13.11.2014 • Aufrufe

PDF (158 KB) - Röckle IT-Sicherheit GmbH

ePAPER HERUNTERLADEN

roeckle.info

Erfolgreiche ePaper selbst erstellen

Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.

JETZT STARTEN

hin zu eigenen Berechtigungsanträgen der Benutzer, dem so genannten Self-

Provisioning. Die übersichtlichere Administration auf einer gemeinsamen

Infrastruktur verbessert aber auch die Revisionsfähigkeit des Gesamtsystems.

Zum Aufbau der Infrastruktur stehen Software-Werkzeuge zur Verfügung,

welche die administrativen Abläufe plattformübergreifend automatisieren

können. Der Funktionsumfang dieser Software-Werkzeuge variiert stark

hinsichtlich der bestehenden System-Konnektoren, der unterstützten Rollenund

Richtliniensemantik, den vorhandenen Workflows sowie den Möglichkeiten

für Auditing und Kontrolle. Dementsprechend kann solche Software grob in die

Kategorien Metadirectory, rollenbasierte Berechtigungsvergabe und Provisioning

unterteilt werden. Die Produktauswahl ist nach Erfahrung der Autoren ein nicht

zu unterschätzender Projektschritt.

Der Automatisierungsgrad, den ein solches Werkzeug erzielen kann, ist

eng mit Kosten und Aufwand für dessen Einführung verbunden. Auch die

Datenqualität und Fehlertoleranz der angebundenen Systeme spielt hierbei eine

Rolle, eine hundertprozentige Automatisierung ist in der Regel nicht möglich

oder nicht bezahlbar. Der gewünschte Automatisierungsgrad ist deshalb vorab

als Projektziel festzulegen, außerdem sollte man einen eigenen Projektabschnitt

zur Behandlung von Fehlern und Ausnahmesituationen vorsehen.

Ausgangspunkte für die Einführung einer Berechtigungsinfrastruktur sind

in vielen Fällen auch die IT-Revision und der Wunsch nach einer Verbesserung

der IT-Sicherheit des Gesamtsystems. Erfahrungsgemäß muss ein erfolgreiches

Projekt auch die Anforderungen an Kontrolle, Auditing und IT-Sicherheit bereits

bei der Festlegung der Projektziele möglichst genau definieren. Für Kontrolle

und Auditing erfolgt dies durch die Einbeziehung der IT-Revision. Dieser Punkt

darf nicht unterschätzt werden, da die Anforderungen der Revision aus

übergeordneten und nicht modifizierbaren Vorschriften entstehen, die aus

Gesetzen zur Wirtschaftsprüfung oder aus einem betriebsweiten

Risikomanagement herrühren.

Die Verantwortlichkeit für die IT-Sicherheit des Gesamtsystems ist oft

nicht eindeutig zuzuordnen, sodass sich die Anforderungen nur

bereichsübergreifend erarbeiten lassen. Verbesserungen der IT-Sicherheit

entstehen durch eine Reduktion der Fehlerhäufigkeiten und speziell der

Entfernung nicht (bzw. nicht mehr) gebrauchter Benutzerkonten und

Berechtigungen, dem so genannten De-Provisioning. Ein weiterer Effekt kann

die Reduktion der Anzahl plattformeigener Administratorkonten sein; dem

Empfehlungen
Info

hin zu eigenen Berechtigungsanträgen der Benutzer, dem so genannten Self- Provisioning. Die übersichtlichere Administration auf einer gemeinsamen Infrastruktur verbessert aber auch die Revisionsfähigkeit des Gesamtsystems. Zum Aufbau der Infrastruktur stehen Software-Werkzeuge zur Verfügung, welche die administrativen Abläufe plattformübergreifend automatisieren können. Der Funktionsumfang dieser Software-Werkzeuge variiert stark hinsichtlich der bestehenden System-Konnektoren, der unterstützten Rollenund Richtliniensemantik, den vorhandenen Workflows sowie den Möglichkeiten für Auditing und Kontrolle. Dementsprechend kann solche Software grob in die Kategorien Metadirectory, rollenbasierte Berechtigungsvergabe und Provisioning unterteilt werden. Die Produktauswahl ist nach Erfahrung der Autoren ein nicht zu unterschätzender Projektschritt. Der Automatisierungsgrad, den ein solches Werkzeug erzielen kann, ist eng mit Kosten und Aufwand für dessen Einführung verbunden. Auch die Datenqualität und Fehlertoleranz der angebundenen Systeme spielt hierbei eine Rolle, eine hundertprozentige Automatisierung ist in der Regel nicht möglich oder nicht bezahlbar. Der gewünschte Automatisierungsgrad ist deshalb vorab als Projektziel festzulegen, außerdem sollte man einen eigenen Projektabschnitt zur Behandlung von Fehlern und Ausnahmesituationen vorsehen. Ausgangspunkte für die Einführung einer Berechtigungsinfrastruktur sind in vielen Fällen auch die IT-Revision und der Wunsch nach einer Verbesserung der IT-Sicherheit des Gesamtsystems. Erfahrungsgemäß muss ein erfolgreiches Projekt auch die Anforderungen an Kontrolle, Auditing und IT-Sicherheit bereits bei der Festlegung der Projektziele möglichst genau definieren. Für Kontrolle und Auditing erfolgt dies durch die Einbeziehung der IT-Revision. Dieser Punkt darf nicht unterschätzt werden, da die Anforderungen der Revision aus übergeordneten und nicht modifizierbaren Vorschriften entstehen, die aus Gesetzen zur Wirtschaftsprüfung oder aus einem betriebsweiten Risikomanagement herrühren. Die Verantwortlichkeit für die IT-Sicherheit des Gesamtsystems ist oft nicht eindeutig zuzuordnen, sodass sich die Anforderungen nur bereichsübergreifend erarbeiten lassen. Verbesserungen der IT-Sicherheit entstehen durch eine Reduktion der Fehlerhäufigkeiten und speziell der Entfernung nicht (bzw. nicht mehr) gebrauchter Benutzerkonten und Berechtigungen, dem so genannten De-Provisioning. Ein weiterer Effekt kann die Reduktion der Anzahl plattformeigener Administratorkonten sein; dem

stehen allerdings neue Datenspeicher und Zugangsmechanismen für sensitive Authentifizierungs- und Berechtigungsinformationen gegenüber. Deshalb gilt es, die gewünschten Effekte zur IT-Sicherheit detailliert abzuschätzen und die Infrastruktur selbst möglichst sicher aufzubauen und durch wirksame Maßnahmen zu schützen. Die Anforderungen an die IT- Sicherheit der Infrastruktur sind in der Planungsphase zu vereinbaren und als Projektziel festzuschreiben. Dasselbe gilt für die Ziele der Datenqualität an den zentral einzurichtenden Datenbeständen. Gesamtsicht Infrastrukturen zum Identitäts- und Berechtigungsmanagement sind in die verschiedensten Daten- und Organisationsstrukturen eines Unternehmens eingebunden. Dadurch können in vielerlei Hinsicht Abhängigkeiten entstehen, die für die Durchführung des Projektes wesentlich sind. Bei den technischen Komponenten werden diese Abhängigkeiten besonders deutlich, sind aber meistens durch Standardmethoden zu erfassen und zu bewältigen. Mit Hinblick auf beteiligte Personen stellen sich die Abhängigkeiten oft wesentlich komplexer dar: Beteiligt sind möglicherweise Administratoren, Verantwortliche und Benutzer betroffener Systeme, die im Hinblick auf Veränderungen jeweils andere Interessen und Hintergründe besitzen. Einbettung und Abgrenzung des Identitäts- und Berechtigungsmanagements Benutzerinformationen können in Verzeichnissen auf den verschiedensten Systemen vorliegen (z. B. im Personalwesen, in Applikationen, Abteilungslisten oder Telefonverzeichnissen) und unterliegen dort völlig

Seite 1 und 2: Who is who? Erfolgsfaktoren im Iden
Seite 3: Projektziele Infrastrukturen zum Id
Seite 7 und 8: Diese Interessen bieten viele offen

PDF (158 KB) - Röckle IT-Sicherheit GmbH

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?