User Frontend - G+H Netzwerk-Design GmbH

G+H SoftwareSolutions Donnerstag, 19. Mai 2011
Thomas Gertler
t.gertler@netzwerk-design.de
Sicherheit und Transparenz bei Systemzugriffen

G+H SoftwareSolutions
Presse- und Analystenstimmen
Mitarbeiter sind die größten Datendiebe
„..kriminelle Angriffe von außen spielen dagegen nur eine kleine Rolle. Zu diesem Ergebnis kommt eine am Montag in
Frankfurt vorgelegte Umfrage des Beratungs- und Prüfungsunternehmens Ernst & Young. Führungskräfte aus 400
Unternehmen gaben Auskunft. Demnach stammen die Täter in zwei von drei Fällen (66 Prozent) aus der
Belegschaft. Davon seien 44 Prozent eigene und 22 Prozent ehemalige Mitarbeiter, die Interna beim Wechsel zur
Konkurrenz oder in die Selbstständigkeit mitnahmen. Ein weiteres Fünftel (22 Prozent) entfällt auf sonstige..“
Quelle: dpa Mitteilung, veröffentlicht am 16.5.2011 in der CIO
http://www.cio.de/news/wirtschaftsnachrichten/2275373/index.html
Risikofaktor Mitarbeiter: Viele nehmen Daten mit
„ .. ein Angestellter über zehn Millionen Euro entwendete und sich damit ins Ausland abgesetzt hatte. "Gelegenheit
macht Diebe", fällt einem dazu ein. Erst vier Wochen nach Verschwinden des Mitarbeiters wurde der Betrug überhaupt
entdeckt! Ermöglicht wurde das Fehlverhalten, weil der Mitarbeiter zu viele Befugnisse innerhalb des ERP-Systems
(Enterprise Resource Planning) hatte und darüber hinaus keinerlei Prozesskontrollen implementiert waren.“
„ .. ein weiteres Beispiel: „Ein Mitarbeiter verfügt über weitreichende Befugnisse im Bereich Kreditoren. Er veranlasst
nicht nur den Zahlungslauf, sondern darf außerdem Rechnungen buchen und Bankdaten anlegen. Auf ein eigenes
Konto Geld zu transferieren, wäre für ihn ein Leichtes.“
„ .. ein weiteres Beispiel sind Berechtigungen, die quasi "auf Zuruf" erteilt werden und deren Vergabe nicht
protokolliert wird..“
Quelle: Autor Daniel Moos, Capgemini Schweiz AG., veröffentlicht am 3. Apil 2011 im RiskNET®
http://www.risknet.de/risknews/risikofaktor-mitarbeiter-viele-nehmen-daten-mit/f2572eb394b2b1260fe46626d796e733/
2

G+H SoftwareSolutions
Presse- und Analystenstimmen
Access Governance als Basis für Informationssicherheit und Compliance
„Die wachsenden Anforderungen interner und externer Prüfer rücken das keineswegs neue Thema
Berechtigungsmanagement wieder ins Blickfeld. Strukturierte, nachvollziehbare Prozesse zur Erstellung, Vergabe
und Prüfung von Berechtigungen sind ein Muss – nicht mehr nur für die effiziente Administration, sondern verstärkt
auch aus Compliance-Sicht..“
Quelle: Autor Martin Kuppinger, veröffentlicht am 18.1.2011 in Searchsecurity
http://www.searchsecurity.de/themenbereiche/identity-und-access-management/user-management-und-provisioning/articles/298518/
Wikileaks als Beleg für fehlendes Information Rights Management
„Wikileaks bewegt die Gemüter: Während die einen die völlige Freigabe von Informationen befürworten, stellen die
Sarah Palins dieser Welt den Wikileaks-Gründer Julian Assange auf eine Stufe mit Osama bin Laden. Aus Security-
Sicht ist aber viel interessanter, warum ein Soldat im Mannschaftsdienstgrad die Dokumente überhaupt
abrufen und weiterleiten konnte.“
Quelle: Autor Martin Kuppinger, veröffentlicht am 10.12.2010 in Searchsecurity
http://www.searchsecurity.de/themenbereiche/identity-und-access-management/user-management-und-provisioning/articles/295556/
Zugriffsberechtigungen sind meist die größte Schwachstelle
„Das kürzlich durch die Medien gegangene Beispiel der Société Générale, bei dem ein Händler Milliarden Euro
verspekuliert hatte, war dabei nur ein Extremfall, in dem offensichtlich ein Einzelner im Laufe der Zeit genug
Zugriffsberechtigungen angesammelt hatte, um sich selbst kontrollieren zu können. Zu viele
Zugriffsberechtigungen und unberechtigte Transaktionen sind für Unternehmen genauso ein Risiko wie
Informationslecks, über die sensitive Informationen an den Wettbewerb oder die Öffentlichkeit gelangen.“
„Viele der IT-Risiken sind eng mit Zugriffsberechtigungen und dem Handeln von Benutzern verbunden..“
Quelle: Autor Martin Kuppinger, veröffentlicht am 27.03.2008 in Searchsecurity
http://www.searchsecurity.de/themenbereiche/sicherheits-management/risk-management/articles/115486/
3

G+H SoftwareSolutions
Presse- und Analystenstimmen
Wirtschaftsbetrug durch IT steigt massiv
„ Jedes zweite Unternehmen weltweit plant umfangreichere Ausgaben für IT-Sicherheit als bisher. Kein Wunder,
denn Datendiebstahl ist mittlerweile das größte Risiko überhaupt, hinter dem kriminelle Energie steckt. Das berichtet
Kroll in seiner jährlichen Studie über Wirtschaftsbetrug. Fälle wie Bernie Madoff können Unternehmen in Angst und
Schrecken versetzen. Um 50 Milliarden US-Dollar prellte der ehemalige Finanzmakler seine Anleger und wurde im
vergangenen Jahr in den USA in einem schlagzeilenträchtigen Prozess zu 150 Jahren Haft verurteilt. Derlei
Machenschaften können Firmen ausbluten lassen. Da klingt eine Bemerkung im neuen Kriminalitätsreport von Kroll
doch ganz tröstlich:..„
„ 28 Prozent der Befragten nennen die Komplexität der IT Infrastruktur als wichtigsten Risikofaktor in ihrem
Unternehmen..“
Quelle: Autor Werner Kurzelechner, veröffentlicht am 31.11.2010 in der CIO
http://www.cio.de/knowledgecenter/security/2252993/index3.html
4

G+H SoftwareSolutions
Sicherheit und Transparenz bei System- und Zugriffsrechten
Egal, ob Großkonzern oder mittleres Unternehmen, viel zu oft fehlt der
Überblick, wer eigentlich mit welchen Berechtigungen auf welche Daten
zugreifen kann.
Dabei unterliegt gerade diese Problematik heutzutage strengen gesetzlichen
Auflagen (Sarbanes-Oxley, EuroSOX, BDSG uvm.)
5

G+H SoftwareSolutions
daccord Kernfunktionen
• daccord wertet die gesamten Zugriffberechtigungen aller Systeme
langfristig aus
• daccord stellt vom Gesetzgeber oder intern geforderte
Berechtigungsnachweise automatisiert bereit
• daccord benachrichtigt automatisch bei Rechteverletzungen
• daccord unterstützt Rezertifizierungsprozesse von Berechtigungen
• daccord stellt Anwendern, Auditoren, Vorgesetzten und
Datenverantwortlichen Rechtestrukturen verständlich dar
• daccord reduziert Kosten bei aufwändigen Rechteanalysen
• daccord gibt einen transparenten Überblick über genutzte Lizenzen
6

G+H SoftwareSolutions
Architektur und Systemkomponenten
7

G+H SoftwareSolutions
Datenmodell
8

G+H SoftwareSolutions
Collector Engine - Kernfunktionen
• Überträgt alle relevanten Daten (User, Rechte, Rechtezuweisungen) aus
den Zielsystem in das zentrale daccord System.
• Analysiert und speichert die Änderungen an den Daten (Historie)
• Konvertiert die unterschiedlichen Daten in auswertbare Informationen
• Verknüpft User und Rechte mit der natürlichen Person
9

G+H SoftwareSolutions
Collector Engine - Anbindungen
Die Collector Engine bietet ein einfaches und flexibles Modell zur Anbindung
von System über eine beliebige Anzahl an Connectoren und Connectortypen.
Aktuell verfügbar :
• Microsoft Active Directory Connector
• Novell eDirectory Connector
• CSV Connector (oft SAP genutzt)
• JDBC Connector
• Oracle JDBC Connector
• FLT (Fixed Length) Connector (oft für Mainframes genutzt)
• XML Konnektor
• Weitere in Vorbereitung (z.B. WebService Connector)
10 10

G+H SoftwareSolutions
Collector Engine - Aktionen
Die Collector Engine kann auf Ereignisse aktiv reagieren und festgelegte
Aktionen automatisch durchführen.
• z.B. das Löschen aller historischen Daten zu einer Person
• z.B. die automatische Benachrichtigung an den Administrator, wenn ein
Import von Daten fehlgeschlagen ist.
Eine beliebige Anzahl von Aktionen und Aktionstypen sind möglich.
Aktuelle Verfügbar sind :
• Mail Action (bspw. automatisierte Benachrichtigung per E-Mail)
• JDBC Action (bspw. automatisierter Aufruf einer Datenbereinigung)
• Report Action (bspw. automatisierte Reporterstellung)
• Export/Import Action
• Weitere in Vorbereitung (z.B. Batch Job Aktion, Web Service Aktion)
11 11

