Interview mit Philipp Jacobi, Dimension Data

Mit Identity Governance zu mehr IT-Sicherheit

LinkedInXingPocketWhatsAppFlipboard

Immer mehr Mitarbeiter greifen über mobile-basierte Anwendungen auf Unternehmensdaten in der Cloud zu. Das kann zum Sicherheitsrisiko werden, wenn das Unternehmen nicht einschränkt und prüft, wer Zugang zu den sensiblen Informationen hat. 

Mit einer durchdachten Identity Governance-Strategie können Unternehmen dagegen ansteuern. Im Interview erklärt Philipp Jacobi, Head of Security Business Unit bei Dimension Data, welche Maßnahmen dafür notwendig sind – und warum.

Anzeige

Was genau ist unter Identity Governance zu verstehen?

Philipp Jacobi: Identity Governance setzt sich zusammen aus dem unternehmensweiten Identitätsmanagement und der Einhaltung von Compliance-Richtlinien hinsichtlich Datenschutz und IT-Sicherheit. Konkret geht es darum, zu klären, welche Berechtigungen jeder Mitarbeiter innerhalb des Unternehmensnetzwerks hat und auf welche internen Informationen und Anwendungen er zugreifen darf. Die Berechtigungen ergeben sich zum Beispiel aus den Aufgaben, die der Mitarbeiter innerhalb des Unternehmens bearbeitet. Nach dem Need-to-Know-Prinzip erhält der Mitarbeiter dabei nur Zugang zu Diensten und Daten, die er tatsächlich für seine Aufgaben benötigt – auf alle anderen Informationen und Systeme hat er dagegen keinen Zugriff. Allerdings muss dabei berücksichtigt werden, dass sich die Aufgaben und damit auch die Berechtigungen eines Mitarbeiters während seiner Karriere im Unternehmen verändern und erweitern können. Auf Joiner-Mover-Leaver-Prozesse – dem Werdegang des Angestellten vom Eintritt in das Unternehmen über Abteilungswechsel bis zum Austritt – muss im Identitätsmanagement deshalb mit raschen Änderungen der Zugriffsberechtigungen reagiert werden.

Diese Vergabe der Berechtigungen ist also ein sehr komplexes Thema. Welche Gründe gibt es denn, Identity Governance-Maßnahmen umzusetzen?

Philipp JacobiPhilipp Jacobi (Foto): Ganz einfach: Nur mit diesen Maßnahmen kann eine hohe IT-Sicherheit gewährleistet werden. Unternehmensdaten werden vermehrt in die Cloud verlagert und Mitarbeiter greifen beispielsweise von mobile-basierten Anwendungen auf mitunter sehr sensible Daten zu. Werden die Zugriffe auf die unternehmensinternen Informationen auf einen kleineren Personenkreis eingeschränkt und regelmäßig kontrolliert, sind die Daten besser vor dem Zugriff Unbefugter geschützt und das Risiko des Datenmissbrauchs wird minimiert. So können interne wie externe Angriffe besser abgewehrt werden. Über eine konsistente Identity Governance-Strategie verfügen allerdings nur die wenigsten Unternehmen. Dabei werden entsprechende Maßnahmen seit Mai 2018 sogar von der EU-Datenschutz-Grundverordnung – kurz EU-DSGVO – gefordert.

Inwiefern verlangt die EU-DSGVO solche Maßnahmen?

Philipp Jacobi: Im Artikel 25 der Verordnung wird von datenverarbeitenden Unternehmen verlangt, dass sie die Datenschutzgrundsätze durch konkrete Maßnahmen umsetzen. Das bedeutet, sie sind dazu verpflichtet, das Datenaufkommen zu minimieren, Informationen zu pseudonymisieren – und die Zugriffe auf Informationen durch umsichtig verteilte Berechtigungen zu beschränken. Der Schwerpunkt liegt bei der EU-DSGVO besonders auf personenbezogenen Daten. Unternehmen, die mit solchen Informationen arbeiten, müssen also sicherstellen, dass nur so viele Angestellte wie nötig Zugriff auf die personenbezogenen Daten haben, und sind verpflichtet, diese Zugriffsberechtigungen auch regelmäßig zu kontrollieren.

