Lieber "hektisch über den Ecktisch" oder gleich gründlich? Wer seine Identity- und Access-Management-Strategie entwickelt, umsetzt und auditiert, muss viele Hürden überwinden und vor allem sehr anwenderorientiert arbeiten.
Das Thema IT Security ist nicht erst seit gestern allgegenwärtig. Das Management von Benutzern und deren Zugriffsberechtigungen nimmt dabei in jeder ganzheitlich ausgerichteten IT-Security-Strategie eine tragende Rolle ein. Zumindest sollte es das.
Doch tut es das auch? Wie viel Raum kann, beziehungsweise wird einem vermeintlichen Nischenthema wie Identity- und Access-Management (IAM) bei der einnehmenden Diskussion um das "große Ganze" und dem sich stets verdichtenden Buzzword-Dschungel überhaupt noch zugestanden? Welche Entwicklungen und Technologien beschäftigen den Markt derzeit und mit Blick auf die Zukunft? Und wie ist das eigentlich mit der Awareness - gerade auf dem C-Level in den Unternehmen?
Welche Rolle spielt Identity- & Access-Management in Ihrer IT-Sicherheitsstrategie? Foto: ktsdesign - shutterstock.com
Diesen und anderen Fragestellungen widmeten sich die Teilnehmer des COMPUTERWOCHE-Roundtables "Identity & Access Management" im Rahmen einer lebhaften und teils kontrovers geführten Diskussion. Die vom stellvertretenden CW-Chefredakteur Martin Bayer geleitete Runde im Überblick:
Christian Nern, Head of Security Software DACH, IBM
"Die Verteilung von Rollen ist auch ein Politikum"
Bei der Frage nach der Daseinsberechtigung von IAM zeigte sich zwar schnell, dass alle Roundtable-Diskutanten von der Wichtigkeit des Themas überzeugt sind. Als es aber um den Status Quo der Technologie und ihrer Bedeutung für die Gesamt-Sicherheitsstrategie eines Unternehmens ging, drifteten die Meinungen schon etwas auseinander. Carsten Hufnagel etwa zeigte sich überzeugt davon, dass IAM im Zeitalter von Cloud, Industrie 4.0 und Internet of Things zu einer zentralen Komponente geworden ist: "All das funktioniert heute nicht mehr ohne Kontrolle über die Identitäten, das ist der wesentliche Unterschied zu früher."
Dr. Amir Alsbih stimmte hier nur insoweit zu, als dass Identity- und Access-Management ein wichtiger Baustein derSecurity-Strategie sei: "IAM ist wie jede Technologie wichtig, aber sie ist nicht das Zentrale. Erst durch die heutige Vollvernetzung aller Unternehmensbereiche wird es spannend. Es gibt kaum noch ein Unternehmen, das alles selber macht und jeden seiner Partner kennt - an dieser Stelle ist Identity- und Access-Management eine wahnsinnig wichtige Komponente."
Einig waren sich die Teilnehmer hingegen darin, dass eine IT-Security-Komponente alleine kein ausreichendes Schutzniveau gewährleisten kann, wie Christian Nern es auf den Punkt brachte: "Alles wie eine Burg abzuriegeln, wird nicht funktionieren. Das Thema IAM muss in die Gesamtstrategie eingebettet werden. Dabei kommt es auch auf Fragen an wie: ‚Wie arbeitet das System mit meinem SIEM zusammen?‘ oder ‚Wo kann ich Automatismen schaffen?‘"
10 Schritte zum IAM-System
In zehn Schritten zum IAM Softwarelösungen für das Berechtigungs-Management, so genannte Identity-Access-Management-Systeme (IAM), haben sich von ihrem früheren reinen IT-Fokus gelöst. Zwar werden über Single-Point-of-Administration, HR-gestütztes Provisioning und rollenbasierte Zugriffskontrolle nach wie vor Kostensenkung und effizientes Benutzermanagement realisiert. Bei den heutigen IAM-Systemen handelt es sich aber vor allem um Business-Collaboration-Plattformen, die auf eine umfassendere Beteiligung der Fachabteilungen an der Zugriffsverwaltung setzen. <br /> Sie eröffnen erweiterte Möglichkeiten für die Umsetzung von Regularien, Gesetzesvorgaben und des Risikomanagements. IAM wird damit zur tragenden Säule im Rahmen der Governance-, Risk- & Compliance-Strategie (GRC) eines Unternehmens. Der folgende 10-Punkte-Plan gibt einen Überblick, worauf bei der Einführung eines IAM-Systems zu achten ist.
