Identity Governance: Fünf Fehler, die Banken und Versicherer vermeiden müssen
Der aktuellen Ponemon-Studie “Global trends in Identity Governance & Access Management” zufolge ist Identity Governance das derzeit populärste Security-Tool – 50 Prozent aller Unternehmen setzen es ein. Mit durchwachsenem Erfolg: Was den Return on Investment (ROI) angeht, liegt Identity Governance derselben Studie zufolge einige Prozentpunkte unter dem Durchschnitt. Woher kommt diese Diskrepanz zwischen Popularität und Kosten-Nutzen-Faktor? Christoph Stoica, Regional General Manager DACH bei Micro Focus geht im Folgenden näher darauf ein und nennt fünf Fehler, die Unternehmen unbedingt vermeiden sollten.
von Christoph Stoica, Micro Focus
In der Fachwelt besteht ein breiter Konsens über das Potenzial von Identity Governance. Aber bei der Umsetzung wird häufig geschlampt. Wir nennen fünf Fehler, die Unternehmen unbedingt vermeiden sollten.Fehler #1: Unternehmen züchten Klonkrieger
Zeitmangel ist das entscheidende Problem: IT-Abteilungen klonen Nutzerberechtigungen, anstatt sie individuell zu vergeben.”
Zeitmangel ist das entscheidende Problem: IT-Abteilungen klonen Nutzerberechtigungen, anstatt sie individuell zu vergeben.”
Tritt ein neuer Mitarbeiter in ein Unternehmen ein, erhält er häufig ein vorgefertigtes Paket an Zugangsberechtigungen, das seinem Level oder seinen Aufgaben im Unternehmen ungefähr entspricht. Zu diesem Zweck werden die Rechte eines Nutzers, der im gleichen Bereich arbeitet, kurzerhand kopiert. Mit diesem Vorgehen wird Zeit gespart, allerdings erhalten Personen dadurch regelmäßig mehr Befugnisse, als sie in Wirklichkeit benötigen. Abhilfe schafft ein System, das Vorgesetzten automatisiert eine Liste mit Informationen und Anwendungen vorschlägt, die dem Aufgabengebiet eines neuen Mitarbeiters entsprechen. Auf Grundlage dieser Vorauswahl können individuelle, aber dennoch zeiteffiziente Entscheidungen getroffen werden.
Fehler #2: Karteileichen werden nicht beseitigt
Karteileichen bergen die Gefahr, dass sie als Zombies wiederauferstehen. Verlässt ein Mitarbeiter das Unternehmen, sollte sein Zugang zu Informationen und Anwendungen schnellstmöglich erlöschen.”
Karteileichen bergen die Gefahr, dass sie als Zombies wiederauferstehen. Verlässt ein Mitarbeiter das Unternehmen, sollte sein Zugang zu Informationen und Anwendungen schnellstmöglich erlöschen.”
Nur auf diese Weise kann verhindert werden, dass er seinen Account zu einem späteren Zeitpunkt reaktiviert, um die Infrastruktur des Unternehmens widerrechtlich zu nutzen oder gar sensible Informationen zu entwenden. Auch für Cyber-Kriminelle sind inaktive Accounts willkommene Ziele.
Ein weiteres Versäumnis besteht bei der Rücknahme von Befugnissen: Wenn Personen eine neue Rolle im Unternehmen bekleiden oder von Projekt zu Projekt wechseln, erhalten sie zwar neue Berechtigungen, bekommen die alten aber nicht entzogen.”
Um die Karteileichen zu beseitigen, bedarf es regelmäßiger Reviews im Rahmen des Access Certification Prozesses (ACP). Überprüfungen in Abständen von sechs bis zwölf Monaten stellen sicher, dass überflüssige Accounts und Berechtigungen zuverlässig beseitigt werden.
