Thought Leadership
Wichtige Geschäftsvorgänge finden durch Remote Work und Cloud-Dienste immer häufiger außerhalb des Unternehmensnetzwerks statt. Durch diese Veränderung der Sicherheitsgrenzen werden Mitarbeitende, Lieferanten und Bots häufiger zum potenziellen Ziel von Cyberkriminellen. Lösungen für die Identitätssicherheit ermöglichen eine effiziente Verwaltung von Benutzerkonten und Zugriffsrichtlinien, um Compliance-Anforderungen zu erfüllen und das Risiko von Datenschutzverletzungen zu minimieren.
Klaus Hild, Principal Identity Strategist bei SailPoint Technologies, erklärt die gängigsten Mythen und zeigt, welche Stolperfallen es zu umschiffen gilt, damit das Identity Access Management (IAM) zum Erfolg wird.
1. Falsch: IAM ist ein Projekt
Bei der Einführung eines IAM-Programms geht es nicht einfach um eine weitere IT-Anwendung, die implementiert wird, und die sich von da an automatisch um das Thema Zugriffsberechtigungen kümmert. Vielmehr handelt es sich um einen Teil der Unternehmensstrategie: Zugriffe werden grundsätzlich beschränkt, überprüft und nur ermöglicht, wenn sie wirklich notwendig sind. Man spricht hier auch von einer Zero-Trust-Strategie. Um einen solchen Ansatz zu etablieren und mithilfe eines entsprechenden Tools durchzuführen, werden zunächst alle Prozesse und Rollen im Unternehmen abgebildet. Erst nach dieser Phase lässt sich das IAM-Programm aufsetzen und mit all seinen Vorteilen effektiv nutzen. Ein Identity-Access-Management-Programm ist somit ein steter Prozess, kein Projekt, das ein konkretes Start- und Enddatum hat.
2. Falsch: IAM ist alleinige Sache der IT-Abteilung
Am ersten Mythos lässt sich bereits erkennen, dass es sich beim IAM um ein sehr strategisches Thema handelt. Es geht um die Abbildung der Unternehmensprozesse zugunsten der Erhöhung der Sicherheit. Eine Abteilung kann das nicht alleine einsteuern. Vielmehr braucht die erfolgreiche Einführung die Unterstützung des Managements. Ebenso muss die Personalabteilung mit eingebunden werden, da sie über wichtige Einblicke und Informationen wie Personalnummern und Zuständigkeiten sowie Stellenbeschreibungen verfügt. In Deutschland funktioniert eine derartige Prozessänderung nicht, ohne den Betriebsrat mit an Bord zu holen: Was Bedenken oder Unsicherheiten seitens der Belegschaft betrifft, ist er die erste Anlaufstelle und deshalb äußerst wichtig für die Durchsetzung und den Erfolg des Programms.
3. Falsch: Prozesse werden nicht hinterfragt
Bevor das IAM implementiert werden kann, müssen zunächst alle IT-gestützten Prozesse im Unternehmen sinnvoll abgebildet werden, damit sich die notwendigen Zugriffsrechte ableiten lassen. Bei der Abbildung von Unternehmensprozessen geht es auch darum, Veränderungen oder Neuanfänge zumindest in Erwägung zu ziehen. Ganz entgegen dem Motto: „Das haben wir halt immer schon so gemacht“, besteht genau jetzt die Chance, Gegebenes zu hinterfragen und bei Bedarf umzustrukturieren. Das Implementierungs-Team sollte sich deshalb die bestehenden Prozesse ganz genau zeigen und bei Fragen erklären lassen, um eventuell Optimierungspotenziale aufdecken und adressieren zu können.
4. Falsch: Die meisten Unternehmen wissen wie viele IT-Anwendungen sie haben
Die meisten Fälle in der Praxis bestätigen es: Unternehmen haben weit mehr IT-Anwendungen im Einsatz, als sie es zu Beginn für möglich gehalten hätten. Für das eigentliche Ziel – die Erhöhung der Sicherheit im Unternehmen – müssen wirklich alle Rollen sowie Zugriffe auf Anwendungen, Daten und Cloud-Dienste abgedeckt werden. Neben allen, sich in aktiver Nutzung befindenden IT-Programmen, müssen auch Bots, Maschinenidentitäten sowie externe Partner, die Zugriff benötigen, bedacht werden.
5. Falsch: Die Zertifizierung kann erst nach Abschluss aller Go Lives erfolgen
Die Datenbereinigung ist genauso entscheidend für den Erfolg von IAM wie die Vollständigkeit der angebundenen IT-Anwendungen. Jede Applikation sollte auf ihre Datenqualität geprüft sein. Eine möglichst realistische und ehrliche Einschätzung des benötigten Aufwands und der vorhandenen Ressourcen helfen, nicht in zeitliche Bedrängnis zu geraten. Bei der Abbildung der Prozesse im IAM-Tool und der Datenbereinigung ist eher von einer Dauer von mehreren Wochen und Monaten auszugehen als von einem Wochenende. Bevor sich der komplette Go Live nach hinten verschiebt, lieber mit mehreren kleineren Go Lives als mit dem einen großen „Big Bang“ planen. Eine Zertifizierung kommt bereits nach Anbindung der ersten Anwendung in Frage.
6. Falsch: Die Akzeptanz in der Belegschaft kommt von alleine
Das Hinterfragen von Zuständigkeiten, Rollen und Prozessen im Unternehmen rüttelt in manchen Fällen regelrecht an den Grundpfeilern. Das mag zu Skepsis und Unsicherheiten führen. Gerade deshalb ist es wichtig, offen und transparent zu kommunizieren, worum es bei der Einführung eines IAM-Programms geht: um die bewusste Einschränkung von Zugriffsmöglichkeiten auf das Unternehmensnetzwerk zugunsten der Unternehmenssicherheit. Je besser es gelingt, die Belegschaft zu informieren und dazu abzuholen, umso leichter lässt sich IAM einführen – und Akzeptanz ist das A und O für den Erfolg.
7. Falsch: Der Go Live ist der finale Schritt
Nach der erfolgreichen Einführung müssen die Sicherheitsmaßnahmen auf dem neuesten Stand gehalten werden. Änderungen im Unternehmensablauf erfordern zudem eine fortlaufende Anpassung. Das ist entscheidend, um den Schutz sensibler Daten und den unautorisierten Zugriff auf geschäftskritische Ressourcen zu gewährleisten.
www.sailpoint.com
