- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Kontrolle von und über Zugriffsberechtigungen


Eine Frage des Zugriffs: Access-Management sorgt für klare Verhältnisse
Nur mithilfe eines funktionierenden Access-Managements lassen sich Rollen und Rechte transparent und nachvollziehbar steuern

- Anzeigen -





Gesetzliche Vorgaben einhalten, IT-Sicherheit gewährleisten und den Datenschutz nicht vernachlässigen – nur ein kleiner Einblick in die Aufgaben und Herausforderungen, die Unternehmen bewältigen müssen. Doch wie lassen sich diese Anforderungen professionell erfüllen? Die Verwaltung von Benutzern und deren Zugriffsberechtigungen nimmt dabei in jeder ganzheitlich ausgerichteten IT-Security-Strategie eine wesentliche Rolle ein. Access-Management ist im Zeitalter von Industrie 4.0 und Internet of Things unverzichtbar.

Heutzutage vernetzt sich jedes Unternehmen vielfach mit Lieferanten, Kunden, Partnern sowie Mitarbeitern und tauscht sämtliche Daten mit diesen aus. Diese weltweite Vernetzung bietet viele Chancen aber auch Risiken: Denn die Zahl virtueller Angriffe mit dem Ziel an geschützte, häufig hoch brisante Daten zu gelangen, steigt stetig.

"Ohne die Kontrolle von und über Zugriffsberechtigungen funktioniert deshalb nichts mehr. Der Mehrwert von konsequentem, transparentem Access-Management stellt die flexible Nutzung von Vernetzungen bei deutlicher Risikominimierung dar", erläutert Dr. Consuela Utsch, Geschäftsführerin der Acuroc Solutions und der AQRO GmbH. "Ein effektives Access-Management führt dazu, dass sich Funktionen, Rollen und damit Verantwortlichkeiten an Veränderungen bei Bedarf automatisch anpassen."

Verzahnt mit dem Betrieb
Beim Access-Management – auch bekannt als Rights- oder Identity-Management – handelt es sich um eine Autorisierungsorganisation zur Steuerung von Zugriffsrechten der Anwender auf einen IT-Service oder ein Anwendungssystem. Nicht erst seit dem Inkrafttreten der neuen EU-Datenschutzgrundverordnung nimmt das Access-Management eine bedeutende Rolle im Lebenszyklus von IT-Anwendungen ein.

"Aspekte der Informationssicherheit sind meist die ausschlaggebenden Treiber für die Entscheidung, einen dezidierten Prozess für die Zugriffssteuerung aufzusetzen", weiß Utsch. "Das Ziel ist dabei eindeutig: Einerseits geht es darum, gesetzliche Vorgaben zu erfüllen sowie insbesondere die IT-Sicherheit in Zeiten eines hohen Vernetzungsgrads mit Externen zu erhöhen und andererseits die verborgenen Chancen in IT-Sicherheit und Datenschutz zu nutzen."

Implementierung nach Maß
Den Prozess für das Access-Management zu etablieren, ist meist nur die Spitze des Eisbergs. Denn eine solide Organisation in diesem Bereich umfasst noch wesentlich mehr Faktoren, die die einzelnen Services und Anwendungssysteme miteinbeziehen. Bei einer Ist-Analyse lassen sich eventuelle Schwachstellen identifizieren und eine Statusaufnahme bestehender Rollen und der Nutzerberechtigungen erstellen. Nach der Aufnahme des Status quo folgt die Definition des Zielbildes – dieses lässt sich basierend auf den Anforderungen von ITIL und der ISO 27001 induzieren. Hieraus erwächst dann die Maßnahmenableitung für das gesamte Unternehmen.

Im vorletzten Schritt folgt die Umsetzung des erarbeiteten Zielbildes. In dieser Phase werden die Regelungen nach Zeithorizont und Effektivität priorisiert. Anschließend müssen die festgelegten Schritte eine genaue Überprüfung erfahren, damit eine nachhaltige Implementierung durch die Etablierung von Prozessen und Standards sichergestellt ist. Während eines IT-Entwicklungsprojektes findet das Role-Engineering statt – die Entwicklung eines dezidierten Rollen- und Rechtekonzepts.

"Ein transparentes, flexibles und pragmatisches Rollenkonzept bildet die essenzielle Grundlage für den Erfolg von Access Management. Unerlässliche Basis für eine erfolgreiche Entwicklung und Implementierung eines solchen Konzepts ist daher ein ausgeprägtes Rollenverständnis in der Organisation – nur so lässt sich die nötige Akzeptanz des Access-Managements erreichen. Fehlt dieses Verständnis oder wird nicht parallel ausgeprägt, steigt die Gefahr, dass das Access Management scheitert. Um dieses kritische Risiko zu minimieren, setzen wir auf Methoden zum rollenbasierten Arbeiten wie AQRO", verdeutlicht die Acuroc-Solutions-Geschäftsführerin. Anschließend erfolgen die technische Abbildung im Neusystem sowie die Einsteuerung nichtfunktionaler Security-relevanter Anforderungen. Danach finden die Etablierung eines Access-Management-Prozesses in den Schritten "Prozessdesign" und "Set-up" der benötigten Dokumente statt. "Wesentlich ist, dass die involvierten Mitarbeiter sicher mit den neuen Elementen umgehen können – was wir durch umfassende Schulungen gewährleisten", sagt Utsch.

