Identity Management ist die Basis für regulatorische Konformitätsmaßnahmen

Identity Management ist die Basis für regulatorische
Konformitätsmaßnahmen
                              Identity Management ist die Basis für
             Titel :
                              regulatorische Konformitätsmaßnahmen
             Name:            Max Peter
             Funktion:        CEO und Vorstandsvorsitzender

             Organisation:    econet AG



Liebe Leserinnen und liebe Leser,
IT-Manager müssen sich gegenwärtig einer Vielzahl komplexer Aufgaben
jenseits der eigentlichen Anwendungssysteme (Entwicklung und Wartung)
stellen: Risiko-Management, Corporate Governance und Compliance sind
Stichworte, die diese zusätzlichen  Herausforderungen für IT-Manager
charakterisieren. Die zunehmende Komplexität bei Anwendungssystemen,
Nutzern und Betriebsmittel erschwert dies noch und stellt existierende
Lösungsansätze oft in Frage.

Um den wachsenden Compliance-Anforderungen schnell und kosteneffizient
nachzukommen, sind methodische Ansätze notwendig, die auch einen
sukzessiven Ausbau erlauben. Vor allem der Mittelstand braucht solche
Lösungen! Zentrale Herausforderung ist dabei das Zugriffs- bzw.
Identitätsmanagement.
Die econet AG hat nun dementsprechend Lösungen entwickelt, die – so
Anspruch der econet AG - mit geringem Aufwand eine Quick-win-Situation unter
Risiko-Aspekten schaffen. Am Ende soll dabei ein hoch automatisiertes System
stehen, das die Basis für regulatorische Konformitäts-Maßnahmen auf dem
Gebiet unternehmensweiter Zugriffsrechte bildet. Dies klingt vielversprechend.
So freuen wir uns, dass in diesem E-Interview mit Max Peter, dem CEO und
Vorstandsvorsitzenden der econet AG, ein Experte auf diesem Gebiet zu den
vielfältigen Fragen Stellung bezieht.

Viel Spass beim Lesen wünscht
Ihr NetSkill-Team



 www.competence-site.de                                             Seite 1
Sehr geehrter Herr Peter,

Frageblock 1:
Compliance & Co als neue Herausforderungen für das IT Management
Im letzten Jahrtausend konnten sich IT-Manager vielfach noch auf die
Entwicklung und Wartung von Anwendungssysteme konzentrieren. Heute
schaffen u.a. Risikomanagement, Corporate Governance und Compliance
Anforderungen eine neue Dimension von Komplexität für IT-Manager jenseits
der Anwendungen.

Wie erleben Sie persönlich in ihren Projekten diese Herausforderungen des IT-
Managements in der Praxis. Wie reif ist das IT-Management in der Praxis heute
schon bzw. wie souverän gehen IT-Manager mit diesen Herausforderungen um.
Wo fehlen noch in der Breite Lösungskonzepte, Werkzeuge und Systeme?

Max Peter:
            Wir treffen bei unseren Gesprächen auf zwei Gruppen von
            Unternehmen, die sich grundsätzlich unterscheiden: Die einen sind
            hoch sensibilisiert für Risikomanagement und Fragen der
            Compliance.     Sie    stehen     meist    mit    US-Firmen     in
            Geschäftsbeziehung oder haben ein amerikanisches Mutterhaus.
Sie wissen genau, was sie tun müssen um Anforderungen an die
Informationstechnologie, die sich beispielsweise aus dem Sarbanes-Oxley-Act
ergeben, zu erfüllen. Die andere Gruppe denkt in der Praxis kaum über Firewall
und Virenscanner hinaus. Sie ist überwältigt von der scheinbaren Fülle und
Breite der Anforderungen, von einer diffusen Berichterstattung in den Medien
mit dem Ergebnis einer Verunsicherung und Unentschlossenheit im
Management. Es fehlt an einer Compliance-Kultur. „Man wisse ja nicht, was mit
„EurosSOX“ genau kommt“, hört man immer wieder. Aber man muss nicht auf
externe Regulierungsanforderungen und Gerichtsurteile warten, um zu merken,
dass man eigentlich schon lange ein Problem hat. Wenn jemand im
Unternehmen Missbrauch mit sensiblen Daten treibt, auf die er unberechtigt
Zugriff hatte, drohen Imageschäden oder Wettbewerbsnachteile. Erstaunlich ist
dabei, dass nach einer Erhebung der Aberdeen Group über 80 Prozent der
Befragten der Meinung sind, dass Compliance besonders wichtig für ihr
Unternehmen ist. Doch ohne Verankerung einer Compliance-Kultur in den
Köpfen, ohne klare Richtlinien und Prozesse sowie deren Umsetzung werden


 www.competence-site.de                                             Seite 2
Unternehmen nicht in der Lage sein, die Compliance-Anforderungen zu erfüllen.
Identity- und Access-Management ist der erste wichtige Schritt in diese
Richtung.


Frageblock 2:
IT-Compliance-Konformität: Relevanz und Schritt für Schritt-Erfolg
Eine wesentliche Herausforderung stellt IT-Compliance-Konformität dar.

Was ist darunter zu verstehen? Für welche Unternehmen ist dies relevant?
Welche Lösungsansätze existieren für Compliance Konformität? Wie unterstützt
die econet AG Unternehmen bei dieser Fragestellung? Wie gelingt ein Schritt
für Schritt-Erfolg in diese Richtung mit schnellen Erfolgen und geringen Kosten?


Max Peter:
            Das Ziel einer IT-Compliance ist die umfassende Einhaltung der
            gesetzlichen und vertraglichen Regelungen im Bereich der IT.
            Compliance fokussiert hier auf die Bereiche Datensicherheit,
            Verfügbarkeit und Datenschutz. Neben unternehmensinternen
            Regelungen gibt es immer mehr externe Richtlinien und Gesetze zu
erfüllen. Außer dem Bundesdatenschutz- und dem Telekommunikationsgesetz
sind es die GDPdU oder auch europäische Richtlinien wie Basel II oder das
europäische Pendant zu SOX, die 8. EU-Richtlinie, die bis Ende Juni auch
hierzulande in geltendes Recht umzusetzen ist.


Die gestiegenen Anforderungen an die IT-Compliance - übrigens auch die
verschärften Haftungsregelungen bei Verstößen - betreffen im Grunde alle
Unternehmen. Alleine schon aus GmbH- und Aktiengesetz ergeben sich
Sorgfaltsforderungen, die dem Management die Betrachtung der eigenen IT
unter Risikoaspekten doch sehr ans Herz legen. Themen sind hier die
Transparenz bei den Unternehmensprozessen, die ja ohne IT nicht mehr
denkbar sind, vor allem die Transparenz bei den IT-Berechtigungen interner wie
externer Mitarbeiter.


Hier bietet die econet AG großen wie kleineren Unternehmen einen
methodischen Ansatz, zum schrittweisen Aufbau von Maßnahmen. Ein
wichtiger Anfang ist schon gemacht mit der toolgestützten Beantwortung von


 www.competence-site.de                                               Seite 3
Fragen wie: Wer hat welche Rechte auf bestimmte Daten im Unternehmen?
Oder: Welche Berechtigungen auf Dateiablagen haben sich bei einem
Mitarbeiter über die Jahre angesammelt? In einem zweiten Schritt lassen sich
auf Basis der alten Datei- und Berechtigungsstrukturen neue, standardisierte
erstellen. Bisher war das nur mit erheblichem manuellen Aufwand möglich. Der
hat sich zudem als recht fehlerkritisch erwiesen. Werden nach der Migration die
Ablagesysteme und Berechtigungen in einem Provisioning-System verwaltet -
mit klar definierten Regeln und automatisierten Prozessen - wird die saubere
Datenbasis erhalten. Ein solches System zur Verwaltung von Identitäten,
Rechten und Ressourcen ist die Basis für regulatorische Konformitäts-
Maßnahmen auf dem Gebiet der Zugriffsrechte. [Interessierten empfehlen wir
die aktuelle econet-Publikation mit einer Untersuchung von Gartner zum Thema
Compliance & Risk Management.]


Frageblock 3:
Zugriffsrechte, Identitäts-Management, IdM für den Mittelstand
Eine zentrale Rolle bei den genannten Fragestellungen nimmt das Zugriffs-
bzw. Identitätsmanagement ein.

Welche Rolle spielen Zugriffsrechte und das Identitätsmanagement im
Zusammenhang mit den oben genannten Fragen. Analysten fordern ein
Identitätsmanagement für den Mittelstand. Was genau wird dabei von Analysten
gefordert?

Max Peter:
           Die sichere Abwicklung IT-gestützter Geschäfts-Prozesse ist ohne
           eine wasserdichte Verwaltung und Kontrolle von Zugriffsrechten
           nicht denkbar. Dabei stellt die zunehmende Unübersichtlichkeit bei
           Systemen, Anwendern und Ressourcen die bisherige Praxis in
           Frage. Die automatische und rollenbasierte Vergabe und
Rücknahme von Nutzerrechten – das sogenannte User-Provisioning und De-
Provisioning – ist die Voraussetzung um unberechtigte Zugriffe zu verhindern.
Eine weitere wichtige Aufgabe eines Identitätsmanagements ist die Minimierung
von Risiken durch Auditing und Reporting. In einem geeigneten System sind die
vergebenen Berechtigungen auf Knopfdruck als Reports verfügbar. Auch die
Prozesse der Berechtigungsvergabe sind lückenlos dokumentiert. Verstöße



 www.competence-site.de                                              Seite 4
durch die Umgehung der definierten Prozesse bei der Berechtigungsvergabe
werden erkannt und gehören zur geforderten Risikofrüherkennung.


Das gilt für den Mittelstand ebenso wie für große Unternehmen. Die meisten
Angebote für den Mittelstand sind jedoch zu sehr Technologie und zu wenig
Lösung. Das meint auch der unabhängige Analyst Martin Kuppinger. Dem
Mittelstand ginge es nicht um an ihn angepasste Lizenzmodelle, sondern um
Best Practices und einen kalkulierbaren Projektaufwand und damit
überschaubare, vorher abschätzbare Kosten.


econet hat sich über die spezifischen Herausforderungen dieses Marktes
Gedanken gemacht und bietet dem Mittelstand eine Lösung mit
konfigurierbaren Basisfunktionen für das Provisioning, wahlweise mit User
Selfservice inklusive Genehmigungs-Workflows und Reporting-Funktionen.
Ergebnisse sind ein geringerer Administrationsaufwand, ein insgesamt
effizienterer IT-Betrieb durch die schnelle Erstellung verschiedenster IT-
Services und besseres Auditing, Herausforderungen, vor denen natürlich auch
der Mittelstand steht. econets Erfahrungen aus anderen Projekten sind in Form
von Standardprozessen - Best Practices - in die Softwarelösung implementiert
und müssen nicht jedes Mal neu definiert werden. Systemintegratoren, die den
Mittelstand jetzt schon bedienen und die deren Prozesse und Systeme kennen,
implementieren die Lösung. Und sie stellen sich den höheren Service-
Anforderungen, um die interne IT des Mittelstands zu entlasten.

Lesen Sie weiter im PDF