:quality(80)/images.vogel.de/vogelonline/bdb/1759300/1759349/original.jpg "Security-Insider hat am 21. Oktober zum sechsten Mal in Folge die Security-Insider Readers' Choice Awards vergeben.")
:quality(80)/images.vogel.de/vogelonline/bdb/1752700/1752770/original.jpg "Bitte notieren: Am 21. Oktober 2020, ab 15:00 Uhr, erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Security-Insider Award 2020.")
:quality(80)/images.vogel.de/vogelonline/bdb/1479500/1479577/original.jpg "Moderne Security Information und Event Management-Systeme (SIEM) helfen Unternehmen ihre IT-Sicherheit zentral zu überwachen und Risiken so immer im Blick zu halten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1763400/1763496/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1762500/1762502/original.jpg "Die GoldenSpy Malware, ein Interview von Oliver Schonschek, Insider Research, mit Fred Tavas von Trustwave.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759600/1759678/original.jpg "Basierend auf 17 bekannten Schwachstellen hat Orca Security über 400.000 Anfälligkeiten in Virtual Appliances identifiziert.")
:quality(80)/images.vogel.de/vogelonline/bdb/1761300/1761331/original.jpg "Den steigenden Security-Anforderungen durch immer gezieltere Angriffe und neuartige Bedrohungen werden althergebrachte Lösungen nicht mehr gerecht.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759600/1759691/original.jpg "Das Monitoring-Tool SearchLight meldet nun, wenn Code-Repository-Zugangsdaten in irgendeiner Form öffentlich gemacht wurden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1763500/1763513/original.jpg "Das neue Security-Insider-eBook untersucht die neue Normalität von Remote Work und liefert Unternehmen wichtige Hinweise von Marktforschungshäusern und Sicherheitsbehörden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759600/1759685/original.jpg "Johannes Carl von Ivanti erläutert, was es mit Shift Left und Self-Healing auf sich hat.")
:quality(80)/images.vogel.de/vogelonline/bdb/1760300/1760319/original.jpg "In diesem Tool-Tipp zeigen wir, wie man die Open-Source-Firewall pfSense installiert und konfiguriert.")
:quality(80)/images.vogel.de/vogelonline/bdb/1760200/1760215/original.jpg "Mobilfunkbetreiber und Unternehmen müssen sich proaktiv auf die Anforderungen einer neuen virtualisierten und sicheren 5G-Welt vorbereiten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759600/1759688/original.jpg "CloudGen WAN T93 und CloudGen WAN193 sind schon verfügbar, der Personal-Remote-Zugang soll bis Jahresende folgen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1756000/1756096/original.jpg "Beispiel für den Export der Testergebnisse eines Veracode SAST Pipeline Scans ins SARIF-Format.")
:quality(80)/images.vogel.de/vogelonline/bdb/1756000/1756077/original.jpg "GitHub hat die Funktion „Code Scanning“ allgemein verfügbar gemacht.")
:quality(80)/images.vogel.de/vogelonline/bdb/1762800/1762819/original.jpg "Neben größerer Hygiene und Sicherheit bietet die Handvenenbiometrie auch die Möglichkeit, den leidigen Passwörtern endgültig Ade zu sagen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759700/1759714/original.jpg "Die Biometrie befindet sich noch am Anfang dessen, was sie in der Lage ist zu leisten, aber ihr Potenzial ist riesig.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759300/1759395/original.jpg "Ein CASB ist die Basis für das automatisierte Erkennen gefährlicher Schatten-IT und behält den gesamten Cloud-Verkehr im Unternehmen im Blick.")
:quality(80)/images.vogel.de/vogelonline/bdb/1761300/1761366/original.jpg "Sicherheitsrisiken lauern an jeder Ecke, auch dort wo man sie nicht erwartet – zum Beispiel bei Videokonferenzen und Online Meetings.")
:quality(80)/images.vogel.de/vogelonline/bdb/1761200/1761234/original.jpg "Weil das Krankenhaus zum IT-Notfall wurde, mussten Rettungswagen samt Patienten längere Wege bewältigen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1755000/1755036/original.jpg "Was sind die Top Drei auf der Wunschliste von IT-Sicherheitsexperten – und warum eigentlich?")
:quality(80)/images.vogel.de/vogelonline/bdb/1751800/1751850/original.jpg "Der Oktober steht ganz im Zeichen der IT-Sicherheit – und von Halloween.")
