Identity Governance ist mehr als Identity Management

Für die Aufrechterhaltung einer hohen IT-Sicherheit ist eine konsistente Identity-Governance-Strategie unerlässlich. Sie ist eine Grundvoraussetzung, um zielgerichtete interne wie externe Attacken abzuwehren. Bei etlichen Unternehmen liegt aber – Stand heute – bei diesem komplexen Thema noch vieles im Argen.

Vereinfacht ausgedrückt geht es bei Identity Governance um die Kombination von richtliniengesteuertem Identitätsmanagement und Compliance-Konformität. Zu den konkreten Anforderungen gehören etwa die unternehmensweite Zuweisung von Rollen und Berechtigungen, die Regulierung von Anwenderzugriffen und die Überwachung der Erfüllung von Compliance-Anforderungen.

Im Identity-Governance-Umfeld gibt es verschiedene Lösungsansätze: zum Beispiel Identity-Lifecycle-Lösungen mit Governance-Funktionen oder reine Identity-Management-Lösungen. Sie bieten jeweils unterschiedliche Vor- und Nachteile, verdeutlichen aber auch, dass es gegenwärtig keine „One-size-fits-all“-Lösung gibt. Eine solche Lösung würde erstens eine vollständige Risikoerfassung und -darstellung mit der Ermittlung aller User und ihrer Rechte ermöglichen, zweitens den Zugriff auf IT-Ressourcen steuern und drittens alle unternehmenskritischen Aktivitäten Compliance-konform überwachen und protokollieren.

Schon das klassische Thema Identity Management zeigt, dass keine allumfassende Applikation verfügbar ist. So müssen etwa weit verbreitete „Identity and Access Management“-Lösungen wie „RSA Identity Governance and Lifecycle“ oder „SailPoint IdentityIQ“ durch eine Anwendung für die Verwaltung, Sicherung und Überwachung privilegierter Benutzerkonten ergänzt werden, also um eine Privileged-Identity-Management (PIM)-Lösung wie beispielsweise die marktführende Privileged Account Security Suite von CyberArk. Eine solche Lösung muss immer zentraler Bestandteil einer Identity-Governance-Strategie sein. Dass die von privilegierten Accounts ausgehenden Gefahren im Falle eines Missbrauchs erheblich sind, ist inzwischen durch zahlreiche Sicherheitsvorfälle eindeutig belegt.

Privileged Identity Management ist unumgänglich

An diesem Punkt zeigt sich auch die ganze Komplexität des Themas Identity Governance. In vielen großen Unternehmen ist das Benutzermanagement in aller Regel standardmäßig vorhanden und auch privilegierte Benutzerkonten werden oft verwaltet, gesichert und überwacht. Doch das Thema Privileged Identity Management greift wesentlich weiter. Dabei geht es etwa auch um Application Accounts oder Software Accounts, also um die Passwörter, die in Applikationen, Skripten oder Konfigurationsdateien gespeichert sind. Sie werden für den direkten, automatischen Zugriff von Anwendungen auf Backend-Systeme benötigt, zum Beispiel auf Datenbanken. Da die Passwörter in aller Regel im Klartext eingebettet sind und nie geändert werden, stellen sie ein erhebliches Sicherheitsrisiko dar. Statische Passwörter sollten deshalb eliminiert und alle Application Accounts zentral abgelegt, verwaltet und regelmäßig geändert werden. Bei etlichen Unternehmen dürfte es an diesem Punkt noch einen erheblichen Nachholbedarf geben.

Doch auch mit dem Management und der Überwachung der privilegierten und Application Accounts ist ein Unternehmen noch nicht auf der sicheren Seite. Ein wesentlicher Punkt fehlt noch: das Privileged Session Management, das heißt die Protokollierung von Sessions, um eine vollständige Transparenz über alle Vorgänge bei privilegierten Zugriffen zu erhalten. Damit ist eine revisionssichere Nachvollziehbarkeit aller Aktionen vom Zeitpunkt der Anmeldung an einem System bis zur Abmeldung gegeben. Gerade bei der Einbindung externer Dienstleister oder Service-Provider in die eigene IT ist eine Privileged-Session-Management-Lösung unter Sicherheitsaspekten unverzichtbar – und zwar nicht nur für große, sondern auch für kleine und mittelständische Unternehmen, die Standardaufgaben zunehmend in die Cloud verlagern.

Compliance-Regeln zwingen zur Nutzer- und Rechteverwaltung

Identity Governance bedeutet darüber hinaus aber auch die adäquate Umsetzung von Compliance-Vorgaben zur Nutzer- und Rechteverwaltung. Sie finden sich in zahlreichen Richtlinien und Regelungen wie im BDSG (Bundesdatenschutzgesetz), in den Richtlinien des BSI (Bundesamt für Sicherheit in der Informationstechnik) oder im Standard ISO/IEC 27002. Eine Verschärfung erfährt das Thema Compliance durch die EU-Datenschutz-Grundverordnung (EU-DSGVO), die bereits vor zwei Jahren in Kraft trat und ab Ende Mai 2018 anzuwenden ist. Sie erhöht den Druck in puncto Identity Governance auf die Unternehmen deutlich, denn teilweise drohen bei Nichtbeachtung der Vorgaben drastische Geldstrafen. Zu den Compliance-Anforderungen der unterschiedlichen Richtlinien und Verordnungen zählen etwa die rollenbasierte Identitätsverwaltung, Zugriffskontrollen oder der adäquate Schutz personenbezogener Daten.

Die Komplexität des Themas Identity Governance stellt viele Unternehmen vor große Herausforderungen – allein schon hinsichtlich der Auswahl von sicheren und kostengünstigen Lösungen für die Erfüllung aller Anforderungen. Gerade kleine und mittelständische Unternehmen stoßen zudem etwa bei der Identifizierung personenbezogener Daten oder der Ermittlung von Nutzerrechten schnell an ihre Kapazitätsgrenzen. Erschwerend kommt hinzu, dass die Umsetzung eines Identity-Governance-Projektes bis zu 200 Personentage in Anspruch nimmt. Folglich sollten Unternehmen durchaus prüfen, einen externen Dienstleister hinzuzuziehen, und auch evaluieren, ob im Bereich Identity Governance eine reine Vor-Ort-Lösung oder ein Managed-Security-Service die bessere Wahl ist.

 

* Kai Grunwitz ist Senior Vice President EMEA bei NTT Security