Individuelle Bedürfnisse
Nur mithilfe eines funktionierenden Access-Managements lassen sich Rollen und Rechte transparent und nachvollziehbar steuern. Durch die Optimierung in diesem Bereich profitieren Unternehmen von erhöhter Sicherheit ihrer Daten und Systeme. "Wir gehen auf die individuellen Bedürfnisse jedes einzelnen Unternehmens ein und stehen bei Entscheidungen mit unabhängigem Rat zur Seite", betont Utsch. "Dabei gehört zum Angebot im Bereich Access-Management auch die Vernetzung mit anderen Kompetenzen auf den Gebieten Digitalisierung, Transformation, Veränderungs- und Projektmanagement." Ein ganzheitliches Access-Management garantiert umfassende Transparenz bezüglich der Zugriffe und Berechtigungen der Mitarbeiter. So lassen sich effektiv gesetzliche Vorgaben erfüllen und verborgene Chancen in Sachen Datenschutz und IT-Sicherheit für das Unternehmen nutzen. Eine erfolgreiche Autorisierungssteuerung ist längst kein Luxus mehr – sondern notwendig, um den aktuellen Anforderungen gerecht zu werden. (Acuroc Solutions: ra)

eingetragen: 31.05.19
Newsletterlauf: 25.06.19

Acunetix: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Enormer Druck auf die Speicherinfrastruktur

    Wenn es um die Speicherkosten geht, befindet sich die IT-Branche inmitten einer Krise. Denn der schnelle Wandel und die Innovationen im Enterprise Computing-Bereich verursachten im letzten Jahrzehnt einen enormen Druck auf die Speicherinfrastruktur: In den vergangenen Jahren wuchs der Umfang der Unternehmensdaten durchschnittlich um 569 Prozent. Um mit diesem Wachstum mithalten zu können, erweiterten IT-Teams die Speicherkapazitäten, integrierten teure Speicher-Arrays in ihre Umgebungen und implementierten Insellösungen. Obwohl die Speicherebene einen erheblichen Teil des IT-Budgets verschlingt, verursacht sie nach wie vor Probleme und ist Ursache für viele IT-Herausforderungen: Sie kann nicht mit schnellem Datenwachstum Schritt halten, bringt oft einen Vendor Lock-In mit sich, ist wenig interoperabel und sorgt für steigende Hardwarekosten.

  • Cybersicherheit ist jedermanns Verantwortung

    Laut dem neuesten Threats Report von McAfee sind zwei Milliarden Anmeldedaten im Darknet gefunden worden. Auch die Bedrohungen steigen von Jahr zur Jahr an. In 2018 wurden im Durchschnitt 480 Bedrohungen pro Minute identifiziert, während es in diesem Jahr bereits 504 sind. Viele Verbraucher sind sich allerdings noch nicht darüber im Klaren, dass hinter allen diesen Zahlen auch wirklich ein Mensch steht, der nun mit den Folgen von Betrug zu kämpfen hat - diese reichen von finanziellen Schäden bis hin zu Identitätsdiebstahl. Es ist höchste Zeit, dass also jeder seine persönliche Sicherheit im Netz selbst in die Hand nimmt - ganz im Sinne des Mottos des diesjährigen Cybersicherheitsmonat: "Cybersicherheit ist jedermanns Verantwortung."

  • Schutz von digitalen IDs

    Anlässlich des Digitalgipfels der Bundesregierung in Dortmund hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) das Security Framework für digitale Identitäten vorgestellt. Damit kann Deutschland zum Vorreiter bei der Entwicklung sicherer digitaler Identitäten werden, die sowohl hoheitlich als auch privatwirtschaftlich einsetzbar sind. "Ohne digitale Identitäten funktioniert kein Online-Banking, kein Online-Shopping, keine Online-Services bei Behörden und Ämtern und auch kein Posting von Nachrichten in Sozialen Medien. So praktisch sie im digitalen Alltag für jeden Einzelnen geworden sind, so sehr stehen sie auch im Fokus von Cyber-Kriminellen: Identitätsdiebstahl, Fälschungen und die missbräuchliche Verwendung persönlicher Daten sind leider alltäglich geworden. Mit dem neuen Security Framework steuert das BSI hier wirksam dagegen", erklärt BSI-Präsident Arne Schönbohm.

  • IT-Sicherheit bei Fluggesellschaften

    Die IT-Sicherheit in der Flugbranche steht, wie kaum eine andere, tagtäglich einer Mammutaufgabe gegenüber, ihre Systeme vor Ausfällen jeglicher Art zu schützen. Die Flugbranche ist auf sehr vielen Ebene in einem sehr hohen Maß von Technologie abhängig. Nicht nur die Flugzeuge selbst, mit ihren hunderten Systemen, der komplette Prozess von der Buchung, dem Ticketing, mobilen Apps, die Verwaltung von Kundendaten, Gepäcktracking und hunderte weitere Systeme sind daran beteiligt, Flugreisen nicht nur bequem sondern vor allem auch sicher zu machen. Die organisatorische, technologische und logistische Komplexität der Flugbranche stellt an sich natürlich ein Problem dar, denn Hacker haben potenziell sehr viele mögliche Einfallstore, die sie nutzen können, um Schaden anzurichten.

  • Sieben typische Einfallstore für Hacker

    Wer sich erfolgreich gegen Cyber-Kriminelle zur Wehr setzen will, muss ihre Vorgehensweisen kennen. Dell Technologies nimmt den aktuellen European Cyber Security Month (ESCM) zum Anlass, sieben gängige Methoden zu erläutern. Egal ob Großkonzern oder KMU: Immer öfter greifen Hacker deutsche Unternehmen an, um wertvolle Informationen zu stehlen, Systeme zu manipulieren oder Firmendaten zu verschlüsseln und anschließend Lösegeld zu erpressen. Anlässlich des aktuellen "European Cyber Security Month" der Europäischen Union zeigt Dell Technologies sieben typische Methoden auf, die sie dabei anwenden.