Aufrufe
vor 3 Jahren

Netzwoche 08/2017

40 Focus Information

40 Focus Information Governance Sprechen Sie IAM 2.0? Beim Identity und Access Management (IAM) sind Rollen eine wichtige Komponente für die Vergabe von Zugriffsberechtigungen. Im Rahmen von Identity und Access Governance (IAG) und Intelligence bindet die IT-Abteilung die Fachbereiche aktiv in die Vergabe von Zugriffs berechtigungen ein. Dabei gilt es, Entscheidungsgrundlagen für das Business verständlich aufzubereiten, intelligent zu präsentieren und Entscheidungen einzufordern. DER AUTOR Marc Burkhard Gründer und CEO, ITSENSE Die Risiken durch unbefugte Zugriffe auf Unternehmensdaten sind heute grösser denn je. Die Einhaltung der regulatorischen Compliance, interner Governance-Anforderungen und Risikomanagement-Standards werden für Firmen daher wichtiger. Im traditionellen Identity und Access Management stehen zwei Dinge im Vordergrund: Die automatisierte und strukturierte Verwaltung von Zugriffsberechtigungen und die Kostenreduktion. Das klassische IAM-Modell ist IT-lastig ausgelegt und verfolgt den Ansatz des Single- Point-of-Administration. Ein anderer Ansatz ist die Identity and Access Governance. Die Access Governance ist mehr als eine Verlagerung der Verantwortlichkeiten zurück an die Fachbereiche. Access Governance bietet Kontrollmechanismen Durch Access Governance erfolgt die Vergabe und die Kontrolle von Zugriffen nicht nur durch die IT. Auch die Vertreter aus den Fachbereichen steuern und überwachen den Zugriff von Mitarbeitern auf die Unternehmensdaten. Die Access Governance ist aber mehr als eine Verlagerung der Verantwortlichkeiten zurück an die Fachbereiche. Sie bietet zusätzliche Mechanismen zur Erkennung und Korrektur von Fehlverhalten und bietet Möglichkeiten, um verantwortliche Mitarbeiter im Ereignisfall zu informieren. Mitarbeiter (oder Nutzer) haben konkrete Aufgaben im Unternehmen. Damit sie diese ausführen können, benötigen sie Benutzerkonten und Zugriffsberechtigungen. Üblicherweise werden diese aufgrund von Personalinformationen wie den Funktionen, Organisationszugehörigkeiten und dem Vertragsverhältnis abgeleitet und zugewiesen. Man spricht hierbei von einem «HR-driven Provisioning». Ausser den grundsätzlich geregelten Zugriffsberechtigungen benötigt ein Mitarbeiter etwa aufgrund einer aktuellen Aufgabe zusätzliche Zugriffe. Diese können dann zeitbeschränkt erteilt werden, etwa für eine Stellvertretung oder für ein Projekt. In diesem Fall kann der direkte Vorgesetzte und der verantwortliche Projektleiter am besten beurteilen, ob und welche Zugriffsberechtigungen notwendig sind. Mittels regelmässiger Überprüfung und Bestätigung der Einhaltung der Richtlinien durch die Verantwortlichen kann das Risiko von Regelverletzungen minimiert werden. Access Intelligence – die Akzeptanz der Fachbereiche ist entscheidend Die Mitarbeiter mit den notwendigen Zugriffsberechtigungen auszustatten und dabei das «Need-to-know- Prinzip» möglichst einzuhalten, bleibt immer in der Verantwortung des Fachbereichs und der Linie. Damit diese ihrer Verantwortung nachkommen können, müssen geeignete Werkzeuge zur Verfügung gestellt werden. Geeignet sind Lösungen, die über Dashboards und Berichte Verantwortlichen relevante Informationen auf einen Blick anzeigen. Aus den daraus gewonnenen Erkenntnissen können Verantwortliche businessrelevante Entscheidungen ableiten. Wichtig hierbei ist, dass IT-Verantwortliche mit ihren Kollegen in den Fachbereichen eine gemeinsame Sprache sprechen. Gelingt es nicht, die Begrifflichkeiten des IAM in eine für die Fachbereiche verständliche Form zu übersetzen, weigern sich diese womöglich, ihre Verantwortung wahrzunehmen. i DIE WICHTIGSTEN ZIELE DER ACCESS GOVERNANCE ▪▪ Fachbereiche werden aktiv in das Berechtigungsmanagement involviert. Sie übernehmen die primäre Verantwortung für die Vergabe von Zugriffsberechtigungen. ▪▪ Die Fachbereiche attestieren periodisch die Zugriffsberechtigungen der Nutzer. Dies betrifft sowohl Rollenzuweisungen als auch deren Inhalte. ▪▪ Toxische Kombinationen von Zugriffsberechtigungen werden durch Funktionstrennungsregeln (SoD Policies) verhindert. Regelverletzungen werden durch die Fachbereiche aufgelöst oder genehmigt. ▪▪ Risiken sollen frühzeitig erkannt und die verantwortlichen Mitarbeiter darüber benachrichtigt werden. ▪▪ Informationen und Entscheidungsgrundlagen werden aufbereitet und über ein Selfservice-Portal in businessverständlicher Form dargestellt, etwa in Form von Dashboards, Berichten und Statistiken. ▪▪ Intelligente Mechanismen erkennen Abweichungen vom Soll- Zustand und leiten angemessene Korrekturmassnahmen ein. 08 / 2017 www.netzwoche.ch © netzmedien ag

