PDF (158 KB) - Röckle IT-Sicherheit GmbH
PDF (158 KB) - Röckle IT-Sicherheit GmbH
PDF (158 KB) - Röckle IT-Sicherheit GmbH
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
hin zu eigenen Berechtigungsanträgen der Benutzer, dem so genannten Self-<br />
Provisioning. Die übersichtlichere Administration auf einer gemeinsamen<br />
Infrastruktur verbessert aber auch die Revisionsfähigkeit des Gesamtsystems.<br />
Zum Aufbau der Infrastruktur stehen Software-Werkzeuge zur Verfügung,<br />
welche die administrativen Abläufe plattformübergreifend automatisieren<br />
können. Der Funktionsumfang dieser Software-Werkzeuge variiert stark<br />
hinsichtlich der bestehenden System-Konnektoren, der unterstützten Rollenund<br />
Richtliniensemantik, den vorhandenen Workflows sowie den Möglichkeiten<br />
für Auditing und Kontrolle. Dementsprechend kann solche Software grob in die<br />
Kategorien Metadirectory, rollenbasierte Berechtigungsvergabe und Provisioning<br />
unterteilt werden. Die Produktauswahl ist nach Erfahrung der Autoren ein nicht<br />
zu unterschätzender Projektschritt.<br />
Der Automatisierungsgrad, den ein solches Werkzeug erzielen kann, ist<br />
eng mit Kosten und Aufwand für dessen Einführung verbunden. Auch die<br />
Datenqualität und Fehlertoleranz der angebundenen Systeme spielt hierbei eine<br />
Rolle, eine hundertprozentige Automatisierung ist in der Regel nicht möglich<br />
oder nicht bezahlbar. Der gewünschte Automatisierungsgrad ist deshalb vorab<br />
als Projektziel festzulegen, außerdem sollte man einen eigenen Projektabschnitt<br />
zur Behandlung von Fehlern und Ausnahmesituationen vorsehen.<br />
Ausgangspunkte für die Einführung einer Berechtigungsinfrastruktur sind<br />
in vielen Fällen auch die <strong>IT</strong>-Revision und der Wunsch nach einer Verbesserung<br />
der <strong>IT</strong>-<strong>Sicherheit</strong> des Gesamtsystems. Erfahrungsgemäß muss ein erfolgreiches<br />
Projekt auch die Anforderungen an Kontrolle, Auditing und <strong>IT</strong>-<strong>Sicherheit</strong> bereits<br />
bei der Festlegung der Projektziele möglichst genau definieren. Für Kontrolle<br />
und Auditing erfolgt dies durch die Einbeziehung der <strong>IT</strong>-Revision. Dieser Punkt<br />
darf nicht unterschätzt werden, da die Anforderungen der Revision aus<br />
übergeordneten und nicht modifizierbaren Vorschriften entstehen, die aus<br />
Gesetzen zur Wirtschaftsprüfung oder aus einem betriebsweiten<br />
Risikomanagement herrühren.<br />
Die Verantwortlichkeit für die <strong>IT</strong>-<strong>Sicherheit</strong> des Gesamtsystems ist oft<br />
nicht eindeutig zuzuordnen, sodass sich die Anforderungen nur<br />
bereichsübergreifend erarbeiten lassen. Verbesserungen der <strong>IT</strong>-<strong>Sicherheit</strong><br />
entstehen durch eine Reduktion der Fehlerhäufigkeiten und speziell der<br />
Entfernung nicht (bzw. nicht mehr) gebrauchter Benutzerkonten und<br />
Berechtigungen, dem so genannten De-Provisioning. Ein weiterer Effekt kann<br />
die Reduktion der Anzahl plattformeigener Administratorkonten sein; dem