Datenextrakten erfolgen. Je flexibler die Importschnittstellen in der IAM-Lösung sind und je mehr Standardkonnektoren verfügbar sind, um so geringer ist dabei der Realisierungsaufwand. Konten und Rechte aus den verschiedenen Systemen sollten so weit wie möglich automatisch den jeweiligen Benutzern zugeordnet werden können. 
 
Dauerhaft Compliance gewährleisten
 
Nach Zusammenführung der Daten können die wichtigsten Compliance-Anforderungen erfüllt werden: Die Rechtesituation ist für die Verantwortlichen kontrollierbar, Rechte sind korrekt definiert und Abweichungen können gegebenenfalls korrigiert werden. 
 
Auf dieser Basis kann man in einem zweiten Schritt schnell Compliance-Aktivitäten und Prozesse automatisieren. Berechtigungen können automatisch zur Überprüfung vorgelegt werden; nicht korrekte Rechte werden anschließend im Active Directory, SAP und anderen angebundenen Systemen deaktiviert; Abweichungen der Rechte von Standardrollen können ebenfalls systemseitig entfernt werden.
 
Um Sicherheit präventiv zu gewährleisten, konfiguriert man schließlich Antragsprozesse für Berechtigungen so, dass Compliance-Regeln wie etwa das 4-Augen-Prinzip oder Genehmigungen von vornherein eingehalten werden.
 
Im Ergebnis sind zunächst die dringendsten Compliance-Anforderungen umgesetzt, und gleichzeitig ist die Basis für eine umfassende IAM-Lösung mit hohem Automationsgrad geschaffen. Die IT-Abteilung ist erfolgreich, weil sie den Fachabteilungen die Wahrnehmung von Verantwortung ermöglicht und sie gleichzeitig durch automatisierte Verfahren und übersichtliche Aufbereitung von Informationen entlastet.
 
Ein Blick auf die Webseite der Firma Omada lohnt sich. Hier wird mit der Omada Identity Suite eine Lösung angeboten, die sowohl die Berechtigungsverwaltung als auch die Compliance-Anforderungen Schritt für Schritt abdecken kann. 
 
Dr. Martin Kuhlmann, Lead Solution Architect, Omada A/S
 
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet