Identity-Management

Netzsicherheit durch IdM-Basispakete

Christoph Stoica ist Regional General Manager DACH bei Micro Focus, davor arbeitete er als Regional Director Central Europe bei NetIQ.
Schmale Budgets verhindern oft die Einführung von Identity-Management-Systemen. Abgespeckte Basispakete sollen Interessierten den Einstieg erleichtern.
IdM-Systeme können langfristig Kosten senken.
IdM-Systeme können langfristig Kosten senken.
Foto: Slavomir Valigursky - Fotolia.com

Umsatzeinbußen, Geldstrafen, Imageschäden – wenn sensible Daten aus einem Unternehmen an die Öffentlichkeit gelangen, hat dies oft weitreichende Konsequenzen. Gegen unberechtigte Zugriffe von außen sind die IT-Landschaften heute deshalb in der Regel gut geschützt: Lösungen wie Firewalls und Intrusion-Detection-Systeme sichern die sogenannte Perimeter-Security ab.

Gleichzeitig öffnen viele Unternehmen inzwischen allerdings freiwillig ihr Netzwerk für den Zugriff von außen; etwa um Kunden und Dienstleister direkt in Geschäftsprozesse einzubinden, um Cloud Computing zu nutzen oder um den Mitarbeitern jederzeit und von jedem Ort aus Zugriff auf die benötigten Systeme zu bieten. Entscheidend für die Sicherheit ist also nicht mehr die Frage: Wer hält sich überhaupt im Unternehmensnetz auf? Vielmehr geht es darum, wer innerhalb des Netzwerks Zugriff auf welche Systeme und Daten erhält.

Regelmäßig prüfen und aktualisieren

Durch die zunehmende Vernetzung ist der korrekte Umgang mit Zugriffsberechtigungen und allen damit verbundenen Prozessen zu einer der wichtigsten Maßnahmen für die Verbesserung der Datensicherheit geworden. Über die Zeit führen beispielsweise akkumulierte Berechtigungszuweisungen dazu, dass Anwender Zugriff auf Daten erhalten, die ihnen aufgrund ihrer aktuellen Rolle eigentlich gar nicht zugänglich sein dürften. Vor diesem Hintergrund ist die kontinuierliche Überprüfung und Aktualisierung der Zugriffsrechte das Mittel der Wahl, um möglichen Datenmissbrauch zu verhindern.

Ist die IT-Abteilung dabei allerdings ausschließlich auf die nativen Werkzeuge von Active Directory angewiesen, wird die Provisionierung und De-Provisionierung von Benutzern schnell zur Herausforderung. Steigt die Zahl der Änderungen, wächst der Aufwand exponentiell. Im Betrieb ist ein zentrales Identity-Management-System meist die effizientere Lösung, weil es die Zugriffsrechte automatisiert bereitstellt, überprüft und bei Bedarf auch wieder entzieht. Selbst bei hoher Änderungsfrequenz bleiben die Kosten weitgehend stabil, und das bei kürzeren Reaktionszeiten.

Fester Rahmen – überschaubare Kosten

Trotz der offensichtlichen Kostenvorteile schrecken jedoch gerade Unternehmen mit begrenztem IT-Budget oft vor der Einführung eines zentralen Identity-Management-Systems zurück. Zwar lässt sich der Investitionsrahmen für Hardware und Software-Lizenzen bereits vor Projektbeginn relativ leicht ermitteln; weitere Voraussetzung für die automatisierte Identitäts- und Benutzerverwaltung ist jedoch die Definition und stringente Abbildung aller damit verbundenen Prozesse und Richtlinien. Die Kosten für diese Konzeptionsphase sind wesentlich schwieriger einzuschätzen. Der Aufwand für Analyse, Optimierung und Dokumentation der Abläufe hängt nicht zuletzt vom Reifegrad der bereits vorhandenen Identitäts- und Berechtigungsverwaltung ab.

Einen Weg aus dem Teufelskreis von Sicherheitsrisiken einerseits und hohem Kostendruck andererseits bieten sogenannte Identity-Management-Basispakete: In ihrem Rahmen decken Anbieter sämtliche Stufen der Automatisierung durch ein Identity Management System zum Festpreis ab. Speziell mittelständische Unternehmen erhalten dadurch eine überschaubare Möglichkeit, um ihre spezifischen Anforderungen zu ermitteln und sukzessive umzusetzen. Kunden können zwischen mehreren Modulen wählen und so eine hochgradig standardisierte technische Lösung erhalten, die ihre Prozesse optimal unterstützen. Unternehmen mit flexiblen Organisationsstrukturen, einer hohen Zahl an zeitlich befristeten Arbeitsverhältnissen oder an externen Arbeitskräften profitieren besonders schnell von den automatisierten Prozessen – durch einen Zugewinn an Sicherheit bei spürbar reduziertem Aufwand und zu kalkulierbaren Kosten. (ph)

Anhand der folgenden Fragen können Unternehmen den Reifegrad ihrer Identitäts- und Berechtigungsverwaltung überprüfen:

  • Wie lange dauert es, einen neuen Mitarbeiter "arbeitsfähig" zu machen (Zugriffsberechtigung für die für seinen Arbeitsablauf erforderlichen IT-Tätigkeiten)?

  • Werden Zugriffsrechte eines Mitarbeiters bei einem Abteilungs- oder Ortswechsel entzogen und wie viel Aufwand bedeutet dies?

  • Werden Zugriffsrechte eines Mitarbeiters bei Verlassen des Unternehmens entzogen und wie viel Aufwand bedeutet dies?

  • Welche Rechte haben Administratoren (Root-Account) und wie wird hier Datendiebstahl vermieden?
    Wie wird unberechtigter Zugriff auf Kunden- und Auftragsdaten verhindert?

  • Sind Sie in der Lage, einen Mitarbeiter über den unsachgemäßen Gebrauch seiner personenbezogenen Daten zu informieren?

  • Sind Sie in der Lage, einem Wirtschaftsprüfer oder einer Revisionsabteilung jederzeit Auskunft über Zugriffsberechtigungen zu geben?