Wer darf was? Zugriffsrechte richtig steuern und sicher verwalten.

Verbessern Sie Ihre IT-Governance durch mehr Kontrolle und Transparenz bei der Verwaltung von Zugriffsberechtigungen

Sicheres Zugriffsmanagement auf IT-Anwendungen ist und bleibt eine große Herausforderung für alle Unternehmen und das nicht erst seit dem Inkrafttreten der Europäischen Datenschutz-Grundverordnung (EU-DSGVO). Die Aufgabe ist bereits unter rein technischen und organisatorischen Gesichtspunkten äußerst komplex. Zusätzlich erschwert wird sie je nach Branche durch die Verpflichtung, regulatorische Anforderungen zu erfüllen. Gerade in der Finanz- und Versicherungsbranche gibt es seit jeher eine Vielzahl gesetzlicher und aufsichtsrechtlicher Vorgaben, die sowohl die Themen Risikodaten und Risikoberichterstattung in den Fokus stellen als auch den Umgang mit Benutzerberechtigungen genauestens regeln.

Nach den bereits sehr spezifisch formulierten Mindestanforderungen an das Risikomanagement von Banken (MaRisk) hat die BaFin mit den „Bankenaufsichtlichen Anforderungen an die IT“ (BAIT) im Oktober 2017 nochmals einen deutlichen Schritt in die Detaillierung von Anforderungen an die Informationstechnologie der Banken getan. Und die DSGVO zieht die Daumenschrauben weiter an und erhöht die Regelungstiefe für die Geschäftsabläufe der Finanzdienstleister nochmals erheblich.

Berechtigungsvergaben für Daten, Netzwerke, Applikationen & Co. sind ein stetig sich wandelndes Gebilde

In unseren Kundengesprächen stellen wir häufig fest, dass die Erfüllung der verschiedenen rechtlichen Anforderungen nicht nur die Finanzbranche mit ihren komplexen IT-Landschaften, sondern auch allgemein viele Unternehmen immer wieder vor große Herausforderungen stellt. IT-Applikationslandschaften wachsen unaufhaltsam und heute ist es normal, dass zahlreiche Mitarbeiter mit ständig wechselnden Zuständigkeiten tagtäglich viele verschiedene Systeme nutzen. Erfahrungsgemäß zeigt sich zudem, dass nicht selten für jede IT-Applikation ein eigenes separates Berechtigungskonzept im Einsatz ist. Ändern sich die Zuständigkeiten innerhalb der Belegschaft, müssen auch die Berechtigungen wieder neu zugeordnet werden, das heißt alte Berechtigungen werden entfernt und neue hinzugefügt. Das führt zwangsläufig zu einer regelrechten Ansammlung von fehlerhaften Berechtigungen, die in der komplexen IT-Landschaft schnell übersehen werden. Je nach Größe des Unternehmens werden somit Berechtigungsverwaltung und Administration zunehmend unbeherrschbar, treiben die involvierten Abteilungen an die Leistungsgrenze und können sogar im völligen Überblicks- und Kontrollverlust enden mit schwerwiegenden Folgen sowohl in Bezug auf die firmeninterne Sicherheit als auch auf Bußgelder.

Sicherheitslücke: zu großzügige Berechtigung

Obwohl sich IT-Verantwortliche und Fachabteilungen der resultierenden und drohenden Gefahren durchaus bewusst sind, arbeitet man dabei erstaunlicherweise häufig immer noch mit isolierten, spezifischen Tools und Sicherheitsrichtlinien und verlässt sich bei der Durchsetzung auf manuelle Prozesse – auch weil es aufgrund der gewachsenen Struktur aus verschiedenen Systemen und Anwendungen oftmals an passenden Lösungen fehlt.

Die manuelle Kontrolle von Zugriffsrechten birgt ein erhöhtes Fehlerrisiko, da Einstellungen in vielen verschiedenen Systemen umständlich und zeitaufwendig ausgelesen, analysiert und aktualisiert werden müssen. Das ist neben dem hohen Fehlerrisiko zudem auch noch kosten-, zeit- und personalintensiv. Dieses Problem hat auch die Union Investment, eine der größten Fondsgesellschaften in Deutschland und Teil der genossenschaftlichen FinanzGruppe, erkannt und suchte nach einer neuen Lösung, um einerseits die strengen Compliance-Richtlinien zu erfüllen und gleichzeitig die Provisionierung und Deprovisionierung von Zugriffsrechten zu verbessern. iC Consult löste das Problem, indem man die Nutzung des bereits vorhandenen Identity Managers ausweitete, um das Access Lifecycle Management für rund 10.000 Active Directory Konten abzudecken. Zur Case-Study Union Investment

Mit einem modularen und skalierbaren Identity and Access Management (IAM) werden IT-Verantwortliche nachweislich entlastet, indem Rechtestrukturen kontinuierlich überprüft, Zugriffsrechte sämtlicher IT-Systeme erfasst und durch Automatisierung der Bereitstellungs- und Entziehungsprozesse Fehler bei der Berechtigungsvergabe reduziert werden. Fach- und IT-Abteilungen können über die im IT-Shop angelegten verschiedenen Rollenmodelle schnell und einfach überprüfen, welcher Mitarbeiter auf welche Daten zugreifen kann und ob er diese Berechtigung auch tatsächlich haben soll. Dank Rollenvorlagen können Anfragen nach Anwendungszugriffen somit risikolos innerhalb kürzester Zeit bewilligt werden. Diese Automatisierung von Identity and Access Governance spart daher Zeit und Kosten und erhöht folglich auch die Mitarbeiterproduktivität. Die klare und übersichtliche Darstellung über Berechtigungszuweisungen, die praktisch auf Knopfdruck zu jedem beliebigen Zeitpunkt möglich ist, bedeutet zudem auch für Auditoren und externe Prüfer eine Vereinfachung der Compliance-Prüfung.

Fazit : Access Governance – clevere Investition in Datenschutz und Sicherheit

Die Zugriffe auf IT-Systeme und Daten müssen unter Berücksichtigung aller geltenden Compliance-Anforderungen effizient und dynamisch gesteuert werden. Ein gut konzeptioniertes Identitäts- und Access Management kann durch die Erhöhung der Prozesseffizienz und die gleichzeitige Reduktion des Administrationsaufwands einen enormen Mehrwert schaffen. Mithilfe eines webbasierten Frontends können Fachabteilungen oder sogar der Anwender selbst beispielsweise Zugriffsrechte anhand von Rollenvorlagen auswählen. Dank intelligenter Policies und der Automatisierung des Beantragungsprozesses können Berechtigungen schneller und sicherer erteilt werden. Die gegebenenfalls nötigen Freigabeprozesse werden dabei automatisch angestoßen. Typische Kritikpunkte von Endanwendern hinsichtlich umständlicher Beantragungsprozesse über mehrere Tools und Medien hinweg oder auch langer Wartezeiten durch träge Freigabe- und Zuweisungsprozesse werden durch ein zentrales Identitäts- und Zugriffsmanagement vollständig aufgelöst. Eine Vereinheitlichung der Access Governance Prozesse wie automatisierte und funktionsgebundene Vergabe und Entzug von Berechtigungen, regelmäßige Rezertifizierungen und ein ständiger Soll-Ist-Abgleich zwischen genehmigten und vergebenen Zugriffsrechten leistet neben der Verbesserung der Usability auch einen nicht zu unterschätzenden Beitrag zur Erhöhung der Compliance.