Gemischte Projektteams aus IT und Business IAM ist längst kein reines IT-Thema mehr. Meist können nur Personen außerhalb der IT, die über umfassende Kenntnisse der internen Geschäftsprozesse und der Organisation verfügen, die erforderlichen Informationen zu wesentlichen Aspekten beisteuern: Rollenkonzepte, Genehmigungsstrukturen, Erwartungen an die Nutzeroberflächen oder auch was Barrieren zwischen einzelnen Abteilungen angeht. <br />Projektteams zum Aufbau eines IAM-Systems sollten deshalb stets aus Kompetenzträgern sowohl aus der IT als auch aus dem Business bestehen.
Ziele definieren Klar definierte Ziele und Dienstleistungen sowie ein eng gesteckter Rahmen zu deren Planung und Überwachung sind Erfolgsfaktoren eines jeden IAM-Projektes. Dies wiederum erfordert eine enge Zusammenarbeit zwischen erfahrenen Mitarbeitern sowohl beim Anwender als auch dem implementierenden IAM-Hersteller. <br />Es ist daher sicherzustellen, dass alle Daten und Ziele miteinander vereinbart und von jedem am Projekt Beteiligten verstanden werden, bevor die Einführung beginnt. Jede spätere Anpassung verlängert das Projekt unnötig, sowohl zeitlich als auch hinsichtlich des Budgets.
Vor Start des Projektes: Aufräumen! Hohe Datenqualität ist der Schlüssel für erfolgreiches Identity Access Management. Diese Ausgangssituation ist aber keineswegs selbstverständlich, wenn ein entsprechendes Projekt aufgesetzt wird. Viele Unternehmen pflegen die Zugangsberechtigungen für ihre Beschäftigten oft mehr schlecht als recht; nicht selten herrscht beim Thema Rechteverwaltung ein großes Durcheinander. Die Folgen sind fehlende Verbindungen zwischen Konten und den Nutzern, verwaiste Konten, Rechtschreibfehler, etc. <br />Jedes IAM-Projekt beginnt daher mit einer Konsolidierung der User-IDs, bei der die Benutzerkonten ihren Besitzern zugewiesen werden. So spürt man im ersten Schritt sehr schnell verwaiste Konten auf.
Umsetzung in Phasen Eine IAM-Lösung sollte sowohl alle unternehmensweiten IT-Systeme integrieren können als auch ausreichend skalierbar hinsichtlich der Anzahl der einzubindenden Nutzer sein. Doch muss dies alles nicht auf einmal umgesetzt werden; sinnvoller ist es, das Projekt in erreichbare Zwischenziele aufzuteilen und diese Schritt für Schritt abzuarbeiten.<br /> In der ersten Phase wird dabei nur eine begrenzte Anzahl von Zielsystemen angebunden – idealerweise die wichtigsten; die Anwender nutzen zunächst nur Standardfunktionalitäten. Erste Erfolge sind dadurch schneller sichtbar, was letztlich zum schnelleren Erreichen der vollständigen Projektziele führt.
Anschluss des HR-Systems Probleme im Bereich der Rechteverwaltung resultieren oft aus unzureichender Koordinierung zwischen Human Resources und IT-Abteilung. Meldet das HR-Team Änderungen in der Personalstruktur oder bei den Stellenbezeichnungen der IT zu spät oder sogar gar nicht, kann dies schwerwiegende Folgen haben: Personen erlangen Zugang zu Konten, obwohl sie aufgrund ihrer neuen Rolle gar kein Recht mehr dazu hätten – oder weil sie das Unternehmen sogar ganz verlassen haben. <br />Eine manuelle, nicht automatisierte Informationspolitik und dezentrales Arbeiten tragen noch dazu bei, dass sich Fehler in den Berechtigungsstrukturen schnell und unkontrolliert ausbreiten. Das HR-System sollte deshalb als erstes mit dem IAM-System verbunden werden, um hier zu einer Automatisierung zu gelangen und damit Sicherheit und Kontrolle zu gewährleisten.
