Aufrufe
vor 3 Jahren

02 | 2015 public

  • Text
  • Verwaltung
  • Factory
  • Konsolidierung
  • Anforderungen
  • Einsatz
  • Frameworks
  • Anwendung
  • Systeme
  • Software
  • Unternehmen
Schwerpunkt: Konsolidierung der IT-DLZ

IDENTITY MANAGEMENT IN

IDENTITY MANAGEMENT IN DER ÖFFENTLICHEN VERWALTUNG Seit in der Bankenkrise Millionenbeträge durch unautorisierte Transaktionen vernichtet wurden, ist Identity und Access Management (IAM) in der Finanzbranche Chefsache. Unter dem Druck der Wirtschaftsprüfer sind in den vergangenen Jahren leistungsfähige Regelwerke und Lösungen entstanden. Die öffentliche Verwaltung kann davon nun profitieren. | von ANDREAS RAQUET IM KLEINEN EINFACH ... ... IM GROSSEN SCHWER Benutzer- und Berechtigungssysteme sind integraler Bestandteil betrieblicher Informationssysteme. Den meisten liegt ein Rollenmodell zugrunde (RBAC – Role Based Access Control). Die Theorie dahinter ist gut verstanden und entsprechende Systeme sind leicht zu administrieren – zumindest, solange man nur ein einzelnes System betrachtet. Tritt man einen Schritt zurück und betrachtet die gesamte IT eines Unternehmens oder einer Behörde, sieht das ganz anders aus. Hier gilt es, mehrere Hundert Fachverfahren mit Tausenden von Benutzern zu verwalten. Die Anzahl einzelner Berechtigungen und Berechtigungsvergaben geht leicht in die Millionen. Die daraus entstehende Komplexität ist nicht mehr ohne Weiteres zu beherrschen. Die Konsequenz: Bei der Administration passieren Fehler, die über Jahre unerkannt bleiben können. Einen Gesamtüberblick über die Rechte eines Benutzers zu bekommen, ist aufwendig und in vielen Fällen nahezu unmöglich. Dass dies nicht nur ein theoretisches Problem ist, hat sich spätestens in der Bankenkrise gezeigt. In den Jahren 2008 bis 2010 wurden etliche Fälle bekannt, in denen Mitarbeiter renommierter Großbanken Beträge in Milliardenhöhe durch riskante Geschäfte vernichtet haben. Beispielsweise wird der Junior-Trader Jérôme Kerviel alleine für einen Verlust von 4,9 Mrd. Euro verantwortlich gemacht. 1 Ungeachtet der in der Öffentlichkeit diskutierten moralischen Fragestellungen ist klar: Die betroffenen Mitarbeiter hätten niemals die Rechte haben dürfen, solche Geschäfte überhaupt zu tätigen. Die Sicherheitsexperten haben das Problem erkannt und reagiert: Bereits seit Jahren unternimmt die Finanzbranche erhebliche Anstrengungen, die Kontrolle über die Berechtigungsvergabe in der IT zurückzuerlangen. Mittlerweile sind für diese Aufgabe leistungsfähige Systeme, sogenannte Identity-and-Access-Management-Systeme (IAM), und sich darauf abstützende 1 http://www.nytimes.com/2008/01/25/business/worldbusiness/25bank.html 46 | .public 02-15 | Informationstechnologie

