Berechtigungsmanagement richtig gemacht

Access Governance als Basis für Informationssicherheit und Compliance

18.01.2011 | Autor / Redakteur: Martin Kuppinger / Stephan Augsten

Ein gut umgesetztes Berechtigungsmanagement bringt gleich mehrere Vorteile mit sich.
Ein gut umgesetztes Berechtigungsmanagement bringt gleich mehrere Vorteile mit sich.

Die wachsenden Anforderungen interner und externer Prüfer rücken das keineswegs neue Thema Berechtigungsmanagement wieder ins Blickfeld. Strukturierte, nachvollziehbare Prozesse zur Erstellung, Vergabe und Prüfung von Berechtigungen sind ein Muss – nicht mehr nur für die effiziente Administration, sondern verstärkt auch aus Compliance-Sicht.

Das Berechtigungsmanagement wurde in vielen Unternehmen bereits vor Jahren mit IAM-Projekten (Identity und Access Management) angegangen, oft sehr technisch getrieben. In der letzten Zeit ist das Thema der Access Governance populärer geworden, als das Management von Rollen und die Durchführung von Rezertifizierungen oberhalb der technischen Verteilung von Benutzer- und Berechtigungsinformationen.

Auch PxM gewinnt an Gewicht, also der Umgang mit privilegierten Benutzern, Konten, Identitäten und Zugriffen. Und die Teilnehmerzahlen bei Webinaren von KuppingerCole zeigen, dass auch XACML und das dahinter stehende Thema des granularen Autorisierungsmanagements für Anwendungen und Dienste immer wichtiger werden – kaum ein Thema stößt auf so großes Interesse.

Bei der Aufzählung wird deutlich, dass Berechtigungsmanagement nicht mit einer einfachen Technologie lösbar ist. Auf der technologischen Ebene geht es um das richtige Zusammenspiel aller vier Blöcke – Identitätsmanagement, Berechtigungsmanagement, PxM und das Autorisierungsmanagement für Anwendungen.

Noch wichtiger ist aber die organisatorische Ebene: Wie müssen eigentlich die Prozesse aussehen? Sind sie geeignet, die Anforderungen von Prüfern zu erfüllen? Wie wird mit Segregation of Duty-Regeln, also sich gegenseitig ausschließenden Berechtigungen umgegangen? Wie erfolgt eine Risikokontrolle? Welche Prüfprozesse braucht es? Und vor allem: Wie bekommt man das in der Organisation – also in den Fachbereichen – umgesetzt? Denn diese Prozesse müssen alle gelebt werden.

Einwandfreies Berechtigungsmanagement ist kein triviales Unterfangen. Es erfordert ein Gesamtbild davon, wie das Berechtigungsmanagement zukünftig aussehen soll und keine isolierte Sicht auf einzelne Anwendungen. Es erfordert klar definierte Prozesse und deren Umsetzung zusammen mit dem Business. Aber: Es ist machbar und es muss gemacht werden.

Denn ein konsistentes Berechtigungsmanagement ist nicht nur die Voraussetzung für die Erfüllung von regulatorischen Vorgaben (Compliance). Es ist die Basis für Informationssicherheit, also das, worum es in der IT geht – der Technologie für den Umgang mit Informationen.

„It’s about the I in IT, not the T“

Informationssicherheit wird immer wichtiger, um die Risiken von Informationslecks zu minimieren. Es ist auch die Voraussetzung für eine effizientere Entwicklung von Anwendungen, die Sicherheitsfunktionen in standardisierter Weise nutzen. Und die administrativen Prozesse für Fachbereiche und IT können ebenfalls davon profitieren.

Um das Ziel zu erreichen, muss man es definieren – in einer Gesamtsicht. Dann kann man Schritt für Schritt, in überschaubaren Blöcken, auf dieses Ziel hinarbeiten.

Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2049136 / Benutzer und Identitäten)