Anzeige

Anzeige

VERANSTALTUNGEN

DIGITAL FUTUREcongress
14.02.19 - 14.02.19
In Frankfurt, Congress Center Messe

SAMS 2019
25.02.19 - 26.02.19
In Berlin

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

IAM CONNECT 2019
18.03.19 - 20.03.19
In Berlin, Hotel Marriott am Potsdamer Platz

Anzeige

Anzeige

IAM und Privileged Identity Management

Immer mehr Mitarbeiter greifen über mobile-basierte Anwendungen auf Unternehmensdaten in der Cloud zu. Das kann zum Sicherheitsrisiko werden, wenn das Unternehmen nicht einschränkt und prüft, wer Zugang zu den sensiblen Informationen hat. 

Mit einer durchdachten Identity Governance-Strategie können Unternehmen dagegen ansteuern. Im Interview erklärt Philipp Jacobi, Head of Security Business Unit bei Dimension Data, welche Maßnahmen dafür notwendig sind – und warum.

Was genau ist unter Identity Governance zu verstehen?

Philipp Jacobi: Identity Governance setzt sich zusammen aus dem unternehmensweiten Identitätsmanagement und der Einhaltung von Compliance-Richtlinien hinsichtlich Datenschutz und IT-Sicherheit. Konkret geht es darum, zu klären, welche Berechtigungen jeder Mitarbeiter innerhalb des Unternehmensnetzwerks hat und auf welche internen Informationen und Anwendungen er zugreifen darf. Die Berechtigungen ergeben sich zum Beispiel aus den Aufgaben, die der Mitarbeiter innerhalb des Unternehmens bearbeitet. Nach dem Need-to-Know-Prinzip erhält der Mitarbeiter dabei nur Zugang zu Diensten und Daten, die er tatsächlich für seine Aufgaben benötigt – auf alle anderen Informationen und Systeme hat er dagegen keinen Zugriff. Allerdings muss dabei berücksichtigt werden, dass sich die Aufgaben und damit auch die Berechtigungen eines Mitarbeiters während seiner Karriere im Unternehmen verändern und erweitern können. Auf Joiner-Mover-Leaver-Prozesse – dem Werdegang des Angestellten vom Eintritt in das Unternehmen über Abteilungswechsel bis zum Austritt – muss im Identitätsmanagement deshalb mit raschen Änderungen der Zugriffsberechtigungen reagiert werden.

Diese Vergabe der Berechtigungen ist also ein sehr komplexes Thema. Welche Gründe gibt es denn, Identity Governance-Maßnahmen umzusetzen?

Philipp JacobiPhilipp Jacobi (Foto): Ganz einfach: Nur mit diesen Maßnahmen kann eine hohe IT-Sicherheit gewährleistet werden. Unternehmensdaten werden vermehrt in die Cloud verlagert und Mitarbeiter greifen beispielsweise von mobile-basierten Anwendungen auf mitunter sehr sensible Daten zu. Werden die Zugriffe auf die unternehmensinternen Informationen auf einen kleineren Personenkreis eingeschränkt und regelmäßig kontrolliert, sind die Daten besser vor dem Zugriff Unbefugter geschützt und das Risiko des Datenmissbrauchs wird minimiert. So können interne wie externe Angriffe besser abgewehrt werden. Über eine konsistente Identity Governance-Strategie verfügen allerdings nur die wenigsten Unternehmen. Dabei werden entsprechende Maßnahmen seit Mai 2018 sogar von der EU-Datenschutz-Grundverordnung – kurz EU-DSGVO – gefordert.

Inwiefern verlangt die EU-DSGVO solche Maßnahmen?

Philipp Jacobi: Im Artikel 25 der Verordnung wird von datenverarbeitenden Unternehmen verlangt, dass sie die Datenschutzgrundsätze durch konkrete Maßnahmen umsetzen. Das bedeutet, sie sind dazu verpflichtet, das Datenaufkommen zu minimieren, Informationen zu pseudonymisieren – und die Zugriffe auf Informationen durch umsichtig verteilte Berechtigungen zu beschränken. Der Schwerpunkt liegt bei der EU-DSGVO besonders auf personenbezogenen Daten. Unternehmen, die mit solchen Informationen arbeiten, müssen also sicherstellen, dass nur so viele Angestellte wie nötig Zugriff auf die personenbezogenen Daten haben, und sind verpflichtet, diese Zugriffsberechtigungen auch regelmäßig zu kontrollieren.

