IAM und Governance

Weniger Kontrolle für mehr Sicherheit

| Autor / Redakteur: Andreas Gerst* / Peter Schmitz

Identity Management muss auf Business-Anwender angepasst werden, eine Übersetzung von der IT- in die Business-Sprache ist erforderlich.
Identity Management muss auf Business-Anwender angepasst werden, eine Übersetzung von der IT- in die Business-Sprache ist erforderlich. (Bild: geralt - Pixabay / CC0)

Spektakuläre Cyberangriffe haben es in den letzten Monaten wieder gezeigt: Die IT-Abteilung ist nicht alleine für die Sicherheit im Unternehmen zuständig. Denn Kriminelle erreichen nicht nur über Schwachstellen in Anwendungen ihr Ziel. Die IT-Abteilung muss also Aufgaben abgeben, um die Sicherheit zu verbessern.

Oft waren Social Hacks ein beliebtes Mittel, um sich Zugang zu Daten, Passwörtern oder Kontoinformationen zu verschaffen. Beim Social Hacking erschleichen sich Cyberkriminelle das Vertrauen von Mitarbeitern und nutzen dann deren Zugangsdaten, um in das Unternehmensnetzwerk einzudringen. Studien zeigen zudem eine weiter oftmals unterschätzte Gefahrenquelle: Eigene Mitarbeiter entwenden Daten und Informationen und veräußern diese gewinnbringend. Diese auf „persönliche Schwachstellen“ zurückzuführenden Gefahrenquellen lassen sich nicht vollständig von der IT verhindern. Allerdings hilft ein ständig up-to-date gehaltenes Management der Berechtigungen über Identity Management und Governance, den Zugriff der Mitarbeiter entsprechend deren jeweiliger Rolle im Unternehmen zu steuern und zu limitieren.

Mit Identity Management und Governance hat jeder Mitarbeiter eine einzigartige Identität im Unternehmen, die aufgrund der dahinterliegenden Rollenzuweisung definiert, auf welche Bereiche und Daten der Nutzer zugreifen kann. Administratoren erkennen potentielle Gefahrenquellen, falls Mitarbeiter versuchen, Dateien aufzurufen oder zu kopieren, für die sie keine Benachrichtigung haben. Allerdings ist dabei ein wichtiger Aspekt zu beachten: Oft kennen die IT-Abteilungen nicht die genauen Rollen der Mitarbeiter in den Business-Abteilungen, was eine Zuordnung der Zugangsberechtigungen erschwert.

Mehr Verantwortung für Business-Verantwortliche

Abhilfe kann ein neues System bei der Zugangsberechtigungen machen, in dem nicht die IT-Mitarbeiter, sondern die Business-Verantwortlichen die Berechtigungen ihrer Mitarbeiter verwalten. So können sie den Zugang zu Daten und Anwendungen schneller mit neuen Rollen und Aufgabenbereichen abgleichen. Zudem hat sich auch die Arbeit der IT-Abteilungen haben geändert. Sie sind nicht mehr nur mit dem Management der Unternehmens-IT beauftragt, sondern erzielen durch die Zurverfügungstellung neuer Services, Applikationen oder anderer Produkte einen Mehrwert für das Unternehmen. IT-Mitarbeiter verbessern das Kundenerlebnis, sind für die Migration von Anwendungen in die Cloud zuständig und kümmern sich um die Integration von Partnernetzwerken. Sollen sie diese geschäftsrelevanten Tätigkeiten erfüllen, ist es erforderlich, dass sie Management-Aufgaben wie die Verwaltung von Rollen und Zugangsberechtigungen an Business-Teamleiter übergeben. Bei der Übertragung von Verwaltungsaufgaben, die traditionell in der IT angesiedelt waren, sind zudem jedoch einige Fallstricke zu überwinden.

Zunächst einmal bleiben trotz des Wechsels der Verantwortlichkeiten die Hauptanforderungen für Identity Management und Governance bestehen. Sie sind zudem die Hauptvoraussetzung dafür, dass der angestrebte Wechsel auch gelingt. Dazu gehört die Automatisierung von Kernprozessen, im Idenitäts-Management, die für eine höhere Effizenz sorgt. Zudem müssen unpassende Nutzerberechtigungen verhindert und ein schnelles Onboarding (sowie Offboarding) der Nutzer gewährleistet werden. Die Einhaltung der Compliance-Richtlinien ist dabei unabdingbare. Grundvoraussetzung.

Voraussetzungen für eine größere Akzeptanz

Eine der größten Herausforderungen beim Management der Nutzeridentitäten ist das Einbeziehen von Business-Managern in Kernidentitätsprozesse. Nicht nur der Self-Service, sondern auch die Verwaltung von Zugangsanfragen, Zertifizierungen und andere Funktionen waren bislang Aufgaben der IT-Teams und bedienten sich einer Fachsprache. Business-Manager verlangen von einer IT-Lösung jedoch, dass sie einfach zu verstehen und zu handhaben sowie auf ihr Geschäft fokussiert ist. Zudem muss sie die jeweiligen eigenen Ziele und Anforderungen unterstützen. Folgende Faktoren erhöhen die Akzeptanz von IT-Lösungen und gewährleisten eine erfolgreiche Verantwortungsübertragung beim Identity Management:

  • eine einheitliche Benutzerschnittstelle
  • eine höhere Produktivität dank der passenden IT-Lösung
  • Tools, die die Manager bei der Entscheidungsfindung unterstützen
  • BreiteUnterstützung für verschiedene Arten von Endgeräten
  • die Möglichkeit, die Lösung individuell anzupassen und somit die Anwendererfahrung zu verbessern

Diese Anforderungen machen einen neuen Ansatz zwingend notwendig: Identity Management muss auf die Nicht-IT-Zielgruppe angepasst werden. Da Business-Anwender nicht mit den technischen Begriffen vertraut sind, ist eine Art Übersetzung von der IT- in die Business-Sprache erforderlich. Zudem muss die Lösung Nutzer bei der Wahl der zu vergebenden Rollen unterstützen. Eine einfach zu verstehende und zu handhabende Benutzeroberfläche ist entscheidend dafür, dass die Teamleiter ihre zusätzlichen Aufgaben akzeptieren. Nur wenn diese grundsätzlichen Anforderungen eingehalten werden, lassen sich Tätigkeiten von den IT-Teams auf die Business-Manager übertragen. Dies erhöht nicht nur die Sicherheit, sondern auch das Bewusstsein für Sicherheitslücken und Schutzmechanismen fernab der technischen Möglichkeiten.

Auch die Vorteile eines richtig umgesetzten Identity Managements für das Unternehmen überzeugen. Schließlich helfen die frei gewordenen Kapazitäten der IT-Abteilung bei der Neuentwicklung von Services oder der Optimierung der Kundenerfahrung. Die Konzentration auf die Unterstützung der Geschäftsziele sorgt für mehr Agilität und einem Vorteil gegenüber dem Wettbewerb im Zeitalter der digitalen Transformation.

* Andreas Gerst ist Vice President for Pre-Sales, Central Europe, CA Technologies.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44231675 / Sicherheits-Policies)