Identity Management ist die Basis für regulatorische Konformitätsmaßnahmen

Identity Management ist die Basis für regulatorische Konformitätsmaßnahmen Identity Management ist die Basis für Titel : regulatorische Konformitätsmaßnahmen Name: Max Peter Funktion: CEO und Vorstandsvorsitzender Organisation: econet AG Liebe Leserinnen und liebe Leser, IT-Manager müssen sich gegenwärtig einer Vielzahl komplexer Aufgaben jenseits der eigentlichen Anwendungssysteme (Entwicklung und Wartung) stellen: Risiko-Management, Corporate Governance und Compliance sind Stichworte, die diese zusätzlichen Herausforderungen für IT-Manager charakterisieren. Die zunehmende Komplexität bei Anwendungssystemen, Nutzern und Betriebsmittel erschwert dies noch und stellt existierende Lösungsansätze oft in Frage. Um den wachsenden Compliance-Anforderungen schnell und kosteneffizient nachzukommen, sind methodische Ansätze notwendig, die auch einen sukzessiven Ausbau erlauben. Vor allem der Mittelstand braucht solche Lösungen! Zentrale Herausforderung ist dabei das Zugriffs- bzw. Identitätsmanagement. Die econet AG hat nun dementsprechend Lösungen entwickelt, die – so Anspruch der econet AG - mit geringem Aufwand eine Quick-win-Situation unter Risiko-Aspekten schaffen. Am Ende soll dabei ein hoch automatisiertes System stehen, das die Basis für regulatorische Konformitäts-Maßnahmen auf dem Gebiet unternehmensweiter Zugriffsrechte bildet. Dies klingt vielversprechend. So freuen wir uns, dass in diesem E-Interview mit Max Peter, dem CEO und Vorstandsvorsitzenden der econet AG, ein Experte auf diesem Gebiet zu den vielfältigen Fragen Stellung bezieht. Viel Spass beim Lesen wünscht Ihr NetSkill-Team www.competence-site.de Seite 1 Sehr geehrter Herr Peter, Frageblock 1: Compliance & Co als neue Herausforderungen für das IT Management Im letzten Jahrtausend konnten sich IT-Manager vielfach noch auf die Entwicklung und Wartung von Anwendungssysteme konzentrieren. Heute schaffen u.a. Risikomanagement, Corporate Governance und Compliance Anforderungen eine neue Dimension von Komplexität für IT-Manager jenseits der Anwendungen. Wie erleben Sie persönlich in ihren Projekten diese Herausforderungen des IT- Managements in der Praxis. Wie reif ist das IT-Management in der Praxis heute schon bzw. wie souverän gehen IT-Manager mit diesen Herausforderungen um. Wo fehlen noch in der Breite Lösungskonzepte, Werkzeuge und Systeme? Max Peter: Wir treffen bei unseren Gesprächen auf zwei Gruppen von Unternehmen, die sich grundsätzlich unterscheiden: Die einen sind hoch sensibilisiert für Risikomanagement und Fragen der Compliance. Sie stehen meist mit US-Firmen in Geschäftsbeziehung oder haben ein amerikanisches Mutterhaus. Sie wissen genau, was sie tun müssen um Anforderungen an die Informationstechnologie, die sich beispielsweise aus dem Sarbanes-Oxley-Act ergeben, zu erfüllen. Die andere Gruppe denkt in der Praxis kaum über Firewall und Virenscanner hinaus. Sie ist überwältigt von der scheinbaren Fülle und Breite der Anforderungen, von einer diffusen Berichterstattung in den Medien mit dem Ergebnis einer Verunsicherung und Unentschlossenheit im Management. Es fehlt an einer Compliance-Kultur. „Man wisse ja nicht, was mit „EurosSOX“ genau kommt“, hört man immer wieder. Aber man muss nicht auf externe Regulierungsanforderungen und Gerichtsurteile warten, um zu merken, dass man eigentlich schon lange ein Problem hat. Wenn jemand im Unternehmen Missbrauch mit sensiblen Daten treibt, auf die er unberechtigt Zugriff hatte, drohen Imageschäden oder Wettbewerbsnachteile. Erstaunlich ist dabei, dass nach einer Erhebung der Aberdeen Group über 80 Prozent der Befragten der Meinung sind, dass Compliance besonders wichtig für ihr Unternehmen ist. Doch ohne Verankerung einer Compliance-Kultur in den Köpfen, ohne klare Richtlinien und Prozesse sowie deren Umsetzung werden www.competence-site.de Seite 2 Unternehmen nicht in der Lage sein, die Compliance-Anforderungen zu erfüllen. Identity- und Access-Management ist der erste wichtige Schritt in diese Richtung. Frageblock 2: IT-Compliance-Konformität: Relevanz und Schritt für Schritt-Erfolg Eine wesentliche Herausforderung stellt IT-Compliance-Konformität dar. Was ist darunter zu verstehen? Für welche Unternehmen ist dies relevant? Welche Lösungsansätze existieren für Compliance Konformität? Wie unterstützt die econet AG Unternehmen bei dieser Fragestellung? Wie gelingt ein Schritt für Schritt-Erfolg in diese Richtung mit schnellen Erfolgen und geringen Kosten? Max Peter: Das Ziel einer IT-Compliance ist die umfassende Einhaltung der gesetzlichen und vertraglichen Regelungen im Bereich der IT. Compliance fokussiert hier auf die Bereiche Datensicherheit, Verfügbarkeit