Welche Lösungen gibt es für Unternehmen, um diese Vorgaben zu erfüllen?

Philipp Jacobi: Notwendig ist ein zeitgemäßes Identitätsmanagement, das auf die Besonderheiten und Anforderungen des Unternehmens und komplexe hybride IT-Umgebungen zugeschnitten ist. Gleichzeitig müssen die Identity Governance-Maßnahmen Unternehmens- und Compliance-Richtlinien umsetzen. Das bedeutet also, dass es keine allgemeingültige Lösung gibt, sondern jedes Unternehmen eine individuelle Identity Governance-Strategie entwickeln muss. Gerade externe Dienstleister mit entsprechendem Expertenwissen können da helfen. Sie entwickeln maßgeschneiderte Lösungen, die nutzerfreundlich und sicher sind. Mitarbeiter können schnell und verlässlich auf die freigegebenen Informationen und Dienste zugreifen, wobei gleichzeitig die hohen Sicherheitsanforderungen des Unternehmens berücksichtigt werden. Eines muss den Unternehmen jedoch bewusst sein: Es gibt nicht die eine Lösung, die eine vollständige Risikoerfassung mit der Ermittlung aller Nutzer und ihrer Berechtigungen bietet und dabei gleichzeitig den Zugriff auf IT-Ressourcen steuert und alle unternehmenskritischen Aktivitäten Compliance-konform überwacht und protokolliert. Vielmehr bedarf es einer Kombination unterschiedlicher Lösungen, welche die einzelnen Aspekte der Identity Governance abdecken.

Können Sie da ein Beispiel nennen?

Philipp Jacobi: Ein zentraler Bestandteil einer Identity Governance-Strategie sollte beispielsweise das Privileged Identity-Management (PIM) sein. Dabei werden privilegierte Benutzerkonten – sprich Administratorenkonten – verwaltet, gesichert und überwacht. Denn aufgrund der umfassenden Berechtigungen, die ein Administrator übertragen bekommt, erhöht sich das Risiko für Missbrauch von Unternehmensdaten und -anwendungen.

Wie sieht Privileged Identity-Management genau aus?

Philipp Jacobi: In Applikationen, Skripten oder Konfigurationsdateien werden die Passwörter gespeichert, die für den automatischen Zugriff von Anwendungen auf Backend-Systeme benötigt werden. In der Regel sind diese Passwörter im Klartext eingebettet und werden nicht geändert. So werden sie zu einem erheblichen Sicherheitsrisiko. Eine moderne PIM-Lösung bietet die Möglichkeit, diese statischen Passwörter zu entfernen sowie die neuen Passwörter zu verwalten und regelmäßig zu ändern. Diese Lösung wird bisher leider nur vereinzelt eingesetzt. Eine weitere Maßnahme im Zusammenhang mit privilegierten Benutzerkonten ist das so genannte Privileged Session-Management. Dabei werden die Sessions – alle Vorgänge bei privilegierten Zugriffen – protokolliert. Insbesondere bei der Einbindung externer Dienstleister oder Service-Provider in das eigene IT-System ist eine Privileged Session-Management-Lösung für die IT-Sicherheit unverzichtbar. Das gilt dabei nicht nur für große, sondern auch für kleine und mittelständische Unternehmen, die Standardaufgaben in die Cloud auslagern.

Herr Jacobi, vielen Dank für das Gespräch!

 


Anzeige

Artikel zu diesem Thema

18. August 2020
Wie die Cloud Workloads in der Cloud schützt
13. Juni 2020
Steigende Sicherheitsrisiken durch veraltete Netzwerk-Geräte
17. Dezember 2019
Campana & Schott wird strategischer Investor bei IT-Seal

Weitere Artikel

Cyber & Cloud Security
Identity Management Day 2024: Authentizität und Sicherheit beachten
Business Software
Microsoft Surface Pro 10 for Business unterstützt YubiKey-Authentifizierung
Business Software
CyberArk: neuer Browser mit identitätsbasiertem Schutz
Identity & Access Management
IAM: Der Schlüssel zur Verhinderung von Cyber-Attacken
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.