G+H SoftwareSolutions
User Frontend
• Übersichtliche Darstellung der Informationen für Endanwender (Mitarbeiter,
Revisoren, Vorgesetzte usw.)
• Mehrsprachige webbasierte Anwendung, unterstützt alle gängigen Browser
• Generierung von aktuellen Reports
• Unterstützung für einen Vertretungsmodus
• z.B. Welche Identität hat welche Accounts (Benutzerkonten) in den
Unternehmenssystemen?
• z.B. Wer hat welche Berechtigungen in den Unternehmenssystemen?
• z.B. Verantwortliche für Systeme, Anwendungen und Rechte erhalten einen
Überblick über Benutzer und deren Rechte in den zu verantwortenden
Systemen.
• z.B. Vorgesetzte erhalten einen Überblick über ihre Mitarbeiter und deren
Rechte in Unternehmenssystemen.
12 12

G+H SoftwareSolutions
User Frontend
13 13

G+H SoftwareSolutions
User Frontend - Meine UserIDs und Berechtigungen (1)
Der Anwender erhält übersichtlich und verständlich alle Informationen zu
seinen Konten und Berechtigungen.
• Sind mein Konten noch gültig?
• Habe ich Berechtigungen, die ich gar nicht haben dürfte?
• Habe ich alle benötigten Konten und Berechtigungen?
14 14

G+H SoftwareSolutions
User Frontend - Meine UserIDs und Berechtigungen (2)
15
15

G+H SoftwareSolutions
User Frontend - Rechte, die ich verwalte (1)
Datenverantwortliche und Auditoren erhalten in der Ansicht Berechtigungen,
die ich verwalte alle notwendigen Informationen über bestimmte Rechte, für
die Sie verantwortlich sind.
• Wer arbeitet mit meiner Anwendung?
• Haben Anwender eventuell zu viele Rechte in meiner Anwendung?
• Wer hat Zugriff auf sensitive Daten?
16 16

G+H SoftwareSolutions
User Frontend - Rechte, die ich verwalte (2)
17 17

G+H SoftwareSolutions
User Frontend - Mitarbeiter, die ich verwalte (1)
Personalverantwortliche können über die Ansicht Mitarbeiter, die ich verwalte
ihnen zugewiesene Personen und deren Rechte einsehen und beurteilen.
• Haben ehemalige Mitarbeiter von mir noch Berechtigungen?
• Haben ehemalige externe Mitarbeiter noch Konten und
Zugriffsberechtigungen?
• Haben meine Mitarbeiter die benötigten Recht (z.B. nach einem internen
Stellenwechsel)?
18 18

G+H SoftwareSolutions
User Frontend - Mitarbeiter, die ich verwalte (2)
19 19

G+H SoftwareSolutions
Notification Engine
Über die integrierte Benachrichtigungs- und Reporting Engine lassen sich alle
Informationen dynamisch auswerten und können über vorgefertigte Reports
übersichtlich dargestellt bzw. automatisiert abgelegt und versendet werden.
Beispiele:
• Jeden Monat erhalten Abteilungsleiter einen Report über alle
Zugangsberechtigungen ihrer Mitarbeiter
• wenn bei externen Mitarbeitern kein Austrittsdatum identifiziert wurde. Hier
kann optional eine Verfahrensanweisung (Was ist zu tun?) und ein Report
über diesen ermittelten externen Mitarbeiter angehängt werden.
• Bei einem erkannten Rechteverstoß werden die Verantwortlichen
benachrichtigt
• Nachhaltige Ablage der Information über Zugriffberechtigte in einem Archiv
20 20

G+H SoftwareSolutions
Notification Engine - Benachrichtigungen (1)
Die Notification Engine bietet ein einfaches und flexibles Modell zur
Benachrichtigungen über eine beliebige Anzahl an Benachrichtigungs-typen.
Aktuell verfügbar :
• Mail Benachrichtigung (eMail mit dynamischem Inhalt und einer beliebiger
Anzahl von Anhängen)
• Mail Report Benachrichtigung (eMail mit dynamischem Inhalt und einer
beliebiger Anzahl von Anhängen und einer beliebigen Anzahl von
angehängten, dynamisch generierten Reports)
• Notes Workflow Benachrichtigung
• Weitere in Vorbereitung (z.B. Webservice Notification)
21 21

G+H SoftwareSolutions
Notification Engine - Benachrichtigungen (2)
22 22

G+H SoftwareSolutions
Admin Frontend
• Webbasiertes administratives Frontend für alle Komponenten
• Überwachung der Funktionen
• Analyse und Auswertung von Problemen
• Analyse und administration der daccord Daten
23 23

G+H SoftwareSolutions
Admin Frontend - Screenshots
24 24

G+H SoftwareSolutions
Sicherheit und Transparenz bei Systemzugriffen ?
25 25