- Anzeigen -

Sie sind hier: Home » Fachartikel » Entscheidungshilfen

Regelbasiertes Rechtemanagement und Compliance


Identity Management kann die regelbasierte und automatisierte Rechtevergabe gewährleisten
Identity und Access Management ermöglicht Compliance bei Benutzerrechten: Erster Schritt: Scan-Tools geben auf Knopfdruck Auskunft über bestehende Strukturen

(24.10.08) - Compliance ist derzeit in aller Munde. Kein Wunder: In den Medien häufen sich Berichte über Schäden aufgrund mutwilliger Manipulationen oder unbeabsichtigter Verletzungen von Sicherheitsrichtlinien. Neue Vorgaben wie EuroSOX schlagen Wellen.

Die Einhaltung der Vorschriften ist Chefsache, doch die IT trägt einen entscheidenden Teil zur Einhaltung bei. econet, der Münchner Experte für serviceorientiertes Identitätsmanagement, rät Unternehmen, rasch die generischen Voraussetzungen für möglichst viele Compliance-relevante Faktoren zu schaffen. Denn nahezu alle Regularien verlangen hohe Transparenz bei IT-Berechtigungen und deren Vergabe, um jederzeit die Sicherheit interner Prozesse nachweisen zu können.

Zwei Aspekte sind dabei vorrangig:
1. Kontrollierte Rechtevergabe und sicherer Rechteentzug:
Im Falle einer Kontrolle stellen Risk Manager und Auditoren folgende Fragen: Sind die Prozesse definiert? Gibt es ein Mehr-Augen-Prinzip bei der Rechtevergabe für den Zugriff auf sensible Daten oder Systeme? Bleibt eine Rechtevergabe unter Umgehung der definierten Prozesse unentdeckt? Kann ein wasserdichter Rechteentzug (De-Provisioning) – beispielsweise wenn ein Mitarbeiter das Unternehmen verlässt – gewährleistet werden?

Darauf können Unternehmen guten Gewissens gesetzeskonforme Antworten liefern, wenn eine Identity-Management-Lösung die regelbasierte und automatisierte Rechtevergabe gewährleistet und damit auch das De-Provisioning per Knopfdruck ermöglicht.

2. Transparenz bei Berechtigungen und der Rechtevergabe: Für die Beantwortung von Fragen wie "Wer darf was?" und "Wer hat wem Berechtigungen erteilt?" ist Provisioning mit einer Identity-Management-Lösung unabdingbar. Denn erst durch die vordefinierten und automatisiert ablaufenden Prozesse lässt sich eine lückenlose Revision aller Genehmigungsschritte bei der Rechtevergabe bewerkstelligen. Und sowohl die aktuellen als auch die historischen Berechtigungen können damit jederzeit ausgelesen werden.

Was können aber diejenigen tun, die noch keine Identitätsmanagement-Lösung im Einsatz haben und rasch Antworten auf Fragen benötigen wie: "Welche Mitarbeiter haben Schreibrechte auf das Verzeichnis 'Geschäftsbericht 2008'?"

Der erste Schritt zur Compliance
IT-Verantwortliche, die sich an einer Berechtigungsprüfung gewachsener Windows-Dateisysteme versucht haben, wissen, dass die Auswertung und Nachvollziehbarkeit der Berechtigungen mit gewöhnlicher Manpower nicht zu bewerkstelligen ist. Mit geeigneten Tools ist das jedoch kein Problem: Sie geben auf Knopfdruck detailliert Auskunft über alle existierenden Rechte und Benutzer in Windows-Dateisystemen und decken dabei über integrierte Analysen konkrete Risiken und Compliance-Verletzungen auf. Dies kann für viele unter Druck stehende Organisationen der erste Schritt in Richtung Compliance im Bereich Berechtigungsverwaltung sein.