:quality(80)/images.vogel.de/vogelonline/bdb/1750800/1750892/original.jpg "Unternehmen müssen sich auf die Grundlagen der Cybersicherheit besinnen und neu überdenken, wie sie ihre Daten schützen.")
SAP-Lizenzen nutzungsbasiert zuordnen und aktuell halten Identity Management gewährt Durchblick im Lizenzdschungel
Die Anforderungen an Sicherheit und Compliance in den Unternehmen steigen immer weiter. Trotzdem gibt es bei der Handhabung von Zugangs- und Zugriffsrechten (Identity Management) auf Unternehmensdaten in SAP-Systemen erheblichen Nachholbedarf.
(© ISO K° - Fotolia.com)
Berechtigungs- und Lizenzkonzepte für SAP-Systeme werden nach der Implementierung oft nicht mehr angepasst und sind nicht mehr kompatibel mit der tatsächlichen Systemnutzung. Um den internen und externen Anforderungen gerecht zu werden, müssen diese zeitnah und regelmäßig angeglichen werden.
Unabhängig von der zugrundeliegenden Architektur, Konzepten und Programmiersprachen steuert das SAP-Rollenkonzept den Zugriff auf Funktionen der SAP-Software. Die zugeordneten Berechtigungen sollten die Mitarbeiter in die Lage versetzen, am SAP-System auch nur das zu tun, was ihr Aufgabenprofil vorsieht.
:quality(80)/images.vogel.de/vogelonline/bdb/492900/492967/original.jpg "Das Least-Privilege-Prinzip stellt sicher, dass die Anwender nur mit den Berechtigungen ausgestattet werden, die sie auch wirklich benötigen.")
:quality(80)/images.vogel.de/vogelonline/bdb/492900/492968/original.jpg "Ein SAP-System bildet nur dann die reale Situation in einem Unternehmen ab, wenn Konfiguration und reale Systemnutzung regelmäßig gegenübergestellt und schrittweise analysiert werden.")
Berechtigungskonzepte verändern sich dabei genauso schnell, wie das Unternehmen und die Informationstechnologie im Allgemeinen. Wird dies nicht berücksichtigt, driften die realen Anforderungen und konfigurierten Berechtigungen im Laufe der Zeit unweigerlich auseinander.
Angemessenes Berechtigungskonzept oft Fehlanzeige
Zu welchen Missständen das führen kann, zeigt eine empirische und branchenunabhängige Untersuchung produktiver SAP-Systeme. Die IBIS Prof. Thome AG hat dazu über mehrere Jahre hinweg zahlreiche Unternehmen analysiert. Im Durchschnitt haben sich demnach acht Prozent der Mitarbeiter mit Zugangsberechtigung noch nie am IT-System angemeldet.
Mehr noch: Durchschnittlich 22 Prozent der anmeldeberechtigten Mitarbeiter zeigten über einen mehrmonatigen Zeitraum betrachtet keinerlei Aktivitäten am System. Zudem hatten Mitarbeiter weit mehr Berechtigungen, als sie benötigten. Rund 23 Prozent der Berechtigungsrollen, sowohl Einzel- als auch Sammelrollen erwiesen sich als überflüssig.
Diese Diskrepanz wirkt sich nicht nur negativ auf die Qualität der Geschäftsprozesse aus, sondern beeinträchtigt auch die Sicherheit und erhöht Kosten innerhalb eines Unternehmens beträchtlich. Insbesondere für den Fall, dass auch kritische Funktionen oder Funktionskombinationen zugeordnet sind.
Das erschwert zusätzlich die Einhaltung von Compliance-Vorgaben und eine professionelle Administration. Eine Zahl verdeutlicht die Tragweite dieses Phänomens: In den untersuchten Unternehmen sind im Durchschnitt über 5.000 nicht benötigte Funktionen an die einzelnen Mitarbeiter verteilt.
(ID:35186740)
:quality(80)/images.vogel.de/vogelonline/bdb/1601700/1601795/original.jpg "Manche Unternehmen betrachten IAM immer noch als Thema für das IT-Team und geben sich nicht viel Mühe, die Sichtweise der fachlich orientierten Anwender einzunehmen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1740900/1740948/original.jpg "Ohne zentrales Rechtemanagement fehlt IT-Verantwortlichen jegliche Kontrolle darüber, wer auf welche Benutzerkonten und Daten zugreifen kann.")