Aufrufe
vor 3 Jahren

Netzwoche 02/2016

  • Text
  • Schweiz
  • Unternehmen
  • Schweizer
  • Netzmedien
  • Webcode
  • Supercomputer
  • Laut
  • Digitalisierung
  • Mitarbeiter
  • Millionen

16 Dossier Identity- und

16 Dossier Identity- und Access-Management In Kooperation mit ITSENSE Mitarbeiter haben zu viele Zugriffe, die ausgenutzt werden können. Bild: Fotolia Risiko ist offensichtlich: Egal wie komplex das Passwort ist, wie gründlich man die Zugriffe überwacht und wie sauber man den Benutzer provisioniert, gerät das Passwort in die falschen Hände, ist das Spiel vorbei. Diesem Risiko kann mit dem Ansatz der «Konsolidierung» begegnet werden. Wenn sich ein Mitarbeiter nur ein Passwort merken muss, steigt die Wahrscheinlichkeit, sich dieses merken zu können. Durch den Einsatz von Single-Sign-on-Technologien (SSO) kann eine sichere und einfache Nutzung mehrerer Systeme mit einem einzigen Passwort realisiert werden. Zusätzlich wird der Aufwand für Passwortrücksetzung durch die IT stark reduziert. Rund 33 Prozent von uns vergessen regelmässig Passwörter. Die Gefahr, die von aufgeschriebenen Passwörtern ausgeht, wird durch die Einführung eines zusätzlichen Faktors zur Authentifizierung massiv verringert. Risiko #4 – Manuelle Provisionierung In vielen Fällen können sich Mitarbeiter nach Auflösung des Arbeitsverhältnisses mit ihren Benutzerkonten weiterhin anmelden und auf wertvolle Unternehmensdaten zugreifen. Dieser Umstand ist vor allem auf ein schlechtes Berechtigungsmanagement und manuelle Provisionierung zurückzuführen. In der Praxis sind verschiedene Ausprägungen zu beobachten. Der Auszubildende, der von Abteilung zu Abteilung wandert, wodurch sich dessen Berechtigungen schrittweise in den Olymp erheben, das bequeme Kopieren von Benutzerkonten nach dem «Analog wie»-Prinzip und regelmässige Organisationsänderungen, die wie Dünger für das historische Wachsen von Berechtigungen sind. Das Resultat ist offensichtlich: Die Mitarbeiter haben zu viele Zugriffe, die ausgenutzt werden können. Die Forderung des Least-Privilege-Modells (minimale Berechtigungen für die Ausübung der Funktionen und Aufgaben im Unternehmen) konsequent anzuwenden, wird für die Security-Verantwortlichen zum Albtraum und für die IT-Mitarbeiter zum zeitaufwendigen Spiessrutenlaufen. Abhilfe kann eine automatisierte, an den Bedürfnissen des Unternehmens ausgerichtete Provisionierung (und De-Provisionierung) schaffen. Mithilfe von Quellsystemen (wie ERP, HRM) können Ereignisse im Lebenszyklus eines Mitarbeiters automatisch und nahezu in Echtzeit abgebildet werden. Zulässige Berechtigungen werden fortlaufend und bei jedem Ereignis automatisch neu berechnet und adaptiert. Dies sollte ebenso für organisatorische Änderungen und für Änderungen am Anstellungsverhältnis gelten. Zusätzlich hilft die automatisierte Provisionierung bei der Steuerung zeitbegrenzter Berechtigungen, die oft bei Projekten oder Arbeitsgruppen benötigt werden. Alle Aktivitäten unterstehen dabei der zentralen und vordefinierten Richtlinienprüfung und erfordern bei Bedarf die Einholung oder die Bestätigung von Genehmigungen. 02 / 2016 www.netzwoche.ch © netzmedien ag