Customizing auf ein Minimum reduzieren Führende IAM-Anbieter verkaufen nicht bloß ein Toolkit. Basierend auf der Erfahrung aus vielen realisierten Projekten, sind vorkonfigurierte Standardsysteme vielmehr nach dem Best-of-Breed-Ansatz konzipiert. Auf Standardszenarien verzichten, um ein System möglichst individuell an die Gegebenheiten eines Unternehmens anzupassen, sollte deshalb die Ausnahme bleiben. <br />In einem Standardprodukt spiegelt sich bereits das langjährig erworbene Wissen eines Herstellers um die verschiedensten Herausforderungen im IAM-Umfeld und die jeweils beste Lösung wider. Der Einsatz von Standardkomponenten reduziert zudem auch Implementierung und Wartungskosten auf ein Minimum. <br />Kunden sollten sorgfältig prüfen, ob es statt aufwändigem Customizing nicht sinnvoller wäre, die vorgeschlagene Vorgehensweise eines Standardproduktes zu übernehmen und die eigenen Strukturen hinsichtlich der Prozesse, Terminologie und Verantwortung anzupassen.
Rollen implementieren Das Bündeln von Zugriffsrechten in so genannten "Rollen" reduziert den Administrationsaufwand erheblich und stellt die Grundlage für eine Automatisierung im Bereich der Rechtevergabe dar. Eine Rolle ist die Sammlung einzelner Zugangsrechte, die für eine bestimmte Funktion oder Aufgabe im Unternehmen erforderlich sind.<br /> Role-Mining-Tools bieten Hilfe bei der Definition von Rollen und deren Optimierung über einen kontinuierlichen Prozess hinweg. Hier ist jedoch Vorsicht geboten: Die Einführung von Rollen erfordert mehr als eine einmalige Definition von "Zugriffsrecht-Clustern".
Rollenverantwortliche festlegen Rollen sind lebende, wandelbare Strukturen, die einem ständigen Überwachungs- und Anpassungsprozess unterliegen sollten. Deshalb benötigen sie einen zugewiesenen Besitzer, der die Verantwortung für ihre saubere Ausgestaltung übernimmt. Er muss die Rollen regelmäßig dahingehend überprüfen, ob aufgrund von Veränderungen in der Organisation oder der IT-Systeme Anpassungen notwendig sind. <br />Was für die IAM-Einführung im Großen gilt, hat deshalb auch für das Thema Rollen Relevanz: Aufteilen eines Rollenprojektes in kleine Teilziele, Einbeziehung von sowohl Business- wie IT-Verantwortlichen.
Top-down-Vorgehen Ein Risikobewertungssystem ist ein leistungsfähiges Werkzeug, um die einzelnen Objekte im Access Management – Benutzer, Rollen und Konten – in eine sinnvolle Rangfolge abhängig von ihrer Relevanz zu bringen. Ein solches System jedoch für die gesamte Struktur der Zugriffsrechte zu implementieren, kann zu einem zeitaufwändigen und ressourcenintensiven Projekt führen. <br />Es empfiehlt sich ein Top-down-Ansatz, bei dem die Aufmerksamkeit zunächst auf wichtige Aspekte in einem frühen Stadium des IAM-Betriebs gerichtet wird. Zu einer vollständigen Risikobewertung kann das Unternehmen dann im Laufe der Zeit aufschließen.
