Die Sicherheit geschäftskritischer Daten ist in vielen Unternehmen nicht gewährleistet. Das ist das Ergebnis einer aktuellen Studie von CA zum Thema IT-Sicherheit. 41 Prozent der befragten Unternehmen schätzen die Gefährdung durch interne Angriffe größer ein als das Risiko, Opfer eines externen Hackers zu werden. Die Umfrage belegt auch, dass bereits viele Unternehmen Maßnahmen (Firewalls, Virenscanner, etc.) zum Schutz vor externen Attacken ergriffen haben. Dagegen stellt die Verwaltung von Benutzerkonten und IT-Berechtigungen das Schlüsselproblem des internen Sicherheitsrisikos dar: Über 80 Prozent der Befragten sehen Verbesserungen bei Kerngebieten des Identity Managements, wie dem Löschen von nicht mehr aktiven Benutzern oder der Kontrolle von Zugriffsberechtigungen, als wesentlich an.
Wie lässt sich sicherstellen, dass Mitarbeiter nur die IT-Berechtigungen erhalten, die für ihre spezielle Position im Unternehmen zugelassen sind? Wie lassen sich gesetzliche und unternehmensinterne Richtlinien bei der Vergabe von Benutzer- und Zugriffsrechten umsetzen? Das sind laut Max Peter, Vorstand und CEO der econet AG, die typischen Sicherheitsfragen in einem Unternehmen. Eine Lösung ist das in vielen Unternehmensrichtlinien bereits verankerte Vier-Augen-Prinzip. Es besagt, dass immer zwei Personen ihre Genehmigung geben müssen, beispielsweise bei der Beantragung von Zugriffsrechten auf eine bestimmte Dateiablage. Mit einem sicheren Antragsverfahren für das Benutzer- und Berechtigungs-Management, das heißt mit standardisierten Genehmigungs-Workflows für einen kontrollierten Self-Service, werden die Umgehung der Rechtevergabe-Richtlinien und unkontrollierte Freigaben verhindert.
Ein Beispiel: Mitarbeiter können über standardisierte Web-Oberflächen im Service-Portal des Unternehmens die Zugriffsrechte auf Dateiablagen beantragen. Die Auswahlmöglichkeiten der Dateiablagen sind entsprechend ihren Aufgaben im Unternehmen und den ihnen zugewiesenen Rollen eingeschränkt. Beantragt ein Mitarbeiter den Zugriff auf eine bestimmte Dateiablage, die zum Beispiel sensible Kundendaten enthält, wird der für die Genehmigung zuständige Mitarbeiter in der Regel sein Vorgesetzter automatisch per E-Mail benachrichtigt. Gibt er dem Antrag statt, erhält der zweite Zuständige beispielsweise der kaufmännische Verantwortliche die Benachrichtigung zur Freigabe. Erst wenn auch dieser sein Einverständnis zum Antrag gibt, ist dieser freigegeben.
Ein geeignetes Provisioning-System, beispielsweise cMatrix von econet, übernimmt die Daten automatisch. Dann erfolgen die technischen Änderungen in den Zielsystemen nach hinterlegten Regeln, in denen die Berechtigungen des Antragstellers berücksichtigt sind. Sobald der Service erbracht worden ist, geht eine Benachrichtigung per E-Mail an den Antragsteller. Die kostenbezogenen Daten über den Wert der Services werden der Buchhaltung automatisch zugestellt und können in klassische Verrechnungssysteme einfließen.
Durch die fest definierten und automatisiert ablaufenden Prozesse ist eine lückenlose Revision aller Rechteanträge und Genehmigungsschritte möglich. Sie zeigt, wer mit welcher Begründung welche Genehmigungen erteilt hat, erklärt Max Peter. Wer auf welche Informationen im Unternehmensnetzwerk Zugriff hat und von wem die Genehmigungen erteilt wurden, ist eine zentrale Fragestellung bei der Compliance-Einhaltung durch die IT. econet cMatrix kontrolliert und dokumentiert revisionssicher alle Aktionen bei der Berechtigungsvergabe, um gesetzliche Vorgaben zur Vorbeugung von operationellen Risiken zu erfüllen wie in Basel II oder dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, KonTraG, gefordert.
Nicht nur in punkto Sicherheit bringt Self-Service Vorteile. Durch die Verlagerung der Bereitstellungsprozesse von IT-Diensten an den Ort ihres Bedarfs werden Helpdesk und Administration entlastet und die laufenden Betriebskosten geschont. Antragsteller können mit dem Self-Service-Verfahren auch andere IT-Services wie den Zugriff auf Anwendungen, E-Mail oder die Einrichtung neuer Dateiablagen einfach und transparent, wie ein Buch im Online-Shop, bestellen.
Weitere Informationen zu econet finden Sie unter http://www.econet.de.
X