A N Z E I G E

Identity Management: Fertige Lösung statt Projekt

Logo TIMETOACT GROUP

von Carsten Hufnagel, Head of IAG Strategy der TIMETOACT GROUP

Ein Schnellstart in das Berechtigungsmanagement ist möglich – wenn man auf Best-Practices setzt und bereit ist, dafür die eigenen Prozesse anzupassen. Die TIMETOACT GROUP hat dafür einen neuen Ansatz entwickelt.

Neue Gesetze, Verordnungen und Regularien wie ISO 2700x, EU-DSGVO, MaRisk u.a. stellen Unternehmen vor verschärfte Governance-Anforderungen. Essenziell ist dabei stets der Zugriff auf bestimmte Daten, der nachvollziehbar, berechtigt und sicher sein muss. Ohne ein funktionierendes Berechtigungsmanagement oder Identity Management ist dies nicht möglich.

Dieser Situation sehen sich alle Unternehmen gegenüber. Viele große Organisationen haben bereits entsprechende Projekte aufgesetzt. Deren Kosten sind aber im Vorhinein nur schwer konkret abschätzbar. Wer keine Ressourcen hat, ein Identity & Access Governance (IAG)-System in einem aufwändigen Projekt zu implementieren, und zusätzlich eine gewisse Flexibilität in der Ausgestaltung seiner Prozesse mitbringt, kann auf Best-Practice-Ansätze zugreifen. Dabei werden Prozesse fest vorgegeben und lassen sich nur begrenzt anpassen. Vorteil: Sie sind sofort einsatzfähig.

Best-Practice-Ansätze für das Identity Management sind für alle Unternehmen eine Option, für deren IT-Security es eine deutliche Mehrarbeit bedeuten würde, die Regularien beim Umgang mit digitalen Identitäten in Einklang mit den wachsenden Sicherheitsanforderungen und Risiken der Digitalen Transformation zu bringen. Neben der Ressourcenfrage ist es zudem schwierig, die damit verbundenen Kosten transparent abzuschätzen.

Compliance-Regeln schnell und elegant umsetzen

Hier unterstützt eine Best-Practice-Lösung mittlere und kleinere Finanzdienstleister, Anforderungen der BaFin schnell und elegant umzusetzen – analog gilt dies für andere Branchen mit den jeweils zuständigen Behörden und spezifischen Regularien. Die Business Unit IAG (Identity & Access Governance) der TIMETOACT Software & Consulting GmbH hat eine solche modulare Lösung auf Basis bewährter Methoden und empfohlener Standards für das Identitäts- und Berechtigungsmanagement entwickelt. Technische Basis von „RapID“ ist das Produkt der IBM Security Identity Governance & Intelligence (IGI).

Zielgruppe sind mittelständische Unternehmen mit zwischen rd. 200 und 1.000 Beschäftigten. Diese können damit Compliance-Anforderungen erfüllen, indem die Anlage, Versetzung und Löschung von Benutzer*innen automatisiert wird. Dazu gehören der gesamte User-Lifecycle und insbesondere die automatisierte Zuordnung und der Entzug von Berechtigungen

Reifegrad bei der Datenqualität ist erforderlich

Etwas müssen Organisationen allerdings mitbringen, um mit einem solchen Best-Practice-Ansatz sofort loszulegen: einen bestimmten Reifegrad bei der Datenqualität. Das Projektvorgehen wird damit vorverlagert. Der fachliche Teil, den der Kunde im IAG-Projekt ohnehin absolvieren müsste, ist bei Einführung der Best-Practice-Lösung bereits erledigt. Auch die technischen Voraussetzungen müssen geschaffen sein und bestehende Prozesse gegebenenfalls angepasst werden. Ist beides der Fall, kann man sofort und mit wenig Aufwand loslegen.

Die Best-Practice-Lösung ist als Mietmodell konzipiert, Kunden greifen darauf über ein Service-Portal zu. Sie beinhaltet Managed Services, also Wartung, technischen Betrieb und Unterstützung beim fachlichen Betrieb mit unterschiedlichen SLAs. Verschiedene Leistungen und Funktionen können wahlweise hinzugebucht werden. So bezahlt man nur, was auch genutzt wird. RapID ist der bisher einzige IGA (Identity Governance & Administration)-Ansatz dieser Art am Markt.

Vier Module

Beim IGA geht es grundsätzlich um vier Funktionsbereiche. Im Best-Practice-Modell RapID  sind sie in entsprechenden Modulen mit jeweils vordefinierten Prozessen hinterlegt. Die einzelnen Funktionsmodule können unabhängig voneinander eingesetzt werden.

© TIMETOACT GROUP

Das Rezertifizierungs-Modul beinhaltet die Rezertifizierung von Usern, Accounts, Organisationseinheiten und Rollen. Es stellt sicher, dass Mitarbeiter*innen lediglich die Zugriffe und Berechtigungen zugewiesen werden, welche benötigt werden. Im Rahmen der Rezertifizierung werden diese Zuweisungen durch Verantwortliche überprüft und die Anpassung gegebenenfalls angepasst.  Provisioning bietet User Life Cycle Support, automatische Zuweisung/-Entzug von IT-Berechtigungen und Regelung temporärer Abwesenheit. Sie sorgt dafür, dass zeitnah über klar festgelegte Abläufe Berechtigungen (teil-)automatisiert vergeben und entzogen werden. Stehen alle notwendigen Berechtigungen schnell und nur zum benötigten Zeitpunkt zur Verfügung, erhöht dies die Sicherheit und senkt Kosten.

Mit dem Self-Service-Modul können IT-Berechtigungen durch Beschäftigte oder Vorgesetze selbständig bestellt und abbestellt werden, bzw. vergeben und entzogen werden, Ausnahmen genehmigt und Anträge eskaliert werden. Moderne Frontends stellen diese Funktionen einfach nutzbar allen relevanten Nutzergruppen in einem Unternehmen bereit. Risiko Management schließlich beinhaltet eine risikoadjustierte Rezertifizierung von IT-Berechtigungen, die Darstellung der Risikoeinschätzung je Geschäftsprozess mit Zuordnung der IT-Berechtigung und das Einrichten des Vier-Augen-Prinzips bei der Beantragung kritischer IT-Berechtigungen. Die Vergabe von sich risikobehafteten Rechten wird nachhaltig transparent und nachvollziehbar umgesetzt. Gleichzeitig werden diese Vorgänge entsprechend ihres kritischen Zustands dokumentiert und weitere Maßnahmen werden eingeleitet.

Der Einsatz der modularen Lösung unterstützt kleinere und mittlere Unternehmen zuverlässig bei der Einhaltung der für sie geltenden gesetzlichen Regularien. Anstehende Aufgaben des Identity Management werden automatisiert und kostentransparent gelöst, bei gleichzeitiger Minimierung von Sicherheitsrisiken (durch Vermeiden falsch vergebener Berechtigungen) sowie Zeit- und Personalaufwänden.

Quelle: TIMETOACT GROUP, timetoact-group.de/