Schnellere Erfolge auf Fachabteilungsebene Treiber eines IAM-Projektes sind in der Praxis oft Wirtschaftsprüfer oder IT-Manager. Um eine Akzeptanz über alle Unternehmensbereiche hinweg zu erreichen, sollte ein Anwenderunternehmen im frühen Projektstadium bereits solche Funktionen evaluieren, die sich an den Wünschen und Bedürfnissen des einzelnen Anwenders orientieren. <br />Warum nicht die verfügbaren vorkonfigurierten Workflows für Anfrage oder Passwort-Reset schon einmal anbieten, anstatt damit zu warten, bis die Lösung bei Projektende zu 100 Prozent implementiert ist? Mit diesem Ansatz wird der Nutzen eines IAM-Systems schnell im praktischen Arbeitsalltag für alle – vom Anwender bis zum Management – spürbar, was ein wichtiger Baustein für den Gesamterfolg des IAM-Projektes ist.
Realistisch bleiben Der 10-Punkte-Plan verdeutlicht es: Moderne IAM-Systeme binden Fachabteilungen ein und verschaffen eine am Geschäftsprozess ausgerichtete und verständliche Sicht auf Identitäten und deren Rechte.<br /> Die Bäume wachsen auch beim Thema Identity Access Management nicht in den Himmel. Erfolgreich sind solche Projekte, bei denen sich die Beteiligten realistische Zwischenziele setzen und Stück für Stück zu einem unternehmensweiten IAM-System vorarbeiten. <br />Dieses erfüllt dann seinen eigentlichen Zweck: die Umsetzung der GRC-Strategie des Unternehmens.
Alles dreht sich um den Anwender
Fabian Guter betonte die Unterschiede beim Einsatz von IAM im Vergleich mit anderen Sicherheitstechnologien: "Wenn wir heute mit großen Unternehmen sprechen, steht der Anwender im Mittelpunkt. Hier nimmt IAM eine andere Position ein als beispielsweise die Firewall. Letztlich benutzt ein Anwender Authentifizierungs-Komponenten und Identitätsmanagement-Tools in verschiedener Form in seinem Alltag, sie dürfen ihn also nicht ausbremsen oder kompliziert zu bedienen sein.
Und der Mitarbeiter sollte diese Systeme auch gerne benutzen. Das ist ein Punkt, der sich gegenüber der Vergangenheit wesentlich verändert hat: Früher wurden solche Systeme oktroyiert und waren alternativlos, heute hat die User Experience des Mitarbeiters einen ganz anderen Stellenwert - man soll sich bei seiner Arbeit wohlfühlen."
Roland Markowski sah einen weiteren Paradigmenwechsel beim Thema Identity- und Access-Management in der zunehmenden Bedeutung datengetriebener Personalisierung begründet: "Bei externen oder Konsumenten-Identitäten ist die Nutzung von IAM-Daten zum Zwecke der Customer Experience ebenfalls etwas Neues, das man in dieser Hinsicht nicht außer Acht lassen sollte."
Ruedi Hugelshofer, Ergon Informatik: "Die Verteilung von Rollen ist nicht nur eine technologische, sondern auch eine politische Entscheidung."
Für Ruedi Hugelshofer ist beim Thema IAM ein weiterer Punkt ganz entscheidend: "Wichtig ist, dass das Business vom Management verstanden wird. In vielen Unternehmen weiß man nämlich gar nicht genau, welche Systeme überhaupt noch vorhanden sind. Darüber hinaus ist die Verteilung von Rollen in vielen Firmen nicht nur eine technologische, sondern auch ein politische Entscheidung."
"Sicherheitsmaßnahmen aus Angst sind Mist"
Das brachte Moderator Martin Bayer zu der Frage, ob sich diese ganzen Anforderungen überhaupt mit einem einzigen, flexiblen System abdecken lassen. Und was, wenn Veränderungen eintreten? Lässt sich etwa flexibel genug auf die Fluktuation in einem Unternehmen reagieren?
"Genau das ist der Mehrwert von Identity- und Access-Management", antwortete Alsbih. "Es gibt keine homogenen Landschaften mehr. Kunden, Partner, Mitarbeiter - alle befinden sich in einem System. Wenn man IAM richtig macht, dann ändern sich die zugewiesenen Rollen bei Bedarf automatisch. Das ist technologisch seit langem möglich."