Fehler #3: Identity Governance mit verschlossenen Augen
Selbst perfekt justierte Zugangsberechtigungen können nicht vollständig verhindern, dass ein Nutzer oder Administrator etwas Unerlaubtes tut. Auch der Identitätsdiebstahl durch einen externen Angreifer ist eine zwar zu minimierende, aber nicht vollständig zu beseitigende Gefahr. Zusätzlich zur turnusmäßigen Überprüfung im Rahmen des ACP muss Identity Governance deshalb stets ein waches Auge haben.
Normabweichendes Verhalten von Insidern oder das Auftreten besonderer Risiken – mitunter bereits gegeben durch den Austritt eines Mitarbeiters aus dem Unternehmen – sollten automatisiert eine individuelle Überprüfung nach sich ziehen.”
Fehler #4: Vorgesetzte werden überfordert
Identity Governance zielt darauf ab, menschengeschaffene Risiken in der IT-Sicherheit zu verringern. Ironischerweise kann aber auch in diesem System der Mensch das schwächste Glied der Kette sein – in Form des Führungspersonals, das für die Vergabe von Befugnissen verantwortlich ist. Da Vorgesetzte eine Vielzahl an Aufgaben zu erledigen haben und die Absegnung von Zugangsberechtigungen auf ihrer Prioritätenliste verständlicherweise nicht ganz oben steht, winken sie Anfragen eher durch, anstatt sie gewissenhaft zu prüfen. Oft stellt dieses Vorgehen kein großes Problem dar, in Einzelfällen werden jedoch völlig achtlos sicherheitskritische Entscheidungen getroffen – ohne dass die Verantwortlichen dies notwendigerweise bemerken.
Ein Ausweg bietet die Priorisierung des ACP: Je mehr Risiken mit einer Rechtevergabe verbunden sind, desto wichtiger ihre Überprüfung.”
Wenn ein Vorgesetzter nur ausgewählte Fälle überprüfen muss und alle weiteren automatisiert oder über ein Self-Service-System abgewickelt werden, steht ihm pro Fall mehr Zeit zur Verfügung.
Fehler #5: Kunst um der Kunst willen
Identity Governance ist kein Selbstzweck, sondern dient dem Ziel, die IT-Sicherheit zu erhöhen.”
Identity Governance ist kein Selbstzweck, sondern dient dem Ziel, die IT-Sicherheit zu erhöhen.”
Zu viele Unternehmen investieren ihre Ressourcen, ohne eine adäquate Erfolgskontrolle zu betreiben. Wer wissen möchte, ob sich Identity Governance lohnt, der muss die Kosten für diese Maßnahme mit der tatsächlichen Reduktion von Risiken in ein Verhältnis setzen. Wie aber lässt sich die Reduktion von Risiken bemessen? Gewisse Rückschlüsse lässt beispielsweise der Prozentsatz der Zugänge und Nutzerrechte zu, die dank Identity Governance deaktiviert oder entfernt wurden. Zwar kann diese Größe von zahlreichen Faktoren beeinflusst sein und schwankt etwa, wenn ein Unternehmen neue Mitarbeiter einstellt, alte entlässt oder Unternehmensbereiche restrukturiert. Bezieht man etwaige Schwankungen jedoch mit ein, entsteht ein verlässlicher Erfolgsmaßstab. Er kann genutzt werden, um den ROI von Identity Governance realistisch zu bemessen.
Das Fazit: Mächtiges Tool – Vorraussetzungen notwendig
Richtig eingesetzt, ist Identity Governance eines der mächtigsten Tools, um die IT-Sicherheit in Unternehmen zu erhöhen. Wer jedoch unbedacht vorgeht, der erhält ein System, das viel Geld kostet, Vorgesetzte überfordert und seinem Zweck nicht vollständig gerecht werden kann. Unternehmen müssen sicherstellen, dass sie die genannten Fehler von Anfang an vermeiden – oder zumindest in Zukunft nicht mehr begehen.aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/43836
Schreiben Sie einen Kommentar