und Datenschutz. Neben unternehmensinternen Regelungen gibt es immer mehr externe Richtlinien und Gesetze zu erfüllen. Außer dem Bundesdatenschutz- und dem Telekommunikationsgesetz sind es die GDPdU oder auch europäische Richtlinien wie Basel II oder das europäische Pendant zu SOX, die 8. EU-Richtlinie, die bis Ende Juni auch hierzulande in geltendes Recht umzusetzen ist. Die gestiegenen Anforderungen an die IT-Compliance - übrigens auch die verschärften Haftungsregelungen bei Verstößen - betreffen im Grunde alle Unternehmen. Alleine schon aus GmbH- und Aktiengesetz ergeben sich Sorgfaltsforderungen, die dem Management die Betrachtung der eigenen IT unter Risikoaspekten doch sehr ans Herz legen. Themen sind hier die Transparenz bei den Unternehmensprozessen, die ja ohne IT nicht mehr denkbar sind, vor allem die Transparenz bei den IT-Berechtigungen interner wie externer Mitarbeiter. Hier bietet die econet AG großen wie kleineren Unternehmen einen methodischen Ansatz, zum schrittweisen Aufbau von Maßnahmen. Ein wichtiger Anfang ist schon gemacht mit der toolgestützten Beantwortung von www.competence-site.de Seite 3 Fragen wie: Wer hat welche Rechte auf bestimmte Daten im Unternehmen? Oder: Welche Berechtigungen auf Dateiablagen haben sich bei einem Mitarbeiter über die Jahre angesammelt? In einem zweiten Schritt lassen sich auf Basis der alten Datei- und Berechtigungsstrukturen neue, standardisierte erstellen. Bisher war das nur mit erheblichem manuellen Aufwand möglich. Der hat sich zudem als recht fehlerkritisch erwiesen. Werden nach der Migration die Ablagesysteme und Berechtigungen in einem Provisioning-System verwaltet - mit klar definierten Regeln und automatisierten Prozessen - wird die saubere Datenbasis erhalten. Ein solches System zur Verwaltung von Identitäten, Rechten und Ressourcen ist die Basis für regulatorische Konformitäts- Maßnahmen auf dem Gebiet der Zugriffsrechte. [Interessierten empfehlen wir die aktuelle econet-Publikation mit einer Untersuchung von Gartner zum Thema Compliance & Risk Management.] Frageblock 3: Zugriffsrechte, Identitäts-Management, IdM für den Mittelstand Eine zentrale Rolle bei den genannten Fragestellungen nimmt das Zugriffs- bzw. Identitätsmanagement ein. Welche Rolle spielen Zugriffsrechte und das Identitätsmanagement im Zusammenhang mit den oben genannten Fragen. Analysten fordern ein Identitätsmanagement für den Mittelstand. Was genau wird dabei von Analysten gefordert? Max Peter: Die sichere Abwicklung IT-gestützter Geschäfts-Prozesse ist ohne eine wasserdichte Verwaltung und Kontrolle von Zugriffsrechten nicht denkbar. Dabei stellt die zunehmende Unübersichtlichkeit bei Systemen, Anwendern und Ressourcen die bisherige Praxis in Frage. Die automatische und rollenbasierte Vergabe und Rücknahme von Nutzerrechten – das sogenannte User-Provisioning und De- Provisioning – ist die Voraussetzung um unberechtigte Zugriffe zu verhindern. Eine weitere wichtige Aufgabe eines Identitätsmanagements ist die Minimierung von Risiken durch Auditing und Reporting. In einem geeigneten System sind die vergebenen Berechtigungen auf Knopfdruck als Reports verfügbar. Auch die Prozesse der Berechtigungsvergabe sind lückenlos dokumentiert. Verstöße www.competence-site.de Seite 4 durch die Umgehung der definierten Prozesse bei der Berechtigungsvergabe werden erkannt und gehören zur geforderten Risikofrüherkennung. Das gilt für den Mittelstand ebenso wie für große Unternehmen. Die meisten Angebote für den Mittelstand sind jedoch zu sehr Technologie und zu wenig Lösung. Das meint auch der unabhängige Analyst Martin Kuppinger. Dem Mittelstand ginge es nicht um an ihn angepasste Lizenzmodelle, sondern um Best Practices und einen kalkulierbaren Projektaufwand und damit überschaubare, vorher abschätzbare Kosten. econet hat sich über die spezifischen Herausforderungen dieses Marktes Gedanken gemacht und bietet dem Mittelstand eine Lösung mit konfigurierbaren Basisfunktionen für das Provisioning, wahlweise mit User Selfservice inklusive Genehmigungs-Workflows und Reporting-Funktionen. Ergebnisse sind ein geringerer Administrationsaufwand, ein insgesamt effizienterer IT-Betrieb durch die schnelle Erstellung verschiedenster IT- Services und besseres Auditing, Herausforderungen, vor denen natürlich auch der Mittelstand steht. econets Erfahrungen aus anderen Projekten sind in Form von Standardprozessen - Best Practices - in die Softwarelösung implementiert und müssen nicht jedes Mal neu definiert werden. Systemintegratoren, die den Mittelstand jetzt schon bedienen und die deren Prozesse und Systeme kennen, implementieren die Lösung. Und sie stellen sich den höheren Service- Anforderungen, um die interne IT des Mittelstands zu entlasten.