IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Identity FingerabdruckEiner aktuellen Ponemon-Studie zufolge ist Identity Governance das derzeit populärste Security-Tool – 50 Prozent aller Unternehmen setzen es ein. Mit durchwachsenem Erfolg: Was den Return on Investment (ROI) angeht, liegt Identity Governance derselben Studie zufolge einige Prozentpunkte unter dem Durchschnitt. 

Woher kommt diese Diskrepanz zwischen Popularität und Kosten-Nutzen-Faktor? In der Fachwelt besteht ein breiter Konsens über das Potenzial von Identity Governance. Aber bei der Umsetzung wird häufig geschlampt. Microfocus nennt fünf Fehler, die Unternehmen unbedingt vermeiden sollten.

Fehler 1: Kunst um der Kunst willen

Identity Governance ist kein Selbstzweck, sondern dient dem Ziel, die IT-Sicherheit zu erhöhen. Zu viele Unternehmen investieren ihre Ressourcen, ohne eine adäquate Erfolgskontrolle zu betreiben. Wer wissen möchte, ob sich Identity Governance lohnt, der muss die Kosten für diese Maßnahme mit der tatsächlichen Reduktion von Risiken in ein Verhältnis setzen. Wie aber lässt sich die Reduktion von Risiken bemessen? Gewisse Rückschlüsse lässt beispielsweise der Prozentsatz der Zugänge und Nutzerrechte zu, die dank Identity Governance deaktiviert oder entfernt wurden. Zwar kann diese Größe von zahlreichen Faktoren beeinflusst sein und schwankt etwa, wenn ein Unternehmen neue Mitarbeiter einstellt, alte entlässt oder Unternehmensbereiche restrukturiert. Bezieht man etwaige Schwankungen jedoch mit ein, entsteht ein verlässlicher Erfolgsmaßstab. Er kann genutzt werden, um den ROI von Identity Governance realistisch zu bemessen.

Fehler 2: Unternehmen züchten Klonkrieger

Zeitmangel ist das entscheidende Problem: IT-Abteilungen klonen Nutzerberechtigungen, anstatt sie individuell zu vergeben. Tritt ein neuer Mitarbeiter in ein Unternehmen ein, erhält er häufig ein vorgefertigtes Paket an Zugangsberechtigungen, das seinem Level oder seinen Aufgaben im Unternehmen ungefähr entspricht. Zu diesem Zweck werden die Rechte eines Nutzers, der im gleichen Bereich arbeitet, kurzerhand kopiert. Mit diesem Vorgehen wird Zeit gespart, allerdings erhalten Personen dadurch regelmäßig mehr Befugnisse, als sie in Wirklichkeit benötigen. Abhilfe schafft ein System, das Vorgesetzten automatisiert eine Liste mit Informationen und Anwendungen vorschlägt, die dem Aufgabengebiet eines neuen Mitarbeiters entsprechen. Auf Grundlage dieser Vorauswahl können individuelle, aber dennoch zeiteffiziente Entscheidungen getroffen werden.

Fehler 3: Karteileichen werden nicht beseitigt

Karteileichen bergen die Gefahr, dass sie als Zombies wiederauferstehen. Verlässt ein Mitarbeiter das Unternehmen, sollte sein Zugang zu Informationen und Anwendungen schnellstmöglich erlöschen. Nur auf diese Weise kann verhindert werden, dass er seinen Account zu einem späteren Zeitpunkt reaktiviert, um die Infrastruktur des Unternehmens widerrechtlich zu nutzen oder gar sensible Informationen zu entwenden. Auch für Cyberkriminelle sind inaktive Accounts willkommene Ziele. Ein weiteres Versäumnis besteht bei der Rücknahme von Befugnissen: Wenn Personen eine neue Rolle im Unternehmen bekleiden oder von Projekt zu Projekt wechseln, erhalten sie zwar neue Berechtigungen, bekommen die alten aber nicht entzogen. Um die Karteileichen zu beseitigen, bedarf es regelmäßiger Reviews im Rahmen des Access Certification Prozesses (ACP). Überprüfungen in Abständen von sechs bis zwölf Monaten stellen sicher, dass überflüssige Accounts und Berechtigungen zuverlässig beseitigt werden.

Fehler 4: Identity Governance mit verschlossenen Augen

Selbst perfekt justierte Zugangsberechtigungen können nicht vollständig verhindern, dass ein Nutzer oder Administrator etwas Unerlaubtes tut. Auch der Identitätsdiebstahl durch einen externen Angreifer ist eine zwar zu minimierende, aber nicht vollständig zu beseitigende Gefahr. Zusätzlich zur turnusmäßigen Überprüfung im Rahmen des ACP muss Identity Governance deshalb stets ein waches Auge haben. Normabweichendes Verhalten von Insidern oder das Auftreten besonderer Risiken – mitunter bereits gegeben durch den Austritt eines Mitarbeiters aus dem Unternehmen – sollten automatisiert eine individuelle Überprüfung nach sich ziehen.

Fehler 5: Vorgesetzte werden überfordert

Identity Governance zielt darauf ab, menschengeschaffene Risiken in der IT-Sicherheit zu verringern. Ironischerweise kann aber auch in diesem System der Mensch das schwächste Glied der Kette sein – in Form des Führungspersonals, das für die Vergabe von Befugnissen verantwortlich ist. Da Vorgesetzte eine Vielzahl an Aufgaben zu erledigen haben und die Absegnung von Zugangsberechtigungen auf ihrer Prioritätenliste verständlicherweise nicht ganz oben steht, winken sie Anfragen eher durch, anstatt sie gewissenhaft zu prüfen. Oft stellt dieses Vorgehen kein großes Problem dar, in Einzelfällen werden jedoch völlig achtlos sicherheitskritische Entscheidungen getroffen – ohne dass die Verantwortlichen dies notwendigerweise bemerken. Ein Ausweg bietet die Priorisierung des ACP: Je mehr Risiken mit einer Rechtvergabe verbunden sind, desto wichtiger ihre Überprüfung. Wenn ein Vorgesetzter nur ausgewählte Fälle überprüfen muss und alle weiteren automatisiert oder über ein Self-Service-System abgewickelt werden, steht ihm pro Fall mehr Zeit zur Verfügung.

Fazit

Richtig eingesetzt, ist Identity Governance eines der mächtigsten Tools, um die IT-Sicherheit in Unternehmen zu erhöhen. Wer jedoch unbedacht vorgeht, der erhält ein System, das viel Geld kostet, Vorgesetzte überfordert und seinem Zweck nicht vollständig gerecht werden kann. Unternehmen müssen sicherstellen, dass sie die genannten Fehler von Anfang an vermeiden – oder zumindest in Zukunft nicht mehr begehen.

www.microfocus.com/de

 

 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet