User Frontend - G+H Netzwerk-Design GmbH
User Frontend - G+H Netzwerk-Design GmbH
User Frontend - G+H Netzwerk-Design GmbH
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>G+H</strong> SoftwareSolutions Donnerstag, 19. Mai 2011<br />
Thomas Gertler<br />
t.gertler@netzwerk-design.de<br />
Sicherheit und Transparenz bei Systemzugriffen
<strong>G+H</strong> SoftwareSolutions<br />
Presse- und Analystenstimmen<br />
Mitarbeiter sind die größten Datendiebe<br />
„..kriminelle Angriffe von außen spielen dagegen nur eine kleine Rolle. Zu diesem Ergebnis kommt eine am Montag in<br />
Frankfurt vorgelegte Umfrage des Beratungs- und Prüfungsunternehmens Ernst & Young. Führungskräfte aus 400<br />
Unternehmen gaben Auskunft. Demnach stammen die Täter in zwei von drei Fällen (66 Prozent) aus der<br />
Belegschaft. Davon seien 44 Prozent eigene und 22 Prozent ehemalige Mitarbeiter, die Interna beim Wechsel zur<br />
Konkurrenz oder in die Selbstständigkeit mitnahmen. Ein weiteres Fünftel (22 Prozent) entfällt auf sonstige..“<br />
Quelle: dpa Mitteilung, veröffentlicht am 16.5.2011 in der CIO<br />
http://www.cio.de/news/wirtschaftsnachrichten/2275373/index.html<br />
Risikofaktor Mitarbeiter: Viele nehmen Daten mit<br />
„ .. ein Angestellter über zehn Millionen Euro entwendete und sich damit ins Ausland abgesetzt hatte. "Gelegenheit<br />
macht Diebe", fällt einem dazu ein. Erst vier Wochen nach Verschwinden des Mitarbeiters wurde der Betrug überhaupt<br />
entdeckt! Ermöglicht wurde das Fehlverhalten, weil der Mitarbeiter zu viele Befugnisse innerhalb des ERP-Systems<br />
(Enterprise Resource Planning) hatte und darüber hinaus keinerlei Prozesskontrollen implementiert waren.“<br />
„ .. ein weiteres Beispiel: „Ein Mitarbeiter verfügt über weitreichende Befugnisse im Bereich Kreditoren. Er veranlasst<br />
nicht nur den Zahlungslauf, sondern darf außerdem Rechnungen buchen und Bankdaten anlegen. Auf ein eigenes<br />
Konto Geld zu transferieren, wäre für ihn ein Leichtes.“<br />
„ .. ein weiteres Beispiel sind Berechtigungen, die quasi "auf Zuruf" erteilt werden und deren Vergabe nicht<br />
protokolliert wird..“<br />
Quelle: Autor Daniel Moos, Capgemini Schweiz AG., veröffentlicht am 3. Apil 2011 im RiskNET®<br />
http://www.risknet.de/risknews/risikofaktor-mitarbeiter-viele-nehmen-daten-mit/f2572eb394b2b1260fe46626d796e733/<br />
2
<strong>G+H</strong> SoftwareSolutions<br />
Presse- und Analystenstimmen<br />
Access Governance als Basis für Informationssicherheit und Compliance<br />
„Die wachsenden Anforderungen interner und externer Prüfer rücken das keineswegs neue Thema<br />
Berechtigungsmanagement wieder ins Blickfeld. Strukturierte, nachvollziehbare Prozesse zur Erstellung, Vergabe<br />
und Prüfung von Berechtigungen sind ein Muss – nicht mehr nur für die effiziente Administration, sondern verstärkt<br />
auch aus Compliance-Sicht..“<br />
Quelle: Autor Martin Kuppinger, veröffentlicht am 18.1.2011 in Searchsecurity<br />
http://www.searchsecurity.de/themenbereiche/identity-und-access-management/user-management-und-provisioning/articles/298518/<br />
Wikileaks als Beleg für fehlendes Information Rights Management<br />
„Wikileaks bewegt die Gemüter: Während die einen die völlige Freigabe von Informationen befürworten, stellen die<br />
Sarah Palins dieser Welt den Wikileaks-Gründer Julian Assange auf eine Stufe mit Osama bin Laden. Aus Security-<br />
Sicht ist aber viel interessanter, warum ein Soldat im Mannschaftsdienstgrad die Dokumente überhaupt<br />
abrufen und weiterleiten konnte.“<br />
Quelle: Autor Martin Kuppinger, veröffentlicht am 10.12.2010 in Searchsecurity<br />
http://www.searchsecurity.de/themenbereiche/identity-und-access-management/user-management-und-provisioning/articles/295556/<br />
Zugriffsberechtigungen sind meist die größte Schwachstelle<br />
„Das kürzlich durch die Medien gegangene Beispiel der Société Générale, bei dem ein Händler Milliarden Euro<br />
verspekuliert hatte, war dabei nur ein Extremfall, in dem offensichtlich ein Einzelner im Laufe der Zeit genug<br />
Zugriffsberechtigungen angesammelt hatte, um sich selbst kontrollieren zu können. Zu viele<br />
Zugriffsberechtigungen und unberechtigte Transaktionen sind für Unternehmen genauso ein Risiko wie<br />
Informationslecks, über die sensitive Informationen an den Wettbewerb oder die Öffentlichkeit gelangen.“<br />
„Viele der IT-Risiken sind eng mit Zugriffsberechtigungen und dem Handeln von Benutzern verbunden..“<br />
Quelle: Autor Martin Kuppinger, veröffentlicht am 27.03.2008 in Searchsecurity<br />
http://www.searchsecurity.de/themenbereiche/sicherheits-management/risk-management/articles/115486/<br />
3
<strong>G+H</strong> SoftwareSolutions<br />
Presse- und Analystenstimmen<br />
Wirtschaftsbetrug durch IT steigt massiv<br />
„ Jedes zweite Unternehmen weltweit plant umfangreichere Ausgaben für IT-Sicherheit als bisher. Kein Wunder,<br />
denn Datendiebstahl ist mittlerweile das größte Risiko überhaupt, hinter dem kriminelle Energie steckt. Das berichtet<br />
Kroll in seiner jährlichen Studie über Wirtschaftsbetrug. Fälle wie Bernie Madoff können Unternehmen in Angst und<br />
Schrecken versetzen. Um 50 Milliarden US-Dollar prellte der ehemalige Finanzmakler seine Anleger und wurde im<br />
vergangenen Jahr in den USA in einem schlagzeilenträchtigen Prozess zu 150 Jahren Haft verurteilt. Derlei<br />
Machenschaften können Firmen ausbluten lassen. Da klingt eine Bemerkung im neuen Kriminalitätsreport von Kroll<br />
doch ganz tröstlich:..„<br />
„ 28 Prozent der Befragten nennen die Komplexität der IT Infrastruktur als wichtigsten Risikofaktor in ihrem<br />
Unternehmen..“<br />
Quelle: Autor Werner Kurzelechner, veröffentlicht am 31.11.2010 in der CIO<br />
http://www.cio.de/knowledgecenter/security/2252993/index3.html<br />
4
<strong>G+H</strong> SoftwareSolutions<br />
Sicherheit und Transparenz bei System- und Zugriffsrechten<br />
Egal, ob Großkonzern oder mittleres Unternehmen, viel zu oft fehlt der<br />
Überblick, wer eigentlich mit welchen Berechtigungen auf welche Daten<br />
zugreifen kann.<br />
Dabei unterliegt gerade diese Problematik heutzutage strengen gesetzlichen<br />
Auflagen (Sarbanes-Oxley, EuroSOX, BDSG uvm.)<br />
5
<strong>G+H</strong> SoftwareSolutions<br />
daccord Kernfunktionen<br />
• daccord wertet die gesamten Zugriffberechtigungen aller Systeme<br />
langfristig aus<br />
• daccord stellt vom Gesetzgeber oder intern geforderte<br />
Berechtigungsnachweise automatisiert bereit<br />
• daccord benachrichtigt automatisch bei Rechteverletzungen<br />
• daccord unterstützt Rezertifizierungsprozesse von Berechtigungen<br />
• daccord stellt Anwendern, Auditoren, Vorgesetzten und<br />
Datenverantwortlichen Rechtestrukturen verständlich dar<br />
• daccord reduziert Kosten bei aufwändigen Rechteanalysen<br />
• daccord gibt einen transparenten Überblick über genutzte Lizenzen<br />
6
<strong>G+H</strong> SoftwareSolutions<br />
Architektur und Systemkomponenten<br />
7
<strong>G+H</strong> SoftwareSolutions<br />
Datenmodell<br />
8
<strong>G+H</strong> SoftwareSolutions<br />
Collector Engine - Kernfunktionen<br />
• Überträgt alle relevanten Daten (<strong>User</strong>, Rechte, Rechtezuweisungen) aus<br />
den Zielsystem in das zentrale daccord System.<br />
• Analysiert und speichert die Änderungen an den Daten (Historie)<br />
• Konvertiert die unterschiedlichen Daten in auswertbare Informationen<br />
• Verknüpft <strong>User</strong> und Rechte mit der natürlichen Person<br />
9
<strong>G+H</strong> SoftwareSolutions<br />
Collector Engine - Anbindungen<br />
Die Collector Engine bietet ein einfaches und flexibles Modell zur Anbindung<br />
von System über eine beliebige Anzahl an Connectoren und Connectortypen.<br />
Aktuell verfügbar :<br />
• Microsoft Active Directory Connector<br />
• Novell eDirectory Connector<br />
• CSV Connector (oft SAP genutzt)<br />
• JDBC Connector<br />
• Oracle JDBC Connector<br />
• FLT (Fixed Length) Connector (oft für Mainframes genutzt)<br />
• XML Konnektor<br />
• Weitere in Vorbereitung (z.B. WebService Connector)<br />
10 10
<strong>G+H</strong> SoftwareSolutions<br />
Collector Engine - Aktionen<br />
Die Collector Engine kann auf Ereignisse aktiv reagieren und festgelegte<br />
Aktionen automatisch durchführen.<br />
• z.B. das Löschen aller historischen Daten zu einer Person<br />
• z.B. die automatische Benachrichtigung an den Administrator, wenn ein<br />
Import von Daten fehlgeschlagen ist.<br />
Eine beliebige Anzahl von Aktionen und Aktionstypen sind möglich.<br />
Aktuelle Verfügbar sind :<br />
• Mail Action (bspw. automatisierte Benachrichtigung per E-Mail)<br />
• JDBC Action (bspw. automatisierter Aufruf einer Datenbereinigung)<br />
• Report Action (bspw. automatisierte Reporterstellung)<br />
• Export/Import Action<br />
• Weitere in Vorbereitung (z.B. Batch Job Aktion, Web Service Aktion)<br />
11 11
<strong>G+H</strong> SoftwareSolutions<br />
<strong>User</strong> <strong>Frontend</strong><br />
• Übersichtliche Darstellung der Informationen für Endanwender (Mitarbeiter,<br />
Revisoren, Vorgesetzte usw.)<br />
• Mehrsprachige webbasierte Anwendung, unterstützt alle gängigen Browser<br />
• Generierung von aktuellen Reports<br />
• Unterstützung für einen Vertretungsmodus<br />
• z.B. Welche Identität hat welche Accounts (Benutzerkonten) in den<br />
Unternehmenssystemen?<br />
• z.B. Wer hat welche Berechtigungen in den Unternehmenssystemen?<br />
• z.B. Verantwortliche für Systeme, Anwendungen und Rechte erhalten einen<br />
Überblick über Benutzer und deren Rechte in den zu verantwortenden<br />
Systemen.<br />
• z.B. Vorgesetzte erhalten einen Überblick über ihre Mitarbeiter und deren<br />
Rechte in Unternehmenssystemen.<br />
12 12
<strong>G+H</strong> SoftwareSolutions<br />
<strong>User</strong> <strong>Frontend</strong><br />
13 13
<strong>G+H</strong> SoftwareSolutions<br />
<strong>User</strong> <strong>Frontend</strong> - Meine <strong>User</strong>IDs und Berechtigungen (1)<br />
Der Anwender erhält übersichtlich und verständlich alle Informationen zu<br />
seinen Konten und Berechtigungen.<br />
• Sind mein Konten noch gültig?<br />
• Habe ich Berechtigungen, die ich gar nicht haben dürfte?<br />
• Habe ich alle benötigten Konten und Berechtigungen?<br />
14 14
<strong>G+H</strong> SoftwareSolutions<br />
<strong>User</strong> <strong>Frontend</strong> - Meine <strong>User</strong>IDs und Berechtigungen (2)<br />
15<br />
15
<strong>G+H</strong> SoftwareSolutions<br />
<strong>User</strong> <strong>Frontend</strong> - Rechte, die ich verwalte (1)<br />
Datenverantwortliche und Auditoren erhalten in der Ansicht Berechtigungen,<br />
die ich verwalte alle notwendigen Informationen über bestimmte Rechte, für<br />
die Sie verantwortlich sind.<br />
• Wer arbeitet mit meiner Anwendung?<br />
• Haben Anwender eventuell zu viele Rechte in meiner Anwendung?<br />
• Wer hat Zugriff auf sensitive Daten?<br />
16 16
<strong>G+H</strong> SoftwareSolutions<br />
<strong>User</strong> <strong>Frontend</strong> - Rechte, die ich verwalte (2)<br />
17 17
<strong>G+H</strong> SoftwareSolutions<br />
<strong>User</strong> <strong>Frontend</strong> - Mitarbeiter, die ich verwalte (1)<br />
Personalverantwortliche können über die Ansicht Mitarbeiter, die ich verwalte<br />
ihnen zugewiesene Personen und deren Rechte einsehen und beurteilen.<br />
• Haben ehemalige Mitarbeiter von mir noch Berechtigungen?<br />
• Haben ehemalige externe Mitarbeiter noch Konten und<br />
Zugriffsberechtigungen?<br />
• Haben meine Mitarbeiter die benötigten Recht (z.B. nach einem internen<br />
Stellenwechsel)?<br />
18 18
<strong>G+H</strong> SoftwareSolutions<br />
<strong>User</strong> <strong>Frontend</strong> - Mitarbeiter, die ich verwalte (2)<br />
19 19
<strong>G+H</strong> SoftwareSolutions<br />
Notification Engine<br />
Über die integrierte Benachrichtigungs- und Reporting Engine lassen sich alle<br />
Informationen dynamisch auswerten und können über vorgefertigte Reports<br />
übersichtlich dargestellt bzw. automatisiert abgelegt und versendet werden.<br />
Beispiele:<br />
• Jeden Monat erhalten Abteilungsleiter einen Report über alle<br />
Zugangsberechtigungen ihrer Mitarbeiter<br />
• wenn bei externen Mitarbeitern kein Austrittsdatum identifiziert wurde. Hier<br />
kann optional eine Verfahrensanweisung (Was ist zu tun?) und ein Report<br />
über diesen ermittelten externen Mitarbeiter angehängt werden.<br />
• Bei einem erkannten Rechteverstoß werden die Verantwortlichen<br />
benachrichtigt<br />
• Nachhaltige Ablage der Information über Zugriffberechtigte in einem Archiv<br />
20 20
<strong>G+H</strong> SoftwareSolutions<br />
Notification Engine - Benachrichtigungen (1)<br />
Die Notification Engine bietet ein einfaches und flexibles Modell zur<br />
Benachrichtigungen über eine beliebige Anzahl an Benachrichtigungs-typen.<br />
Aktuell verfügbar :<br />
• Mail Benachrichtigung (eMail mit dynamischem Inhalt und einer beliebiger<br />
Anzahl von Anhängen)<br />
• Mail Report Benachrichtigung (eMail mit dynamischem Inhalt und einer<br />
beliebiger Anzahl von Anhängen und einer beliebigen Anzahl von<br />
angehängten, dynamisch generierten Reports)<br />
• Notes Workflow Benachrichtigung<br />
• Weitere in Vorbereitung (z.B. Webservice Notification)<br />
21 21
<strong>G+H</strong> SoftwareSolutions<br />
Notification Engine - Benachrichtigungen (2)<br />
22 22
<strong>G+H</strong> SoftwareSolutions<br />
Admin <strong>Frontend</strong><br />
• Webbasiertes administratives <strong>Frontend</strong> für alle Komponenten<br />
• Überwachung der Funktionen<br />
• Analyse und Auswertung von Problemen<br />
• Analyse und administration der daccord Daten<br />
23 23
<strong>G+H</strong> SoftwareSolutions<br />
Admin <strong>Frontend</strong> - Screenshots<br />
24 24
<strong>G+H</strong> SoftwareSolutions<br />
Sicherheit und Transparenz bei Systemzugriffen ?<br />
25 25