Daten sind das wertvollste Gut unserer Zeit. Entsprechend sollten Unternehmen den Schutz ihrer Daten bestmöglich sicherstellen und einen digitalen Datensafe mit Mechanismen zur dauerhaften Überwachung und Sicherung der relevanten Unternehmensdaten einrichten. Identity and Access Management (IAM) kommt dabei eine Schlüsselrolle zu.
Der ideale Datensafe bietet Schutz vor externen sowie internen Risiken des Datenmissbrauchs. Klassischerweise werden zum Schutz vor externen Angriffen auf Unternehmensdaten sowohl Firewalls, Virenscanner und auch Intrusion-Detection-Systeme eingesetzt. Eine besondere Bedeutung fällt zudem der Verschlüsselung von Kommunikation und den Kommunikationskanälen zu. Umfassende IT-Security-Prozesse, die im Rahmen des Cyber Security Management definiert werden, unterstützen den softwarebasierten Schutz zusätzlich. Die Definition von Risiko- und Kontrollprozessen entlang der „Three Lines of Defense“ (TLoD) als Rahmenwerk für ein funktionsfähiges Risikomanagement ist dafür unerlässlich.
Gerade im Zuge zunehmender Vernetzung, der steigenden Anzahl an neuen IT-Komponenten (z.B. Cloud-Dienste) und deren Nutzung in unternehmensfremden Netzwerken (z.B. Remote-Arbeit) oder auf privaten Endgeräten (z.B. Mobil), gehen Unternehmen neue Wege, um die Sicherheit ihrer Daten in unternehmensfernen Umgebungen zu organisieren. Dabei reichen die klassischen Tools allein nicht aus. Vielmehr ist es erforderlich, die Datenmanagementprozesse zu kennen und abzusichern. Es geht dabei primär um erweiterte Zugriffskontrollen, Identitäts- und Rechtestrukturmanagement als Basis für die Datensicherheit und die Abwehr von unternehmensinternem Missbrauch der Daten, Accounts und Systeme. Einen grundlegenden Schutz gegen Risiken des Datenmissbrauchs bietet Identity and Access Management (IAM). Damit können Berechtigungsprozesse standardisiert und automatisiert werden, welches erst eine zentrale Rechte- und Zugriffsverwaltungssteuerung der Mitarbeiter auf für ihre Tätigkeit relevante Daten erlaubt. Dies ermöglicht sodann eine lückenlose Speicherung und ständige Verfügbarkeit der Zugriffsinformationen auf Unternehmensdaten.
Je nach Unternehmen und Industrie sind die IAM-Anforderungen unterschiedlich. Sie richten sich unter anderem nach der Menge der datenverarbeitenden Systeme, der gesetzlichen Regulierungen und der Unternehmensgröße.
Höher regulierte Industrien mit einer Vielzahl genutzter IT-Komponenten, beispielsweise Banken und Versicherungen, haben einen besonderen Bedarf an ein IAM, das komplexe Prozesse und Vernetzungen abbilden kann. Nichtsdestotrotz ist IAM auch in anderen Branchen unabdingbar. Dort genügt jedoch oftmals die Implementierung einfacherer Tools und schlankerer Prozesse.
Bei genauerer Betrachtung kann die Industrie nur als ein erstes Indiz für die IAM-Komplexität eines Unternehmens herangezogen werden. Eine individuelle Evaluation eines jeden Unternehmens ist unabdingbar, da zusätzlich zu allgemeinen Kriterien insbesondere die spezifischen Kundenanforderungen (z.B. Schutz kritischer Entwicklungsdaten) maßgeblich für den Stellenwert und die damit verbundene Komplexität des IAMs sind.
In vielen Unternehmen existieren weder eine IAM-Strategie noch entsprechende Richtlinien. Das IAM Kompetenzcenter von Horváth & Partners hat fünf Schritte als erfolgskritisch für die Einführung eines effektiven IAM identifiziert:
1. Grundlegend ist die IAM-Konzepterstellung, in welcher der genaue Scope und Scale für die Anforderungen an IAM im Rahmen der IT-Strategie des Unternehmens festgelegt werden. Mit dem Scope wird die Themenbandbreite bestimmt, also eine horizontale und quantitative Definition der relevanten IAM-Themen vorgenommen. Mit der Ausarbeitung des Scale wird die Thementiefe bestimmt, demnach eine vertikale und qualitative Definition der einzelnen IAM Themen determiniert.
