Nachdem Ende des 20. Jahrhunderts IT-Landschaften begannen, komplexer zu werden und die Anforderung an die Vergabe von Berechtigungen stieg, wurden Identity Management-Lösungen entwickelt und eingeführt. Diese Systeme hatten und haben auch noch heute ihren Fokus auf die Administration der Nutzer und ihrer Rechte.
Aufgrund der immer weiter steigenden Bedrohungslage und den damit verbundenen strengeren Regularien reichen einfache Administrationslösungen in vielen Fällen nicht mehr aus. Auditoren und Wirtschaftsprüfer verlangen einen für sie verständlichen Einblick in die Vergabe von Benutzerberechtigungen. Hier helfen moderne Identity Governance-Lösungen.
Foto: IBM
Was ist Identity Governance?
Fast alle Sicherheitsregularien erfordern von Organisationen bezüglich der Verwaltung von Nutzern und ihren Berechtigungen die Beantwortung der folgenden drei Fragen:
• Wer hat Zugriff auf die IT-Ressourcen?
• Was kann er dort tun?
• Wie kann ich dies - insbesondere gegenüber Auditoren - nachweisen?
Während die ersten beiden Fragen durch eine herkömmliche Identity Administration Lösung beantwortet werden kann, stellt insbesondere der Nachweis der vergebenen Berechtigungen und der damit verbundenen Prozesse oftmals eine große Herausforderung dar. Zusätzlich besteht die Anforderung Identitäten und Berechtigungen in eine für die Fachbereiche verständliche Art und Weise darzustellen, was in der Regel nur von Identity Governance-Lösungen erfüllt wird. So gesehen beantworten diese Lösungen alle drei oben genannten Fragen in einer verständlichen Form.
Die Aufgabe von Identity Administration- Lösungen ist die Verwaltung der Identitäten durch die Abbildung des "User Life Cycles" in der Organisation. Identity Governance hingegen soll den Nachweis erbringen, dass die Nutzer die "richtigen" Rechte basierend auf den Richtlinien der Organisation haben. Beides sind Bestandteile des Identity Managements und werden gemeinsam oft als Identity Governance and Administration bezeichnet.
Ein formeller Nachweis der Umsetzung von Sicherheitsregularien für die Verwaltung der Nutzer dürfte - wenn überhaupt - nur sehr schwer zu führen sein. Aus diesem Grunde gehen Identity Governance Lösungen einen anderen Weg. Sie führen den Nachweis anhand von diversen Indizien. Welche Indizien dies sind und wie diese gesammelt werden, wird weiter unten erläutert.
- 1. Informationsschutz zur Wahrung der Vertraulichkeit
(insbesondere Zugriffsschutz, siehe § 9 BDSG) - 2. Gewährleistung der technischen und organisatorischen Verfügbarkeit
(insbesondere Notfall-planung und Wiederanlaufmöglichkeit durch Redundanz) - 3. Schutz der Datenintegrität
(Programmintegrität durch Change Management und Maßnahmen zur Erhaltung der Datenin-tegrität, z.B. Virenschutz) - 4. Stabilität und Sicherheit der IT-Prozesse
- 5. Gewährleistung der physischen Sicherheit
- 6. Datenaufbewahrung und –archivierung
- 7. Mitarbeitermanagement im Hinblick auf IT-Sicherheit (Awareness)
- 8. Wirksames IT-Management durch alle Phasen (Plan-Do-Check-Act)
- 9. Kontrolle der ausgelagerten Bereiche (Outsourcing)
- 10. Materieller Datenschutz
Die Entwicklung von Identity Administration hin zu Identity Governance
Identity Management war lange Zeit IT-getrieben und nur für IT-Mitarbeiter wirklich zu verstehen. Es ging dabei im Wesentlichen um die Automatisierung der Benutzerverwaltung, wodurch zum einen Kosten gesenkt wurden aber auch zum anderen bereits die Sicherheit erhöht wurde. Auch hierdurch wurde schon viel im Hinblick auf die Einhaltung gesetzlicher und regulativer Vorgaben (Stichwort Compliance) erreicht.
Da diese Form des Identity Managements sehr IT zentrisch war, konnten Auditoren häufig nicht viel mit den erhaltenen Daten anfangen. Man konnte nie wirklich sicher sein, ob die Automatisierung wirklich dafür sorgte, dass die vorgegebenen Unternehmensregeln eingehalten wurden. Es fehlte die finale Kontrolle. Letztendlich ist aber z.B. der CISO für die Einhaltung dieser Regeln verantwortlich.
Der Begriff Identity Governance bzw. Identity Governance Framework fand 2006 das erste Mal Erwähnung. Richtig populär wurde er Ende 2011 durch die Einführung des "Identity and Access Governance Magic Quadrants" durch Gartner. Bis zu diesem Zeitpunkt gab es nur ein "User Provisioning" Magic Quadrant, dass den Bereich Identity Administration abdeckte. Heute hat Gartner beide Magic Quadrants unter dem Begriff "Identity Governance and Administration" zusammengefasst.
Gründe für Identity Governance
Es gibt mehrere Gründe, weshalb Identity Governance wichtig wurde und immer mehr an Bedeutung gewinnt. Zum einen greifen immer mehr Benutzergruppen (Mitarbeiter, Partner, Kunden, …) über immer mehr Zugänge (Mobile, Cloud, …) auf eine immer komplexere IT-Umgebung zu. Zum anderen, und dies dürfte der ausschlaggebende Faktor sein, wurden durch die steigende Bedrohungslage immer strengere Compliance-Regularien eingeführt, die für immer mehr Unternehmen und Organisationen gelten. Diese Compliance-Regularien fordern unter anderem auch den Nachweis über die Nutzer und ihre Berechtigungen.
Identity Governance-Lösungen wurden aus Sicht der Fachbereiche und Auditoren entwickelt, um vergebene Berechtigungen aus ihrer Sicht und unabhängig von der IT transparent, nachvollziehbar und leichter administrierbar zu machen. Sie haben das Ziel, Geschäftsprozesse und Compliance Regularien besser umsetzen und nachweisen zu können.
Die nächste Evolutionsstufe ist das sich aus dem Identity Governance entwickeln-de Identity Analytics. Identity Analytics liefert einen tieferen Einblick in die im Unternehmen vorhandenen Nutzer, ihrer Rechte und deren Nutzung. Anhand von Maßzahlen, Verhalten und Kontext ist es möglich Vorhersagen über Nutzung und Risiken zu treffen und besser auf sich ändernde Bedingungen im Bereich der Benutzerverwaltung zu reagieren.
Foto: IBM