In Kooperation mit ITSENSE Identity- und Access-Management Dossier 17 «Es ist ein Irrglaube, dass es mit dem Kauf einer IAM-Lösung alleine getan ist» Je wertvoller Daten werden, desto besser muss man sie schützen. Hier helfen Identity- und Access-Management- Lösungen (IAM). Marc Burkhard ist CEO und Senior Solution Architect bei ITSENSE. Er erklärt, wann der Einsatz einer IAM-Lösung im Unternehmen Sinn ergibt und wo die grössten Probleme bei IAM-Projekten liegen. Interview: George Sarpong Wieso ist IT-Security im Jahr 2016 immer noch ein so grosses Problem, obwohl Unternehmen viel Geld für hochmoderne Technik ausgeben? Marc Burkhard: Die Beschaffung von hochmoderner Technik ist ein wichtiger Punkt. Der sinnvolle und korrekte Einsatz dieser Mittel sowie die Beherrschung der Komplexität ist noch wichtiger. Viele Unternehmen sind heute mit der Hausforderung konfrontiert, mit gleichbleibendem Budget immer mehr Leistungen zu erbringen. Diese Umstände führen oft zu einer chronischen Überlastung der IT-Organisation und schwerwiegenden Versäumnissen. Ausser dem Bestreben, Abläufe zu automatisieren, muss die fachliche Ausbildung der IT-Mitarbeiter sichergestellt werden. Gleichzeitig müssen alle Mitarbeiter eines Unternehmens kontinuierlich in sicherheitsrelevanten Themen geschult und sensibilisiert werden. Ab welcher Unternehmensgrösse ist ein Identity- und Access-Management, kurz IAM, sinnvoll? Erfahrungsgemäss liegt die Einstiegsgrösse bei etwa 200 Mitarbeitern, wobei die Anzahl Mitarbeiter nicht immer ausschlaggebend sein muss. Hohe Sicherheitsbedürfnisse, organisationsübergreifende Zusammenarbeit oder eine hohe Fluktuation können gleichermassen ein Initiator für IAM sein. Was sind die drei grössten Probleme Ihrer Kunden im Bereich IAM? Erstens ist die Motivation, ein IAM einzuführen und zu betreiben, je nach Interessengruppe sehr unterschiedlich. Daraus resultiert oft ein differenziertes Verständnis, was unter IAM verstanden wird und welche Ziele mit IAM erreicht werden sollen. Dieses Verständnis gilt es zu harmonisieren. Zweitens wird dem Thema IAM vielfach zu wenig Aufmerksamkeit geschenkt. Der Irrglaube, mit der Beschaffung einer IAM-Lösung sei die Arbeit getan, ist weit verbreitet. Unternehmen und Anforderungen sind dynamisch, und so muss auch ein IAM der Dynamik folgen können, um einen optimalen Wirkungsgrad erzielen zu können. Das bedeutet, geschultes Fachpersonal, Verständnis dafür, wie das Unternehmen funktioniert und die Bereitschaft zur organisationsübergreifenden Zusammenarbeit. Und drittens hat die Einführung eines Identity-Management-Systems nicht nur technische Konsequenzen für den Betrieb, sondern muss auch in den organisatorischen Abläufen entsprechend berücksichtigt werden. Wird etwa ein HR-System als führendes System eingebunden, müssen die darin geführten Personaldaten eine hohe Qualität aufweisen, da sie als wichtiges Steuerelement dienen. Die HR-Abteilung selbst wird dadurch ein wichtiger Teil der IAM-Prozesse und Verantwortlichkeiten werden verteilt. Sie beschreiben in Ihrem Fachbeitrag, dass es nicht die Aufgabe der IT-Abteilung sei, die Zugangsberechtigungen von Mitarbeitern zu kontrollieren? Wen sehen Sie in der Kontrollpflicht? Eine Validierung ist grundsätzlich nur dann sinnvoll, wenn der Informationsgehalt verstanden wird und dessen Richtigkeit beurteilt werden kann. Falls möglich sollte die Validierung von Berechtigungen zwischen mehreren Instanzen aufgeteilt werden. Der Linienvorgesetzte soll etwa über funktionsorientierte, die Security über sicherheitsrelevante und die Projektleiter über projektorientierte Berechtigungen entscheiden. Die Kontrollpflicht sehe ich primär bei den Vorgesetzten, die über die Funktionen und Aufgaben ihrer Mitarbeiter am besten Bescheid wissen sollten. Wie haben Sie das Identity Management in Ihrem Unternehmen organisiert? Wir vertrauen auf unsere eigene, vollständig in der Schweiz entwickelte IAM-Lösung. Die «ITSENSE Management Suite» ermöglicht das sichere und zentrale Identity- und Access-Management über die von uns eingesetzten lokalen oder cloudbasierten Dienste. Marc Burkhard, CEO und Senior Solution Architect, ITSENSE www.netzwoche.ch © netzmedien ag 02 / 2016

Archiv