2. Anschließend folgt die Auswahl eines geeigneten IAM-Tools, um die zuvor definierten Anforderungen bestmöglich umzusetzen. Hierbei ist es wichtig, einerseits die unternehmensspezifischen Besonderheiten und Nutzererwartungen abzubilden, um eine reibungslose Durchführung der IAM-Prozesse garantieren zu können. Andererseits sollten größere Abweichungen vom Standard der zu implementierenden Software bestmöglich vermieden werden, um die Aufwärtskompatibilität sicherzustellen und den späteren Änderungsaufwand gering zu halten.
3. Ein wesentlicher Schritt ist die Festlegung der unternehmensinternen IAM-Guidelines und der IAM-Verantwortlichen. Dazu zählen Richtlinien für die Berechtigungsvergabe, beispielsweise das Vier-Augen-Prinzip, das Prinzip der geringsten Rechte (Principle of Least Privilege - PoLP), Richtlinien für Identitäten, Guidelines für kritische und privilegierte Rechte und Accounts (Privileged Access Management - PAM) sowie Richtlinien für die Funktionstrennung (Segregation of Duties - SoD). Ein zentraler Tool- und Prozessverantwortlicher wird in Abstimmung mit dem Management der IT-Abteilung bestimmt. Auf Anwendungsebene teilen sich üblicherweise mindestens jeweils ein fachlicher und ein technischer Partner die IAM-Verantwortung.
4. Die initiale Rollenanlage im IAM-Tool und der Aufbau eines Rollenkonzepts mit Berechtigungsdokumentation und Rechtestrukturdefinition über alle genutzten IT-Komponenten des Unternehmens hinweg stellt eine elementare Aufgabe bei der Implementierung des IAM dar. Dies ist eine fortlaufende Aufgabe, da die Berechtigungszusammensetzungen sich ständig verändernden IT-Strukturen unterliegen und fachlichen Anforderungen ausgesetzt sind. Viele Unternehmen nutzen für diese Analyse inzwischen KI-Software und weitere Möglichkeiten der Automatisierung.
5. Den letzten Schritt stellt die Implementierung der Regelprozesse und IAM-Standards dar. Diese erleichtern nicht nur viele Vorgänge, sondern stellen einen zusätzlichen, automatisierten Schutz- und Prüfungsmechanismus dar. Zu den Standardprozessen zählen die Rezertifizierung, die regelmäßig die Bevollmächtigungen der User bestätigt, sowie die Reconciliation (auch: Soll-Ist-Abgleich), welche die Rechte-Account-Zuordnung im Sollzustand des IAM mit dem Ist-Zustand der entsprechenden IT-Komponente abgleicht.
Eine zusätzlich mögliche Ausbaustufe ist die Etablierung von IAM-Kennzahlen für das Sicherheitsmonitoring der Unternehmensdaten. Diese dienen dem Zweck eines besseren und fortlaufenden Trackings aller Identitäten und Prozesse – und damit aller Anwendungen, Systeme, Berechtigungen sowie deren jeweiliger Lebenszyklen und Statusübergänge.
Die Sicherheit des Unternehmens und seiner relevanten Geschäftsdaten zu gewährleisten – als zentrale Aufgabe des Managements – schließt auch die Etablierung eines effizienten IAM mit ein und sollte folglich nicht allein auf die Zuständigkeit des CIO bzw. CISO begrenzt werden.
Dem IAM mit seinen Mechanismen zur dauerhaften Überwachung und Sicherung der relevanten Unternehmenszugänge und Daten kommt somit eine Schlüsselrolle bei der Einrichtung eines Datensafe zu. Daher ist eine ernsthafte und permanente Auseinandersetzung mit dem Thema IAM unumgänglich.
Nöth-Zahn, S. / Grau, M.
