/images/Header/aktuell.jpg

Pressemeldungen

Mittwoch, 14.09.2011

Berechtigungs-Management - Wer darf was?

Heutzutage gibt es kaum mehr einen Geschäftsprozess, der nicht auch Informations- oder Kommunikationssysteme inkludiert. Entsprechend wichtig ist, dass nur Berechtigte Zugriff auf firmeninterne Daten und Transaktionen haben.

"Immer mehr und komplexere Systeme, immer mobilere Anwendungen und immer mehr Anwender, die keine Mitarbeiter sind, machen es den IT-Abteilungen nicht leicht, für die notwendige Informationssicherheit zu sorgen", weiß Matthias Schabl, Security-Consultant beim unabhängigen IT-Dienstleister ITdesign. "Außerdem gilt es, die Akzeptanz der Anwender zu gewinnen. Viel zu oft wird die Erfahrung gemacht: Je sicherer, desto unbeliebter bei den Anwendern!"

Nicht immer nur "anonymous"!

Die spektakulären Einbrüche und Diebstähle der letzten Zeit haben auch österreichische Firmen sensibilisiert. Doch die Bedrohung kommt nicht nur von extern, wie ein Blick in die Statistiken zeigt: Immer mehr Betrugsfälle werden von oder mithilfe von Insidern durchgeführt. "Besonders beliebt dafür ist jede Art von Abweichung oder Sondersituation, wie etwa Urlaubs- oder Krankenstandsvertretung und Systemwechsel. Besonders perfide ist, wenn dies ohne Wissen der Mitarbeiter mit manipulativen psychologischen Methoden- dem sogenannten 'Social Engineering' geschieht", so Schabl.
Dadurch entstehen teilweise große Schäden - auch indirekt durch Imageverlust - die sich nur schwer beziffern lassen. Viele Vorfälle bleiben auch unentdeckt.

Compliance als Risiko?

Als Reaktion darauf sind in den letzten Jahren immer mehr Vorgaben und Standards entstanden, die die Nachvollziehbarkeit und Transparenz im Berechtigungs- und Zugriffsmanagement einfordern.
"Compliance" heißt das Schlagwort und ist zum Thema in der Geschäftsführung geworden.
"Doch dieser gut gemeinte Ansatz dreht sich in der Praxis leider manchmal ins Gegenteil: Statt Handlungsanleitung und Framework wird Compliance teilweise selbst als Risiko eingestuft, nicht zuletzt, weil bei den rechtlichen Bestimmungen auch Strafen dahinterstehen. Ein weiteres Problem stellt die Kluft zwischen den teilweise stark abstrakten und praxisfernen Reglementarien und deren praktischen Umsetzung dar", erläutert der Security Spezialist.

Modernes IDM als Lösung

Die Lösung für diese Herausforderungen bietet laut Schabl ein modernes Berechtigungs- und Zugriffsmanagement, im Fachjargon IDM bzw. IAM (Identitätsmanagement bzw. Identitäts- und Access-Managment) genannt. Diese mittlerweile über zehn Jahe alte Teildisziplin der IT umfasst die Berührungspunkte von IT-Betrieb und -Administration sowie der Anwendungsentwicklung und den Nicht-IT-Fachbereichen. Inzwischen haben sich in vielen Projekten Best-Practice-Ansätze für das Genehmigungs- und Rollenmanagement ausgebildet, und es gibt eine stattliche Auswahl an mittlerweile gereiften Software-Werkzeugen für deren Umsetzung. Damit IDM-Projekte nicht nur als "technische Herausforderung" verstanden werden und dort "stecken" bleiben, empfiehlt der Spezialist einen dualen Ansatz: "Einerseits sollte auf der Umsetzungsseite eine strategische IDM-Infrastruktur aufgebaut werden, die alle bestehenden Anwendungen und Benutzergruppen integriert, andererseits müssen jedoch auch die organisatorischen Voraussetzungen, wie die Überführung der Compliance-Vorgaben in lebbare Richtlinien, Prozesse und Abläufe, geschaffen werden. Vor allem der zweite Teil wird in seiner Komplexität und Zeiterfordernis oft unterschätzt."

Erfolgsfaktoren und Ergebnisse

Neben der Vorbereitung des Projektes und der Qualität der ausgewählten Werkzeuge sind es vor allem Soft Facts, die den Projekterfolg bestimmen. Schabl: "Der Faktor Mensch macht einen behutsamen Umgang mit Gewachsenem und Gewohntem notwendig. Bestehende Schwächen in der Berechtigungsstruktur und Pflegerückstände müssen erkannt und bereinigt werden."
Aber auch auf die Fachbereiche kommt laut Schabl eine teilweise neue Aufgabe und vor allem Verantwortung zu: "Sie sind jetzt für die Berechtigungen ihrer Mitarbeiter selbst verantwortlich, nicht mehr die IT-Abteilung. Hierfür bieten die führenden IDM-Systeme intuitive Anwendungsoberflächen, mit denen dies gut gelingt."
So kann man erreichen, dass diese "Bestellsysteme für Berechtigungen" von den Anwendern hoch geschätzt werden, weil Rechte nicht nur sicher, sondern vor allem auch rasch und bequem angepasst werden können. Das führt dazu, so Schabl, dass die IT-Abteilung in der Administration deutlich entlastet wird und die nunmehr freigespielten Ressourcen für die weitere Umsetzung der IDM-Strategie zur Verfügung stehen.

download <%#Eval("LinkText") %> Download Pressemeldung (PDF, 124kB)
 
  • Ansprechpartner
  • Direkter Kontakt
 
kraftwerk | Agentur für neue Kommunikation GmbH