Im Zeitalter von Cloud Computing und der fortschreitenden mobilen Kommunikation – Stichwort etwa Byod (Bring your own Device) - wird die Verwaltung von Benutzer- und Zugriffsberechtigungen zusehends komplexer und wichtiger. Nicht zuletzt durch die jüngsten Vorfälle und Entwicklungen hat sich das Identity & Access Management (IAM) wieder stark ins Blickfeld der Sicherheitsstrategen geschoben.
Hackerangriffe auf Sony, Google, RSA, den IWF oder die Nato machen deutlich, dass der Cyberwar längst zur Realität geworden ist. Aber nicht nur Staaten und internationale Grosskonzerne stehen auf der Abschussliste von Hackern und einschlägigen Organisationen. Auch die Unternehmen selbst sind es, die aufgrund ihrer Innovationskraft immer häufiger Opfer von Hackerangriffen werden. Auch die Gerüchte über organisierte Wirtschaftsspionage aus China und die seit Wochen die Schlagzeilen dominierenden Berichte zur NSA-Späh-Affäre tragen zur Beunruhigung von Vorständen und IT-Verantwortlichen bei. Durch die enormen Schäden, die durch Industriespionage und Hacking entstehen, ist es nicht verwunderlich, dass das Thema Datensicherheit bei vielen Unternehmen inzwischen zur Chefsache erklärt wurde.
Eine der grössten Schwachstellen bezüglich der sensiblen Unternehmensdaten sind die Zugriffsmöglichkeiten der eigenen Mitarbeiter. Je mehr Daten ein Mitarbeiter einsehen und bearbeiten kann, desto lukrativer ist es für kriminelle Organisationen, genau diesen Mitarbeiter-Account zu hacken, um dann das Firmennetz zu infiltrieren. Diese Sicherheitslücken gilt es zu minimieren – was aber durch immer komplexer und mobiler werdende IT-Infrastrukturen erheblich erschwert wird.
IAM-Spezialisten wie etwa die Winterthurer IPG fordern daher, dass die IT-Sicherheit auch als Prozess angesehen wird. Nach Ansicht von IPG-CEO Marco Rohrer gehört die IT-Sicherheit als Teil der operationellen Risiken direkt in das Risikomanagement Framework eingebettet und als Prozess gelebt. Dabei müssten, wie im gesamten Risikomanagement, die Schnittstellen zu den Geschäftsprozessen identifiziert werden, so Rohrer im Interview des Monats zu ICTkommunikation (Seite 12 ff). Was eine integrierte IT-Sicherheit sowie Identity & Access Management zur Folge habe. Dann werde die IT «Mittel zum Zweck», d.h. die IT habe die Geschäftsprozesse zu unterstützen resp. die IT bilde die Produktionsstrasse des modernen Unternehmens. Daher müsse eine Verschmelzung unbedingt erfolgen, betont der IPG-CEO.
Auch kleineren und mittleren Unternehmen (KMU) seien effiziente Strategien ans Herz gelegt. Klar ist für die Kleinbetriebe die Integration von entsprechender Software vielfach zu teuer. Aber für die „Kleinen“ gibt es beispielsweise einschlägige „On-Demand-Angebote“. Hier muss nur für Leistungen gezahlt werden, die tatsächlich in Anspruch genommen werden. Da aber auch die KMU zunehmend eine integrierte IAM-Suite einsetzen wollen, beschäftigen sich Sicherheitsanbieter wie die IPG intensiv mit Individual-Standardisierungsmöglichkeiten. So gibt es etwa bereits vollständige Identity & Access Management Systeme, die auf einem Miet-Kauf-Modell basieren, für Standardanwendungen wie Active Directory, Sharepoint oder Exchange einsetzbar sind und genau auf die Bedürfnisse von KMU zugeschnitten sind.
Der Online-Stellenmarkt für ICT Professionals