Unnötige Risiken

Sicherheitslücken trotz Identity-Management

26.11.2009
Von 
Werner Kurzlechner lebt als freier Journalist in Berlin und beschäftigt sich mit Rechtsurteilen, die Einfluss auf die tägliche Arbeit von Finanzentscheidern nehmen. Als Wirtschaftshistoriker ist er auch für Fachmagazine und Tageszeitungen jenseits der IT-Welt tätig.
Weitere Artikel des Autors
Vertane Möglichkeit: IdM-Nutzer könnten überflüssige Daten automatisch löschen lassen - tun viele aber nicht.
Vertane Möglichkeit: IdM-Nutzer könnten überflüssige Daten automatisch löschen lassen - tun viele aber nicht.

Geduld ist also gefragt, die sich indes in aller Regel lohnt. 91 Prozent berichten von einer Verbesserung der Prozesse im Unternehmen, 78 Prozent fühlen sich wohler hinsichtlich Sicherheit und Compliance und 56 Prozent stellen sinkende Kosten fest. Dieser Punkt ist von den drei genannten allerdings derjenige, der auch schief laufen kann. 13 Prozent geben an, hinsichtlich der Kosten jetzt schlechter dazustehen.

Geschäftsprozesse: Firmen nehmen Wildwuchs in Kauf

Bis hierhin fällt der Eindruck also überwiegend positiv, wenngleich nicht perfekt aus. Dass Anwender im Umgang mit ihren IdM-Lösungen bei weitem nicht alles richtig machen, unterstreicht Deron mit einem Beispiel: Benutzerleichen, also aus dem Unternehmen ausgeschiedene Mitarbeiter mit weiterlaufenden Accounts, stellen ein Risiko dar, dass 77 Prozent der Unternehmen insgesamt nicht ausschließen können. Der ernüchternde Befund dabei: Auch 70 Prozent der IdM-Anwender können das nicht, obwohl ihre Lösung eigentlich für automatische Löschung oder Deaktivierung solcher Accounts sorgen könnte.

Als Ursache dafür macht Deron lückenhaft definierte Geschäftsprozesse aus. Mit dem Einsatz von IdM-Anwendung erfolgt zwar automatisch eine Definition der Geschäftsprozesse. Allerdings begnügen sich viele Firmen damit, nur die erwartbaren, alltäglichen Prozesse zu bestimmen. Seltene Fälle werden also nicht berücksichtigt, was zu Wildwuchs führt. Denn schließlich sind Administratoren in Einzelfällen zum Anlegen von Accounts und Berechtigungen gezwungen, die das System nicht kennen kann – ein Hort vermeidbarer Unsicherheiten.

Auch wenn Unternehmen für diese Fälle Anweisungen erlassen, bleiben diese allzu oft unbeachtet. Deron nimmt als Ursache für die Lücken an, dass Unternehmen an der falschen Stelle sparen und so unnötige Inkonsistenzen in Kauf nehmen. "Letztlich ist es absurd, von vorn herein Lücken in ein Sicherheitssystem einzubauen", heißt es in der Studie.

Ein weiteres Feld von Sicherheitslücken identifiziert Deron in der kritischen Rechtevergabe. 73 Prozent der Unternehmen räumen hier Defizite ein. Die Ursache der Probleme ist klassisch: Kommunikationsbarrieren zwischen IT und Fachabteilungen. Wenn ein Mitarbeiter einen Zugang zu bestimmten Anwendungen begehrt, benötigt die IT dazu eine Genehmigung durch den Vorgesetzten aus der Fachabteilung. "Da er aber das Vokabular der IT nicht beherrscht, fällt es ihm in aller Regel schwer, seine Wünsche im Detail zu schildern", so die Studie.

Zur Startseite