Avaloq Vermögensmanagement
MEINUNG: IAM17. November 2014

Passwörter sollten bei Banken und Versicherern längst Out sein

Michael Neumayr, Regional Manager Central Europe bei Ping IdentityPing Identity
Michael NeumayrPing Identity

Der Schutz sensibler Informationen zählt zu den wichtigsten Aufgaben von CTOs. Gerade in Banken, Sparkassen und bei Versicherern werden zwangsläufig sehr intime Kundendaten erzeugt. Ein Plädoyer für Identity und Access Management (IAM) von Michael Neumayr, Regional Manager Central Europe bei Ping Identity mit Single-Sign-On-Technologie.

Bei Banken und Versicherern werden sensible personenbezogene Daten verarbeitet- entsprechend hoch sind die Anforderungen an die IT-Sicherheit. Risiken bestehen naturgemäß in den eingesetzten Systemen selbst. Sicherheitslücken in Datenbanken und Programmen bieten Angreifern eine Menge potentieller Einfallstore. Spezialsoftware und Sicherheits-Audits reduzieren diese Risiken deutlich.

Für jede Anwendung ein eigenes Passwort?

Der klassische Zugriffsschutz besteht auch heute noch in Form von Passwörtern. Doch gerade die Mitarbeiter selbst werden häufig zum Sicherheitsrisiko – durch Unachtsamkeit, Faulheit oder bewusste Vernachlässigung im Arbeitsalltag. Um den Einsatz von trivialen Passwörtern zu verhindern, setzen Unternehmen auf Passwort-Richtlinien, die komplexe Zeichenkombinationen und den regelmäßigen Wechsel von Passwörtern erzwingen.

Flynt/bigstock.com
Flynt/bigstock.com

Je mehr Systeme vom Mitarbeiter genutzt werden, desto schwieriger wird es für ihn, sich die vielen, unterschiedlichen Passwörter zu merken. Ein nachvollziehbarer aber auch gefährlicher Ausweg aus dem Dilemma: Der Nutzer schreibt das Passwort auf und bewahrt eine Liste mit Zugangsdaten an seinem Arbeitsplatz auf. Denn gerade in Banken und Versicherungen kommen ganz besonders häufig mehr als eine Hand voll an Anwendungen und Programmen zusammen, die eine Anmeldung durch den Mitarbeiter erfordern.

Aktive Organisation von Identitäten

Michael Neumayr
Michael Neumayr ist seit Anfang 2014 bei der Identity Security Company Ping Identity als Regional Sales Manager Central Europe tätig und in dieser Position verantwortlich für den kompletten Vertrieb in dieser Region. Neumayr blickt bereits auf mehr als zwanzig Jahre Erfahrung im Vertrieb zurück – seit dem Jahr 2000 liegt sein Fokus dabei auf IT-Sicherheit. So war er zuvor als Sales Director Central Europe für den Vertrieb der Sicherheitslösungen von CA Technologies und den Ausbau der CA-Aktivitäten im Identity & Access Management-Umfeld verantwortlich. Stationen und Positionen davor beinhalten unter anderem Symantec (Senior Business Development Manager), Webwasher (jetzt bei McAfee/Intel; Director Channels und Regional Sales Central Europe) und Websense (Regional Director mit Gesamtverantwortung für Vertrieb und Marketing in Deutschland, Österreich und der Schweiz). Zudem war Michael Neumayr Director Sales & Marketing bei Psylock, einem Anbieter für Authentifizierungslösungen mittels Tipp-Biometrie.
Die Einführung eines Systems für das Identity und Access Management (IAM) kann die Probleme lösen, die sich auch durch komplizierte Passwort-Richtlinien allein nicht in den Griff bekommen lassen. Der Einsatz unterschiedlicher Portale und Cloud-Lösungen stellt die Nutzer vor Herausforderungen, für die Single-Sign-On-Lösungen gemacht sind. Der Anwender merkt sich einen einzigen Zugang und erhält nach erfolgreicher Anmeldung Zugang zu den anderen darunter zusammengefassten Systemen. Das erhöht nicht nur die Sicherheit, sondern zugleich auch den Komfort für den Mitarbeiter.

Jeder Mitarbeiter sollte nur auf die Daten Zugriff haben, die für die aktuellen Aufgaben unbedingt notwendig sind. Bereits die Gesetze des Datenschutzes machen diesen Ansatz obligatorisch. Müssen Zugriffsrechte für unterschiedliche Systeme gesteuert werden, steigt das Fehlerrisiko, und Änderungen – etwa beim Ausscheiden oder der Versetzung eines Mitarbeiters – werden zu einer komplexen Aufgabe.

Umfassende Lösungen für das Access-Management wie beispielsweise Ping Federate, die nahtlos und auch mit bereits vorhandenen Systemen für das Identitätsmanagement zusammenarbeiten, reduzieren hier Komplexitäten. Hilfreich ist hierfür ein Provisionierungsmodul, das den Verantwortlichen dabei hilft, einem Nutzer Zugriffsrechte per Mausklick zuzuweisen.

Compliance-Vorgaben richtig nachkommen

Aktives Identitätsmanagement in Verbindung mit dem Access-Management ist auch unter Compliance-Aspekten sinnvoll. Einerseits erwächst vielfach aus den juristischen Rahmenbedingungen die Notwendigkeit, belegen zu können, wann welche Daten durch welchen Mitarbeiter bearbeitet worden sind. Im Falle von Datenverlusten oder Manipulationen helfen die Protokolle andererseits beim Aufspüren der Verursacher. Zu einem juristisch belastbaren Beweis werden diese Informationen aber erst, wenn das Unternehmen sich auch darauf verlassen kann, dass sich hinter einer Identität auch tatsächlich die bestimmte Person verbirgt. Und genau das können Identity- und Access-Management-Lösungen leisten. Denn erhebliche Probleme können entstehen, wenn nicht sicher ist, was mit den individuellen Daten in einem Identitätsmanagementsystem passiert.

Der Aufwand für die Implementierung eines IAM-Systems hängt ebenso wie bei Identity Management-as-a-Service Lösungen erheblich vom jeweiligen Anbieter ab. Hier sollte lieber etwas mehr Zeit für die Implementierung eingeplant werden, denn je nach Anbieter unterscheidet sich die Installationsdauer erheblich ebenso wie die damit verbundenen Kosten.

Für ganzheitliche Prozesse in der IT-Sicherheit sollte der einzelne Nutzer mit seiner individuellen Identität im Mittelpunkt stehen. Banken und Versicherungen können sich Vorteile verschaffen, indem sie die Berechtigungen der Nutzer transparent verwalten.

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/6351

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert