:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Access Governance Zugriffsrechte im Griff behalten
Access Governance-Lösungen erlauben die Steuerung und Kontrolle von Zugriffsberechtigungen. In einem Markt mit mindestens 20 relevanten Anbietern kann man nicht alle Produkte direkt miteinander vergleichen. Aber Experten wissen Rat.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Innerhalb des IAM-Marktes (Identity und Access Management) mit seinen Disziplinen wie dem Identity Provisioning, dem Enterprise Single Sign-On, der Identity Federation oder dem Web Access Management nimmt zur Zeit das Thema Access Governance eine dominante Position als eines der wichtigsten Handlungsfelder für Unternehmen ein. Access Governance-Lösungen erlauben die Steuerung und Kontrolle von Zugriffsberechtigungen. Sie sind die Basis dafür, genau das Mindestmaß an Berechtigungen vergeben zu können.
Aus einem ursprünglich recht überschaubaren Markt mit gerade einmal einer Hand voll an Anbietern hat sich Access Governance zu einem Marktsegment mit inzwischen immerhin rund 20 Herstellern entwickelt. Das auch als IAG (Identity and Access Governance) bezeichnete Marktsegment hat sich oberhalb des etablierten Identity Provisioning entwickelt.
Während Identity Provisioning insbesondere auf die technische Bereitstellung von Benutzern und Zugriffsberechtigungen in verschiedenen Zielsystemen ausgerichtet ist, entstand Access Governance aus der Forderung von rechtlichen Regulierungen und auch von Prüfern nach der Fähigkeit zur Rezertifizierung von Berechtigungen.
Access Governance: Mehr als Rezertifizierung
Die Rezertifizierung, manchmal auch als Attestierung bezeichnet, ist damit auch eine der Kernfunktionen von Access Governance. Damit können die verantwortlichen Personen wie beispielsweise Abteilungsleiter in regelmäßigen Abständen Zugriffsberechtigungen der ihnen zugeordneten Mitarbeiter überprüfen und diese bestätigen oder Änderungen veranlassen.
Rezertifizierungsprozesse sind wichtig, weil in der Realität die Vergabe von Berechtigungen viel besser funktioniert als der Entzug. Die Aussage, dass ein Auszubildender nach drei Jahren mehr Berechtigungen als der Vorstand hat, weil er alle Abteilungen durchlaufen hat, enthält leider oft mehr als nur ein Körnchen Wahrheit. Daher braucht es nicht nur Prozesse für eine strukturierte Berechtigungsvergabe, sondern auch für die regelmäßige Überprüfung des Ist-Zustands.
Dazu gehören eben die genannte Rezertifizierung, aber auch weitergehende Analysefunktionen für die aktuellen Berechtigungen. Access Governance-Lösungen heutiger Prägung sammeln Berechtigungen von Zielsystemen ein und speichern diese. Das Resultat wird häufig als „Access Warehouse“ bezeichnet. Diese Informationen lassen sich auswerten, wobei zunehmend auch Business Intelligence-Technologien zum Einsatz kommen – ein Grund für manche Anbieter, das Schlagwort „Access Intelligence“ zu verwenden, auch wenn es sich dabei nur um eine ergänzende Funktionalität und kein neues Marktsegment handelt.
Rollenmanagement
Eine weitere wichtige Funktionalität von typischen Access Governance-Lösungen ist das Rollenmanagement, also die Definition von Rollen auf unterschiedlichen Hierarchieebenen, die für eine effiziente und strukturierte Steuerung der Berechtigungsvergabe verwendet werden können.
Da sich Access Governance-Lösungen mit der Rezertifizierung und dem Rollenmanagement ohnehin stärker an die Business-Bereiche gerichtet haben als das klassische Identity Provisioning mit seiner eher administrativen Ausrichtung, kam auch eine andere Entwicklung der letzten Jahre nicht überraschend: Access Governance wird zunehmend auch zur Schnittstelle für die Anforderung von Berechtigungen durch die Endanwender.
Das war einer der Gründe, der dazu geführt hat, dass Access Governance-Lösungen heute zunehmend auch Änderungen direkt in Zielsysteme provisionieren können oder zumindest über gute Schnittstellen zu Identity Provisioning-Lösungen und Service Request Management-Systemen verfügen, um automatisierte und manuelle Änderungen in Zielsystemen durchführen zu können. Der zweite Grund war schlicht, dass es wenig Sinn macht, bei der Rezertifizierung zwar Abweichungen feststellen, diese aber nicht gleich automatisiert beheben zu können.
