Mit Identity Management Sicherheit und Compliance verbessern

Redaktion IT-Onlinemagazin 15. Oktober 2012

Aufgrund steigender Anforderungen in puncto Sicherheit und Compliance rückt das Identity Management als Zugangs- und Zugriffskontrolle in IT-Systemen weiter in den Fokus. Wesentliches Ziel ist es, genau jene Berechtigungen zur Verfügung zu stellen, die aufgrund der jeweiligen Rolle und den daraus folgenden Aufgaben notwendig sind. Werden zu viele Berechtigungen zugewiesen, sind Sicherheit und Compliance-Richtlinien gefährdet. Fehlen Berechtigungen, hat dies negative Auswirkungen auf die Produktivität. Im komplexen Umfeld einer SAP-Lösung ist ein präzises Identity Management – aufgrund der vertraulichen Unternehmensdaten und dessen hohen Einfluss auf die Geschäftsprozesse – als sicherheits- und erfolgskritisch zu beurteilen.

Realitätsbasiertes Identity Management erforderlich

Das Identity Management ist als Schnittstelle zwischen der Unternehmensorganisation und dem ERP-System von beiden Seiten einer Veränderungsdynamik ausgesetzt. Dies wird beispielsweise im Rahmen von Umstrukturierungen oder Releasewechseln erkennbar. Infolgedessen verändern sich die Anforderungen an ein Berechtigungskonzept genauso schnell, wie sich das Unternehmen und die Informationstechnologie wandeln. Werden die Veränderungen nicht berücksichtigt, driften reale Anforderungen und konfigurierte Berechtigungen innerhalb der SAP-Infrastruktur im Laufe der Zeit unweigerlich auseinander. Dennoch zeigt sich, dass die meisten Unternehmen nach der Implementierung eines SAP-Systems, dieses in der Praxis selten zeitnah und gründlich anpassen. Mit weitreichenden Folgen: Die Konzepte der Unternehmen sind deshalb in den meisten Fällen nicht mit den tatsächlichen Anforderungen kompatibel.

Eine solche Diskrepanz wirkt sich nicht nur negativ auf die Qualität der Geschäftsprozesse aus, sondern kann auch die Sicherheit und die Kosten innerhalb eines Unternehmens erheblich beeinträchtigen. Deshalb ist aus unserer Sicht ein Identity Management, das sich an den aktuellen Gegebenheiten orientiert (Realitätsbasiertes bzw. Reality based Identity Management), entscheidend.

Integration in die Unternehmenswirklichkeit ist möglich

Um ein Identity Management zu etablieren, das der tatsächlichen Unternehmenswirklichkeit und somit den Veränderungen im Unternehmen genügt, ist es notwendig, dass sich sowohl der Zugang wie auch der Zugriff der Mitarbeiter an den aktuellen Bedürfnissen – unter Berücksichtigung betrieblicher Sicherheitsrichtlinien – orientiert. Hierzu ist es empfehlenswert, dass die Unternehmen ihre Aufmerksamkeit auf folgende Ziele richten:

[tabgroup]

Erstens sind die Verantwortlichen gut beraten, sich auf aktive Nutzer zu konzentrieren. Ein realitätsbasiertes Identity Management erfordert eine Zugangskontrolle, die den aktuellen Anforderungen entspricht. Das heißt, die Nutzung der Systeme muss durch Prüfung der Anmeldeberechtigungen und Bewertung der tatsächlichen Aktivitäten auf die aktuellen Mitarbeiter begrenzt werden. Dadurch wird eine Zugangskontrolle und -reglementierung möglich, die den realen Erfordernissen entspricht.

Zweitens gilt es, die Berechtigungen am tatsächlichen Aufgabenprofil auszurichten. Es ist eine Zugriffssteuerung notwendig, die den Aufgaben und der Position des Mitarbeiters entspricht. Eine Analyse des Berechtigungskonzepts muss einen umfassenden Einblick in das tatsächliche Zugriffsverhalten eröffnen. Dies ermöglicht eine Anpassung der Berechtigungen an die operativen Anforderungen der Anwender und schafft die Voraussetzung für eine effiziente Nutzung des SAP-Systems.

Drittens sollten Lizenzen aufgrund realer Ansprüche vergeben werden . Über die ersten beiden Ziele lassen sich die tatsächlich erforderlichen Zugangs- und Zugriffsberechtigungen exakt bestimmen. Ergebnis ist eine Fokussierung auf aktuelle Mitarbeiter, deren Aktionsraum zudem auf das Nötigste beschränkt ist. Das ist eine unverzichtbare Grundlage für eine aktuelle, nutzungsbasierte Lizenzzuordnung, die als Nebeneffekt eines realitätsbasierten Identity Management über einen Abgleich der lizenzspezifischen Anwenderdaten mit den tatsächlichen Aktivitäten und Anforderungen der Nutzer erreicht wird.

[/tabgroup]

Implementierung in die Unternehmensabläufe ist notwendig

Ein realitätsbasiertes Identity Management, das auf einer ausführlichen Analyse gründet, ermöglicht ein transparentes, nachhaltiges und den tatsächlichen Anforderungen entsprechendes Berechtigungskonzept. Als solches ist es kontinuierlich überprüfbar und führt zu gezielten Anpassungen. Aufgrund der Dynamik unternehmerischer Aktivitäten und dem damit verbundenen Zeitdruck bei der Systemanpassung ist es allerdings ratsam, von manuellen Überprüfungen abzusehen. Empfehlenswert ist eine softwarebasierte Analytik. Sie ermöglicht eine zeitnahe und periodische Kontrolle auf Basis fundierter sowie objektiver Daten, ist als fester Bestandteil in den Unternehmensabläufen implementiert und erfolgt periodisch. Die Ergebnisse führen über eine Minimierung der Abweichungen zu einer Erhöhung der Sicherheit, zur Einhaltung von Compliance-Anforderungen, zu Kosteneinsparungen und ebenso zu einer verbesserten Administrierbarkeit.

Gastbeitrag von Marlon Füller, Senior Consultant & Projekt- und Produktmanager Identity and License Management bei der IBIS Prof. Thome AG.