Welche Lösungen gibt es für Unternehmen, um diese Vorgaben zu erfüllen?

Philipp Jacobi: Notwendig ist ein zeitgemäßes Identitätsmanagement, das auf die Besonderheiten und Anforderungen des Unternehmens und komplexe hybride IT-Umgebungen zugeschnitten ist. Gleichzeitig müssen die Identity Governance-Maßnahmen Unternehmens- und Compliance-Richtlinien umsetzen. Das bedeutet also, dass es keine allgemeingültige Lösung gibt, sondern jedes Unternehmen eine individuelle Identity Governance-Strategie entwickeln muss. Gerade externe Dienstleister mit entsprechendem Expertenwissen können da helfen. Sie entwickeln maßgeschneiderte Lösungen, die nutzerfreundlich und sicher sind. Mitarbeiter können schnell und verlässlich auf die freigegebenen Informationen und Dienste zugreifen, wobei gleichzeitig die hohen Sicherheitsanforderungen des Unternehmens berücksichtigt werden. Eines muss den Unternehmen jedoch bewusst sein: Es gibt nicht die eine Lösung, die eine vollständige Risikoerfassung mit der Ermittlung aller Nutzer und ihrer Berechtigungen bietet und dabei gleichzeitig den Zugriff auf IT-Ressourcen steuert und alle unternehmenskritischen Aktivitäten Compliance-konform überwacht und protokolliert. Vielmehr bedarf es einer Kombination unterschiedlicher Lösungen, welche die einzelnen Aspekte der Identity Governance abdecken.

Können Sie da ein Beispiel nennen?

Philipp Jacobi: Ein zentraler Bestandteil einer Identity Governance-Strategie sollte beispielsweise das Privileged Identity-Management (PIM) sein. Dabei werden privilegierte Benutzerkonten – sprich Administratorenkonten – verwaltet, gesichert und überwacht. Denn aufgrund der umfassenden Berechtigungen, die ein Administrator übertragen bekommt, erhöht sich das Risiko für Missbrauch von Unternehmensdaten und -anwendungen.

Wie sieht Privileged Identity-Management genau aus?

Philipp Jacobi: In Applikationen, Skripten oder Konfigurationsdateien werden die Passwörter gespeichert, die für den automatischen Zugriff von Anwendungen auf Backend-Systeme benötigt werden. In der Regel sind diese Passwörter im Klartext eingebettet und werden nicht geändert. So werden sie zu einem erheblichen Sicherheitsrisiko. Eine moderne PIM-Lösung bietet die Möglichkeit, diese statischen Passwörter zu entfernen sowie die neuen Passwörter zu verwalten und regelmäßig zu ändern. Diese Lösung wird bisher leider nur vereinzelt eingesetzt. Eine weitere Maßnahme im Zusammenhang mit privilegierten Benutzerkonten ist das so genannte Privileged Session-Management. Dabei werden die Sessions – alle Vorgänge bei privilegierten Zugriffen – protokolliert. Insbesondere bei der Einbindung externer Dienstleister oder Service-Provider in das eigene IT-System ist eine Privileged Session-Management-Lösung für die IT-Sicherheit unverzichtbar. Das gilt dabei nicht nur für große, sondern auch für kleine und mittelständische Unternehmen, die Standardaufgaben in die Cloud auslagern.

Herr Jacobi, vielen Dank für das Gespräch!

 

Welcome Aboard
Nov 16, 2018

Cyber Security und Compliance: Die Mitarbeiter ins Boot holen

Der Oktober stand wie immer ganz im Zeichen nationaler Cybersicherheit. Tendenziell kein…
Tb W90 H64 Crop Int 49b8aad2435603d564c50d2760b776ff
Aug 31, 2018

Privileged Access-Management die Basis für IAM

Viele der in letzter Zeit bekannt gewordenen Cyberangriffe und Datenverstöße haben eines…
IAM
Mär 02, 2018

IAM: Fünf Tipps für die richtige Wahl

In komplexen IT-Landschaften helfen leistungsstarke…
Smarte News aus der IT-Welt