IT-Security November/Dezember 2023
Komplexe Cybersicherheit – Schlüsselrolle Automatisierung? Wie Cybersicherheit moderne Arbeitswelten unterstützt Zero Trust Network Access – OT-Netzwerke verstärkt im Fokus von Kriminellen Unified Endpoint Management – Aus dem Schatten ins Licht
Komplexe Cybersicherheit – Schlüsselrolle Automatisierung?
Wie Cybersicherheit moderne Arbeitswelten unterstützt
Zero Trust Network Access – OT-Netzwerke verstärkt im Fokus von Kriminellen
Unified Endpoint Management – Aus dem Schatten ins Licht
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>IT</strong> SECUR<strong>IT</strong>Y | 41<br />
AUCH <strong>2023</strong> SEHEN WIR VIELE INNOVATIVE<br />
PRODUKTE VOR ALLEM AUS DEN USA UND<br />
ISRAEL. ABER AUCH EIN PRODUKT „MADE IN<br />
GERMANY “ HAT ES DIESES JAHR AUF DAS<br />
SIEGERTREPPCHEN GESCHAFFT.<br />
Ulrich Partier, Publlisher it management<br />
Entwicklungsumgebungen sind außerdem<br />
ephemer, das heißt, sie sind kurzlebig<br />
und werden jedes Mal neu erstellt,<br />
wenn ein Build abgeschlossen ist.<br />
Fazit: Das Innovationspotenzial liegt<br />
im Bereich der Sicherheitsinfrastruktur<br />
mit einem dreistufigen transformativen<br />
Modell für die Softwareentwicklung<br />
bei der große Teile der Community als<br />
Open Source zur Verfügung gestellt<br />
werden.<br />
IDENT<strong>IT</strong>Y &<br />
ACCESS MANAGEMENT<br />
Nexis: Nexis 4 mit elektronischen Berechtigungskonzept<br />
Das Problem: Banken und Versicherungen<br />
müssen aufgrund regulatorischer<br />
Vorgaben für alle Applikationen<br />
Berechtigungskonzepte erstellen und<br />
pflegen. Meistens werden dafür Wordund<br />
Excel-Dateien erstellt, manchmal<br />
auch Confluence Seiten eingerichtet.<br />
Das Problem ist: Diese „ungeliebten“<br />
Dokumente sind in der Regel<br />
schlecht gepflegt: Die Beschreibungen<br />
der Rollen und Rechte sind wenig aussagkräftig,<br />
Veränderungen in den Applikationen<br />
werden meistens nicht in<br />
den Berechtigungskonzepten nachgepflegt.<br />
Bei Prüfungen durch die Bankenaufsicht<br />
und/oder die interne Revision<br />
sind damit Findings vorprogrammiert.<br />
Die Lösung: Nexis 4 wurde um die<br />
Funktionalität „elektronisches“ Berechtigungskonzept<br />
erweitert. Dahinter steckt<br />
die Idee, dass viele Informationen zu<br />
den Applikationen ohnehin in Nexis 4<br />
vorliegen, wenn der Kunde Rezertifizierungen<br />
und/oder Rollen- und Berechtigungsmanagement<br />
mit dem Produkt<br />
macht.<br />
Idealerweise werden dabei die bestehenden<br />
und oft in standardisierter Form<br />
vorliegenden Stammdaten aus existierenden<br />
Berechtigungskonzepten übernommen<br />
und durch die von der IGA-Lösung<br />
gelieferten Daten ergänzt. Soweit<br />
Beschreibungen oder andere Metadaten<br />
zur Kritikalität, zu SoD Klassen und<br />
so weiter noch fehlen, können sie durch<br />
Workflows oder Formulare durch die<br />
Applikationsverantwortlichen ergänzt<br />
werden.<br />
So wird auch sichergestellt, dass die Berechtigungskonzepte<br />
immer dem Ist-Zustand<br />
in den Applikationen entsprechen:<br />
➤ Eine Möglichkeit ist, dass Changeprozesse<br />
direkt in Nexis 4 oder im<br />
IGA-System abgewickelt werden<br />
und damit sichergestellt wird, dass<br />
der Ist-Zustand in den Applikationen<br />
immer identisch mit dem Sollzustand<br />
ist.<br />
➤ Die andere Option arbeitet mit Triggern:<br />
Immer wenn die IGA Lösung<br />
beim regelmäßigen Zielsystemabgleich<br />
eine Veränderung detektiert,<br />
zum Beispiel eine neue Berechtigung,<br />
löst das automatisch einen<br />
Prozess in Nexis 4 aus.<br />
Fazit: Egal, welche Tools man für das<br />
Identitätsmanagement einsetzt oder<br />
einsetzen will: Unternehmen klagen oft<br />
über fehlende oder oberflächliche Funktionen,<br />
kostspielige Anpassungsarbeiten<br />
und vor allem über zu wenig Verständlichkeit<br />
für nicht-<strong>IT</strong> Anwender.<br />
Nexis 4 bietet fertige Analysen, Workflows<br />
und Endanwender-Funktionen ohne<br />
teure Integrations- oder Programmierarbeiten.<br />
Eine weitere Stärke ist die<br />
Visualisierung von Daten, Strukturen<br />
und Abhängigkeiten.<br />
Hinzu kommen als Alleinstellungsmerkmal<br />
das elektronische Berechtigungskonzept.<br />
Es gibt zu dieser automatisierten<br />
Lösung kein vergleichbares anderes<br />
Produkt auf dem Markt.<br />
Ulrich Parthier | www.it-daily.net<br />
www.it-daily.net | <strong>November</strong>/<strong>Dezember</strong> <strong>2023</strong>