"Die Vergabe von Zugriffsrechten ist mehr denn je ein Thema, das weder Behörden noch Unternehmen dem Zufall oder einzelnen Personen überlassen dürfen. Wir leisten Aufklärungsarbeit, um die Chefetagen wachzurütteln", sagt Max Peter, CEO und Vorstandsvorsitzender der econet AG. "Unternehmen sollten in diesem Punkt dringend auf Experten vertrauen." (econet: ra)


- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Entscheidungshilfen

  • Buchführung ist auch Pflicht für Onlinehändler

    Wie jeder Gewerbetreibende ist auch der Onlinehändler per Gesetz verpflichtet, eine ordnungsgemäße Buchführung vorzunehmen. Zudem ist es elementar für jedes Unternehmen, das Gewinn erwirtschaften will, seine wirtschaftliche Entwicklung stets im Blick zu behalten. Ohne diese Art der Betrachtung werden alle Kosten-/Nutzen-Entscheidungen mehr oder minder aus dem Bauch heraus gefällt.

  • Warum eigentlich Network Access Control?

    Netzwerkzugangskontrolle spielt in der IT eine immer größere Rolle. Der Einsatz unterschiedlichster Endgeräte nimmt rasant zu. Wer sitzt zum Surfen eigentlich noch vor dem PC? Mittlerweile nutzen wir das Smartphone oder Tablet als Zugangsinstrument - das ist komfortabler und handlicher und das überträgt sich bis zum Arbeitsplatz. Die Möglichkeiten und den Komfort, den diese Geräte bieten, erwarten die Mitarbeiter heute und zukünftig auch an ihrem Arbeitsplatz. Gerade die gängigen Endgeräte, wie auch einfache Access Points sind heute so kinderleicht zu bedienen, dass Mitarbeiter ohne weiteres entsprechende "Verteiler" mitbringen, anschließen und betreiben können - ohne, dass es die IT-Abteilung mitbekommen würde. Dem IT-Verantwortlichen läuft es dabei eiskalt den Rücken herunter.

  • Wettbewerbsvorteil Datenschutz

    Der Datenschutz in Deutschland ist aus einem Dornröschenschlaf erwacht. Im Oktober 2015 scheiterte Safe Harbor nach 15 Jahren. Das Abkommen erlaubte es Unternehmen, personenbezogene Daten aus der EU in die USA zu transferieren und dort weiter zu verarbeiten. Eine bindende Nachfolgeregelung gibt es derzeit noch nicht - aktuell haben sich USA und EU vorerst auf ein so genanntes Privacy Shield-Abkommen festgelegt. Zudem haben sich im Dezember 2015 Europarat, Europäisches Parlament und Europäische Kommission auf eine EU-Datenschutzgrundverordnung geeinigt. Eine Geldstrafe in Höhe von 4 Prozent vom globalen Jahresumsatz droht Konzernen ab 2018 bei Verstößen. Unternehmen und Marketers, die sich um den Schutz ihrer Kundendaten kümmern und alle neuen Entwicklungen genauestens verfolgen, sichern sich also ab. Außerdem haben sie das Vertrauen der Kunden und Partner auf ihrer Seite, womit sie einen klaren Wettbewerbsvorteil gewinnen.

  • GDPR - praktische Tipps zur Compliance

    Vor kurzem haben wir einen eher allgemeinen Blick auf die neue Datenschutz-Grundverordnung (GDPR) geworfen, die von der Europäischen Kommission vorgeschlagen wurde. Hier nun die versprochene Fortsetzung. Fangen wir ausnahmsweise ein Mal mit einem Disclaimer an. Dieser Blog ist keine erschöpfende Liste von Beispielen, wie man Compliance erreicht. Wir werden die GDPR aus Sicht des Identity und Access Managements betrachten und erläutern, wo IAM helfen kann, sich dem Sinn und der in der Verordnung liegenden Absicht anzunähern.

  • Ordnung ins Chaos bringen

    Die Formen, die Betrug in Unternehmen heute annimmt, entwickeln sich ständig weiter und ebenso die Maßnahmen und Mittel, die zu ihrer Bekämpfung benötigt werden. Mit der Erschließung neuer Märkte und den sich ständig erweiternden internationalen Netzwerken an Lieferanten, Partnern und Kunden wachsen in gleichem Maße die operativen Risiken für Unternehmen. Eine veränderte Gesetzeslage und die verstärkte öffentliche Wahrnehmung, gepaart mit einem hohen medialen Interesse, führen dazu, dass Korruption und Bestechung nicht nur für multinationale Unternehmen, sondern auch für kleine und mittelständische Unternehmen ein stetig steigendes Reputations- und Finanzrisiko darstellen.