Datensicherheit war vor 20 Jahren – plakativ ausgedrückt – , seinen PC mit einem Passwort zu schützen, ein Anti-Viren-Programm zu kaufen und den Schlüssel zum Archiv keinem Unbekannten in die Hand zu drücken. Heute, da alles vernetzt ist und die Angriffe immer professioneller werden, sind die Angriffsmöglichkeiten für Datendiebe vielfältiger und das Diebesgut reichhaltiger.
Datenverstösse sind gravierend, und die traditionelle Sicherheit hat bei der digitalen Transformation ihre Grenzen gefunden. Wenn ein Unternehmen zudem noch die Datenschutzvorschriften berücksichtigt, ist der Aufwand enorm. Das Unternehmen SailPoint beschäftigt sich mit diesem Thema seit über einem Jahrzehnt, und die Antwort auf die Herausforderung heisst Identity Governance. Das Konzept ist relativ einfach, denn Cloud Identity Governance ermöglicht es, den Benutzerzugriff auf allen Anwendungen und Daten zu sehen und zu kontrollieren – in der Cloud und vor Ort. So wird dem Unternehmen geholfen, gleichzeitig sicher und konform zu bleiben.
DIE ZENTRALEN FRAGEN DER IDENTITY GOVERNANCE
Die Identity-Governance-Plattform beantwortet drei zentrale Fragen: Wer hat Zugriff auf die Anwendungen und die Dateien? Was können sie mit diesem Zugriff machen? Wie wird dieser Zugriff benutzt? Klingt einfach, ist es auch! Das Unterneh
men selbst entscheidet, welche Regeln befolgt werden sollen, und bestimmt, wer Zugriff erhält und wer nicht. Wenn ein neuer Benutzer an Bord kommt oder Rollen und Projekte geändert werden, wird der Zugriff gewährt oder aktualisiert, um genau das zu geben, was gebraucht wird, damit die Arbeit erledigt werden kann.
In einem Unternehmen liegen die wichtigen Reports mit sensiblen Informationen primär auf den firmeneigenen Servern, und eine adäquate und tagesaktuelle Verwaltung der Zugriffsberechtigungen bindet Zeit und Personal. Da Datensicherheitsroutinen kein Quell persönlicher Erfüllung sind, werden sie vom Personal oft stiefmütterlich behandelt. Die möglichen Auswirkungen sollen anhand eines konstruierten Beispiels aufgezeigt werden.
ZUGRIFFSRECHTE IN FREMDEN HÄNDEN
Frau Gerber ist seit 25 Jahren Sekretärin im mittelständischen Familienunternehmen «Fuchs Maschinenbau». Seit ihrer Einstellung haben sich die meisten Prozesse in ihrer Firma der Digitalisierung angepasst. Die Schreibmaschine wich dem Computer, und statt im Karteischrank werden die wichtigen Dokumente nun im Firmennetzwerk archiviert. Vieles hat sich im Verlauf der Karriere von Frau Gerber verändert – eine Sache jedoch nicht: Frau Gerbers Zugriffsrechte wurden nie angetastet oder modifiziert. Hinzu kommt, dass Frau Gerber quasi auf alles zugreifen darf.
Die Katastrophe bahnt sich an einem Freitag an. Ein Kunde hat in letzter Minute noch einen Änderungswunsch eingereicht. Produktive Hektik war angesagt, denn Frau Gerber hat an dem Abend vor, mit ihrer Freundin auf ein Konzert zu gehen. Da sie sich aber nicht auf das Glücksspiel an der Abendkasse einlassen will, möchte sie noch schnell Karten online kaufen. «Helene-Fischer-Karten online kaufen», wird hastig in die Suchmaschine getippt, jedoch sind alle Karten ausverkauft. Auf der zweiten Seite endlich findet sich ein Ticketverkäufer mit Restkontingent. Jetzt keine Zeit verlieren, denn ihr Chef, Herr Müller, macht bereits Druck wegen der bevorstehenden Telefonkonferenz mit dem Kunden. Also hat sie schnell auf den Ticketlink geklickt und das «Anmeldeprogramm» heruntergeladen und installiert – und vermeintlich zwei Tickets erworben. Die erste böse Überraschung erlebt Frau Gerber vor der Konzerthalle, denn ihre Tickets sind wertlos. Dass dies jedoch ihr kleinstes Problem sein sollte, wird ihr erst am nächsten Morgen bewusst, als Herr Müller sie aus dem Bett klingelt. Denn ohne es zu ahnen, hat sie gestern einen Trojaner heruntergeladen, und sensible Firmeninterna werden nun im Darknet feilgeboten.
EXISTENZBEDROHENDER SUPER-GAU
Das Beispiel mag haarsträubend klingen, aus der Unternehmenspraxis kennen wir aber viele solche Beispiele. Identity Governance ist kein gänzlich neues Thema, und im heutigen digitalen Unternehmensumfeld ist es hoch aktuell. Frau Gerber hat im Eifer des Gefechts ihre Vorsicht für einen Moment beiseite geschoben. Die Unaufmerksamkeit eines Einzelnen ist dadurch zum existenzbedrohenden Super-GAU für das gesamte Familienunternehmen geworden. Frau Gerber trifft allerdings nicht die alleinige Schuld. Mitverantwortlich für das Schadenausmass sind auch die IT-Abteilung der Firma und die Chefetage. Frau Gerbers Zugriffsrechte hätte man regelmässig kontrollieren und gegebenenfalls reduzieren müssen, um derartige Horizontalbewegungen eines Hackers in der IT-Infrastruktur des Unternehmens zu unterbinden.
ZUGRIFFSRECHTE AUF DEN NEUESTEN STAND
Moderne Identity Governance-Lösungen helfen IT-Abteilungen, die Zugriffsrechte der Mitarbeiter zu verwalten und einen Überblick aller Bewegungen im Firmennetz in Echtzeit zu ermöglichen. So bietet SailPoint eine Echtzeitüberwachung aller registrierten Nutzer sowie deren Zugriffsrechte an. Durch Predictive Identity wer den Änderungsvorschläge präsentiert, um mittels Künstlicher Intelligenz etwaigen Hierarchiebewegungen im Unternehmen automatisiert Rechnung zu tragen. Bei Beförderungen, Neuanstellungen oder Ausscheiden werden vergleichbare Positionen betrachtet und deren Zugriffsrechte als Vorschlag angeboten. So kann jederzeit gewährleistet werden, dass die Berechtigungen aller Mitarbeiter funktionsgerecht und auf dem neuesten Stand sind. Frau Gerber hätte es geholfen. Vielleicht nicht mit den Konzerttickets, aber beim Ausschlafen am Samstag.