Der Markt: Viele Anbieter, große Unterschiede
Mit dieser Entwicklung wird die Schnittstelle zwischen Access Governance-Lösungen und den klassischen Identity Provisioning-Lösungen auch zunehmend unscharf. Deshalb gibt es im Markt auch reine Access Governance-Produkte ebenso wie integrierte Lösungen. Komplettiert wird der Markt von einigen spezialisierten Lösungen, die entweder primär auf die Analyse ausgerichtet sind oder, wie im Fall von SAP GRC, primär auf eine bestimmte Zielumgebung ausgerichtet sind und für die Unterstützung weiterer Produkte dann noch Add-On-Lösungen benötigen.
In einem Markt mit annähernd 20 relevanten Anbietern kann man nicht alle Produkte direkt miteinander vergleichen. In einer Gesamtsicht lassen sich natürlich die Lösungen identifizieren, die insgesamt die größte Breite an Funktionen liefern oder die am meisten innovative Funktionen wie erweiterte Access Intelligence-Funktionen, Cloud-basierende Deployment-Modelle oder eine enge Integration mit Privilege Management, Service Request Management und anderen Systemen unterstützen.
Ebenso können auch die Hersteller identifiziert werden, die bezüglich Kundenzahl, globaler Reichweite und Partner-Ökosystem dominieren. Neben diesen Anbietern, die im aktuellen KuppingerCole Leadership Compass Access Governance die Product Leader, Innovation Leader und Market Leader bilden, braucht es aber noch andere Perspektiven.
So gibt es auf der einen Seite eben die Lösungen, die eher als integrierte Plattformen mit guten Provisioning-Fähigkeiten ausgelegt sind und auf der anderen Seite die Lösungen, die typischerweise in Ergänzung zu bestehenden Provisioning-Systemen eingesetzt werden. Letztere sind oft auch sehr gut als Integrationsplattform und Bindeglied zu den Business-Benutzern geeignet, weil sie die zentrale Schnittstelle für die Anforderung von Berechtigungen, die Rezertifizierung und Analyse und auch das Rollenmanagement bilden können. Sie können dann die Änderungsanforderungen sowohl an ein oder mehrere Provisioning-Systeme als auch an Service Request Management-Lösungen für die manuelle Umsetzung übergeben. In vielen Fällen werden zusätzlich sogar Provisioning-Funktionen für die direkte Anbindung von Zielsystemen unterstützt.
Solche mehrstufigen Architekturen sind interessant, um die Investitionen in bestehende Provisioning-Lösungen zu schützen und um Access Governance-Funktionen zu ergänzen, aber auch um in größeren Unternehmen ein Bindeglied über die oftmals vorhandenen unterschiedlichen Provisioning-Systeme zu bilden.
Entsprechend liefert der KuppingerCole Leadership Compass Access Governance auch eine Sichtweise, die diese integrative Fähigkeit in Relation zu der Gesamtbewertung der Produktfunktionalität setzt. Damit kann man erkennen, wo die Stärken liegen und ob eine Lösung insgesamt gut – also wohl auch auf längere Sicht gut geeignet – und gleichzeitig für die Integration vorhandener Systeme ausgelegt ist.
Andere Kunden werden dagegen eher Lösungen brauchen, die als zentrale Lösung auch mit einer starken Provisioning-Komponente kommen. Auch solche Sichtweisen werden in der KuppingerCole-Analyse geliefert, ebenso Bewertungen beispielsweise für die Produkte, die besonders gut für Access Governance im SAP-Umfeld geeignet sind oder dort, wo das Access Risk Management besonders großen Stellenwert hat.
Den richtigen Anbieter finden
Dennoch reichen solche Analysen alleine nicht aus, um den bestgeeigneten Anbieter zu finden. Sie können dazu dienen, die Liste von Anbietern einzuschränken, um anschließend gezielt und in der Tiefe weitere Informationen anzufordern und schließlich zwei bis drei Produkte in einem PoC (Proof of Concept) im Detail zu bewerten. Dabei kann es hilfreich sein, sich in diesem weiteren Prozess von herstellerneutralen Experten begleiten zu lassen.
Was man ebenfalls nicht vergessen sollte: Access Governance ist in erster Linie eine organisatorische Herausforderung. Es geht um das Zusammenspiel zwischen Business und IT, um geeignete Richtlinien und Prozesse. Ohne diesen organisatorischen Rahmen bringt das beste Tool nichts. Diese Hausaufgaben sollte man also zuerst machen, bevor man ein Werkzeug zur Unterstützung auswählt.
(ID:38968920)
:quality(80)/images.vogel.de/vogelonline/bdb/1941600/1941649/original.jpg "Access Governance bildet die Prozesse, Strukturen und Verantwortlichkeiten ab, um den Zugriff auf Unternehmensdaten und -anwendungen zu sichern. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1913800/1913855/original.jpg "Sind zu viele digitale Identitäten in Unternehmenssystemen hinterlegt, wird die Verwaltung schnell schwierig oder sogar zum Sicherheitsrisiko. (freshidea - stock.adobe.com)")