Kontrollprozesse (Access Governance) entstanden. Diese Systeme sind inzwischen mehrfach implementiert, haben die Kinderkrankheiten überstanden und sind somit reif für den Einsatz in der Breite – auch in der öffentlichen Verwaltung. KONTROLLE DURCH ZENTRALISIERUNG Die Kernidee der Systeme und Prozesse ist dabei immer dieselbe: Die gesamte Berechtigungsstruktur der IT wird in einem zentralen Modell konsolidiert. Dieses wird um fachliche Regeln ergänzt – mit dem Ziel, Risiken durch die strukturierte Vergabe von Rechten zu minimieren. Die Regeln entstammen letztlich dem Information- Security-Management-System (ISMS 2 ) des Unternehmens, im Behördenumfeld also in der Regel dem IT-Grundschutz. Sind alle Berechtigungen in dieses Modell überführt, können beispielsweise die Rechte eines Benutzers über die gesamte IT einfach aus diesem abgerufen werden. Neu zu vergebende Rechte können zuvor gegen die Regeln des Modells geprüft werden. Beschäftigter im Personalsystem erfasst wird. Neue Berechtigungen werden über ein zentrales Antragsverfahren gesteuert und über ein Provisionierungssystem direkt in den Zielsystemen umgesetzt. Über flexible Berichtsfunktionen – am besten risikobasiert – werden Analysen ermöglicht, die zu einer Verbesserung der Gesamtsicherheitslage in der Behörde im Rahmen eines KVP (kontinuierlicher Verbesserungsprozess) beitragen können. Schließlich können auch regelmäßige Rezertifizierungen 3 der fachlichen Rechtevergabe über das System gesteuert werden. KOMPLEXITÄT DURCH ABSTRAKTION BEHERRSCHEN Dreh- und Angelpunkt für die genannten Funktionalitäten ist das zentrale Rollen- und Prozessmodell. Aber ist es überhaupt möglich, Hunderttausende von unterschiedlichen Berechtigungen in einem gemeinsamen Modell praxisnah und zur Laufzeit auswertbar abzubilden? Die Antwort lautet mittlerweile „ja“. Möglich wird das durch eine mehrstufige Abstraktion. Das IAM ist dabei mehr als nur eine zentrale Berechtigungsdatenbank. Vielmehr geht es darum, alle Prozesse des Identitäts- und Access-Managements so weit wie möglich zu standardisieren und zu automatisieren. Das beginnt bereits bei der automatischen Anlage von Benutzerkonten mit einem Basissatz an Berechtigungen, sobald ein neuer Die meisten IAM-Systeme setzen im Kern ein hierarchisches Rollenmodell um (HRBAC – Hierarchical Role Based Access Control). Die Berechtigungssysteme der anzusteuernden IT-Systeme werden dabei durch Rollen niedriger Abstraktion abgebildet (oft technische Rollen oder alternativ auch Systemrollen genannt) und dann über mehrere Hierarchieebenen zu Rollen höherer Abstraktion (auch fachliche Rollen genannt) gebündelt. Die Verwal- 2 Projektleiter beantragt Zugriff 4 Verantwortlich für IT-System genehmigt Zugriff 3 IAM-System Revisor prüft Rechte 1 Mitarbeiter benötigt Zugriff steuert 5 Anzusteuerndes IT-System 1. Projektmitarbeiter benötigt Zugriff auf ein IT-System 2. Projektleiter beantragt den Zugriff im IAM-System 3. IAM-System prüft gegen Rollenmodell und Regelwerk 4. Verantwortlicher prüft und genehmigt Zugriff 5. IAM-System vergibt Rechte im IT-System Später: Revision prüft Rechtevergabe Regelmäßig: Verantwortlicher bestätigt Notwendigkeit der Berechtigung Abbildung 1: Berechtigungsvergabe über ein IAM System 2 Siehe ISO/IEC 27001 3 Regelmäßige Überprüfung der Berechtigungen eines Benutzerkreises Informationstechnologie | .public 02-15 | 47

msg

01 | 2018 public
02 | 2017 public
01 | 2017 public
02 | 2016 public
01 | 2016 public
02 | 2015 public
01 | 2015 public
01 | 2014 public
01 | 2014 msg systems study
01 | 2015 msg systems Studienband
Future Utility 2030
Lünendonk® Trendstudie
Digitale Transformation | DE
Digital Transformation | EN
DE | inscom 2014 Report
EN | inscom 2014 Report

msgGillardon

02 | 2018 NEWS
03 | 2016 NEWS
02 | 2016 NEWS
01 | 2016 NEWS
03 | 2015 NEWS
02 | 2015 NEWS
01 | 2015 NEWS
02 | 2014 NEWS
01 | 2014 NEWS
02 | 2013 NEWS
01 | 2012 NEWS
02 | 2011 NEWS
01 | 2010 NEWS
MaRisk
01 | 2017 banking insight
01 | 2015 banking insight
01 | 2014 banking insight
01 | 2013 banking insight
01 | 2012 banking insight
02 | 2011 banking insight
01 | 2011 banking insight
01 | 2010 banking insight
2018 | Seminarkatalog | Finanzen

Über msg



msg ist eine unabhängige, international agierende Unternehmensgruppe mit weltweit mehr als 6.000 Mitarbeitern. Sie bietet ein ganzheitliches Leistungsspektrum aus einfallsreicher strategischer Beratung und intelligenten, nachhaltig wertschöpfenden IT-Lösungen für die Branchen Automotive, Banking, Food, Insurance, Life Science & Healthcare, Public Sector, Telecommunications, Travel & Logistics sowie Utilities und hat in über 35 Jahren einen ausgezeichneten Ruf als Branchenspezialist erworben.

Die Bandbreite unterschiedlicher Branchen- und Themenschwerpunkte decken im Unternehmensverbund eigenständige Gesellschaften ab: Dabei bildet die msg systems ag den zentralen Kern der Unternehmensgruppe und arbeitet mit den Gesellschaften fachlich und organisatorisch eng zusammen. So werden die Kompetenzen, Erfahrungen und das Know-how aller Mitglieder zu einem ganzheitlichen Lösungsportfolio mit messbarem Mehrwert für die Kunden gebündelt. msg nimmt im Ranking der IT-Beratungs- und Systemintegrationsunternehmen in Deutschland Platz 7 ein.


© 2018 by msg systems ag - powered by yumpu Datenschutz | Impressum