Suchen

Identity Risk Management als neuer Trend Kontrolle über Zugriffsrechte bringt Kontrolle über Risiken

| Autor / Redakteur: Martin Kuppinger / Peter Schmitz

Identity Risk Management – so lautet ein neues Schlagwort im Bereich Compliance und Governance. Die ersten Produkte dazu gibt es auch schon zu kaufen. Aber wie immer in solchen Fällen stellt sich zunächst erst einmal die Frage, was daran nur Hype ist und wo der nützliche Kern liegt. Security-Insider.de beantwortet die wichtigsten Fragen dazu.

Dass das Thema Risikomanagement an Bedeutung gewinnt zeigt sich schon daran, dass inzwischen die Abkürzung GRC als Bezeichnung für Governance, Risk (Management) und Compliance immer stärker die ausschließliche Fokussierung auf Compliance ablöst, wenn es um Business-Treiber und Lösungsansätze geht. Das ist auch wenig überraschend.

Einerseits wird der Begriff der Compliance oft sehr eingeschränkt auf wenige dominierende Regelungen wie SOX oder HIPAA gesehen, auch wenn er letztlich viel mehr umfasst, bis hin zum deutschen BDSG. Zum anderen ist Compliance letztlich ein Teil der übergeordneten (Corporate) Governance, also der ordnungsgemäßen, regelgerechten Unternehmensführung.

Diese umfasst als sehr wesentliche Bereiche eben die Compliance im Sinne der Einhaltung von gesetzlichen, aufsichtsbehördlichen und internen Regelungen und das Risikomanagement. Ein wichtiges Element der Governance ist die IT Governance, schon weil IT in den meisten Unternehmen eine zentrale Rolle für die Umsetzung der Kerngeschäftsprozesse spielt, aber auch, weil eben viele Unternehmensrisiken eng mit der IT verknüpft sind.

Zugriffsberechtigungen sind meist die größte Schwachstelle

Das kürzlich durch die Medien gegangene Beispiel der Société Générale, bei dem ein Händler Milliarden Euro verspekuliert hatte, war dabei nur ein Extremfall, in dem offensichtlich ein Einzelner im Laufe der Zeit genug Zugriffsberechtigungen angesammelt hatte, um sich selbst kontrollieren zu können. Zu viele Zugriffsberechtigungen und unberechtigte Transaktionen sind für Unternehmen genauso ein Risiko wie Informationslecks, über die sensitive Informationen an den Wettbewerb oder die Öffentlichkeit gelangen.

Viele der IT-Risiken sind wiederum eng mit Zugriffsberechtigungen und dem Handeln von Benutzern verbunden, womit auch die Identität ins Spiel kommt. Und hier setzt das Identity Risk Management an. Risikomanagement bedeutet, dass Risiken definiert, erfasst und – soweit erforderlich – mit möglichst vorab definierten Maßnahmen beseitigt werden.

Identity Risk Management-Lösungen sind oft ein alter Hut

Identity Risk Management-Produkte sind Lösungen, die genau darauf abzielen, Risiken schnell und einfach zu erfassen. Die Erfassung von Risiken bedeutet insbesondere, dass man Informationen über vorhandene Zugriffsberechtigungen aufbereitet, um darin Abweichungen von Vorgaben oder potenzielle Konflikte zu erkennen. Das bedeutet natürlich auch, dass man solche Vorgaben oder Richtlinien definieren muss.

Hier wird mit durchaus gängigen Ansätzen des Business Role Managements und mit Segregation of Duties (SoDs) gearbeitet. Hinzu kommen definierte Mechanismen für eine regelmäßige Überprüfung von Berechtigungen durch die Verantwortlichen, also die Attestation, und Dashboards, mit denen man den Status erkennen kann. Auch eine explizite Definition von Risiken gehört zum Umfang solcher Produkte.

Die beiden derzeit prominentesten Anbieter in diesem Segment, Sailpoint und Aveksa, haben dabei durchaus unterschiedliche Schwerpunkte. Sailpoint setzt seinen Schwerpunkt mehr auf die Analyse der definierten Zugriffsberechtigungen, während Aveksa stärker auf die Attestation-Prozesse fokussiert.

Wenn man die Produkte betrachtet wird aber schnell deutlich, dass vieles sich auch bei anderen Lösungen von Herstellern wie Approva, Agiliance oder Bhold findet – und manches Element auch bei SAP GRC Access Control.

Deshalb ist Identity Risk Management wohl auch mehr eine Ergänzung zu einem Markt, den man heute am besten als GRC-Markt beschreiben kann, also den Markt für die auf die Lösung von GRC-Anforderungen spezialisierten Softwareprodukten. Insbesondere die Analysefunktionen von Herstellern wie Sailpoint sind dabei wichtige Erweiterungen.

Wie wichtig sie sind, zeigt sich auch daran, dass derzeit mehrere sehr große Unternehmen auch in Deutschland daran arbeiten, eigene Systeme aufzubauen, um die Zugriffsberechtigungen und ihre Historie speichern und analysieren zu können. Standardisierte Lösungen wie die von Sailpoint kommen hier genau zum richtigen Zeitpunkt.

Fazit

Das Thema, das unter dem Schlagwort des „Identity Risk Managements“ positioniert ist, wird daher nach unserer Erwartung auch langfristige Bedeutung haben – aber in einer zunehmenden Gesamtsicht auf die „generischen“ IT-GRC-Anforderungen, also den Bereich, in dem es wirklich um die Umsetzung der IT Governance geht. Hier ergänzen die stärker analytischen Funktionen von Sailpoint das, was heute angeboten wird. Identity Risk Management wird damit auch dauerhaft von Bedeutung sein – als wichtiger Teil eines sich konsolidierenden Markts für IT-GRC-Lösungen.

Artikelfiles und Artikellinks

(ID:2011721)