Focus Information Governance 41 Darknet – anonym, aber nicht rechtsfrei Das Darknet ist ein Teil des Internets, der nur mit spezieller Software zugänglich ist und in dem sich Nutzer unerkannt bewegen können. Trotz Anonymität ist das Darknet aber kein rechtsfreier Raum. DER AUTOR Cornel Borbély Promovierter Jurist und Dozent an der FFHS Der Nutzen des Darknets ist nur schwer abzuschätzen. Das Darknet ist ein Teil des Internets, in den User nur mittels einer speziellen Software gelangen. Es setzt auf der Infrastruktur des Internets auf und ermöglicht, anonym Inhalte zu teilen. Dabei treten Computer direkt miteinander in Kontakt (Peer-to-Peer), und es wird ein eigenes Netzwerk gebildet. Das Darknet wurde in letzter Zeit mit schweren Straftaten in Verbindung gebracht. Ein Beispiel ist die Amoktat in München im Juli 2016, für die der Täter seine Waffe aus dem Darknet bezogen haben soll. Prominent diskutiert wurde auch der Fall Maxmilian S. (Pseu donym «Shiny Flakes»), der im November 2015 wegen Handel mit Betäubungsmitteln im Darknet verurteilt wurde. Die Beispiele zeigen, dass das Darknet als Umschlagplatz für illegale Güter benutzt werden kann. Selbstverständlich ist das nicht der einzige Anwendungszweck; so bietet das Darknet den Benutzern einfach auch die Möglichkeit, sich anonym und via verschlüsselte Datenübertragung in legaler Weise auszutauschen. Ein dunkler Fleck auf der Landkarte In der Vergangenheit haben verschiedene Cybercrime- Erscheinungsformen für Schlagzeilen gesorgt. Prominent diskutiert wurden Diebstähle von Bank- und Industriedaten. Die Strafverfolgungsbehörden mussten reagieren und neue Konzepte für die Kriminalitätsbekämpfung entwickeln. Gerade qualifizierte Wirtschaftsverbrechen weisen häufig einen Bezug zur Internetkriminalität auf. Es geht um erhebliche Deliktsummen mit umfassendem Schädigungspotenzial. Angesichts dieser Sachlage haben Behörden begonnen, das Darknet zu untersuchen. Dennoch ist dieses nach wie vor ein dunkler Fleck auf der Landkarte vieler Strafverfolger trotz Bewusstsein um die zunehmende Wichtigkeit des Internets (und Darknets) als Mittel für kriminelle Handlungen. Hinzu kommen die tatsächlichen Umstände der Internetkriminalität, die eine effektive Kriminalitätsbekämpfung erschweren: die Anonymisierung von Spuren, verschlüsselte Kommunikationsmöglichkeiten, grenzübergreifende internationale Datenund Zahlungsströme sowie Kryptowährungen. Die Folge ist eine verzögerte behördliche Reaktion auf Straftaten, die mittels Darknet begangen werden – wenn solche Taten überhaupt erkannt werden. Das Darknet ist kein rechtsfreier Raum Trotz Anonymität bewegt man sich im Darknet in keinem rechtsfreien Raum. Die (Straf-)Gesetze gelten selbstverständlich auch hier. Mögliche Deliktformen sind vielfältig, analog zu sonstigen kriminellen Handlungen, in und ausserhalb der Welt des Internets: Unter dem Deckmantel der Anonymität kann Handel mit illegalen Waren betrieben werden. Beispiele sind der Vertrieb von gestohlenen Daten, Drogen oder gefälschten Dokumenten sowie Softwarelizenzen. Andererseits sind ebenfalls betrügerische Handlungsweisen denkbar, wenn ein Käufer über ein (legal) zu erwerbendes Produkt getäuscht wird. Teilnehmer am Darknet werden in einem solchen Fall durch die Gesetze geschützt. Firmenmitarbeiter sind sich nicht immer der Risiken bewusst. Unter dem Gesichtspunkt der IT-Compliance sollten Unternehmen ihre Mitarbeiter über die Nutzung des Darknets aufklären und dafür schulen. In Richtlinien ist deren firmeninternes Verhalten zu bestimmen, um Schaden und insbesondere Reputationsrisiken abzuwenden. Ein Balanceakt Die Möglichkeiten des Darknets sind breit gefächert und vielfältig. Aber der Nutzen ist nur schwer abzuschätzen. Vor diesem Hintergrund muss man die gesellschaftliche Bedeutung dieses Netzwerks analysieren und Chancen sowie Risiken aufzeigen. Dabei haben Behörden für die Einhaltung der rechtlichen Rahmenbedingungen zu sorgen. Andererseits soll der Vorteil der anonymen Kommunikation nicht zunichte gemacht werden. Ein herausfordernder Balanceakt. Auch im Darknet gelten Gesetze. Bild: iStock www.netzwoche.ch © netzmedien ag 08 / 2017

Archiv