In erster Linie, so der COO, bestehe beim Identitätsmanagement ein Faulheitsproblem: "Viele sind einfach nicht gewillt, es richtig zu machen, weil es dann eben ein halbes Jahr dauert statt nur zwei Tage. Aber ‚hektisch über den Ecktisch‘ war noch nie eine gute Idee."
An dieser Stelle sah Christian Nern insbesondere auch die Hersteller gegenüber den Kunden in der Pflicht: "Unsere Aufgabe ist es, den Anwenderunternehmen klar zu machen, wie es geht und wie nicht. Wir müssen hier für Transparenz sorgen, zeigen wie es ‚einfach‘ geht und wie die einzelnen - internen und externen - Komponenten zusammenspielen."
Neben dem technologischen Aspekt, sah Fabian Guter eine weitere wesentliche Herausforderung für die Hersteller im IAM-Umfeld: "Jedes System, dass dem Nutzer auferlegt ‚Mach es richtig oder Du bist ein Risiko‘, ist vom Konzept her falsch. Es ist eine der wesentlichen Herausforderungen, dass der Anwender aus der Verantwortung genommen wird. Ein System muss so konzipiert sein, dass es gar nicht mehr falsch bedient werden kann. An dieser Stelle sehe ich im Bereich Access und Authentifizierung großen Handlungsbedarf - auch damit die Hemmungen insbesondere beim Mittelstand fallen."
Mittelstand war genau das richtige Stichwort für Carsten Hufnagel: "Aus meiner Erfahrung kann ich sagen, dass speziell bei mittelständischen Unternehmen der Business-Mehrwert darüber entscheidet, ob ein Projektauftrag zustande kommt oder nicht. Dieser Mehrwert war für viele Unternehmen bei IAM lange nicht auf den ersten Blick erkennbar. Das ändert sich inzwischen jedoch langsam, da der elektronische Austausch der Unternehmen untereinander deutlich zugenommen hat und Identitäten heute auch für ganz neue Business Cases genutzt werden können."
Dr. Amir Alsbih, KeyIdentity: "Bisher wurde einfach zu wenig aus Enablement-Sicht argumentiert."
Alsbih kam daraufhin auch auf ein ganz grundsätzliches Problem des IT-Sicherheits-Marktes zu sprechen: "Bisher wurde in Sachen Security einfach zu wenig aus Enablement-Sicht und zu viel mit Angst argumentiert. Aber jede Sicherheitsmaßnahme, die aus Angst heraus implementiert wird, ist Mist. Man muss seinem Kunden die Vorteile argumentativ darlegen und ihm zeigen, welche Vorteile und Chancen der Einsatz bieten kann."
IAM-Projekte brauchen Rückendeckung durch das Management
Christian Nern brachte schließlich auch das Thema Verantwortlichkeiten auf die Tagesordnung: "Um Identity- und Access-Management als Teil einer Gesamtstrategie verankern zu können, muss klar sein, wer für das Thema zuständig ist."
Christian Nern, IBM: "Es muss klar sein, wer zuständig ist."
Auf Nachfrage von Martin Bayer, wo diese Aufgabe am sinnvollsten aufgehängt werden könne, sagte Nern: "Im Idealfall gibt es einen CISO mit Durchgriff, der sich mit den Business-Bereichen an einen Tisch setzt und mit ihnen gemeinsam die Umsetzung des Projekts vorantreibt."
Ruedi Hugelshofer liebäugelte beim Thema IAM-Verantwortlichkeit dagegen eher mit dem CDO: "Aus unserer Erfahrung mit vielen Airlock-IAM Projekten ist diese Position prädestiniert dafür, weil der Chief Digital Officer in der Regel die nötige Ausbildung und Erfahrung aus den notwendigen Bereichen mitbringt und auch etwas in Sachen Risikomanagement beitragen kann. Auch ein externer Berater könnte an dieser Stelle hilfreich sein, der die Sicht von außen miteinbringt."
So binden Sie Ihre IT-Sicherheitsexperten
Coaching Ermöglichen Sie Ihren Sicherheitsexperten einen regelmäßigen Zugang zu Coachings. So sorgen Sie dafür, dass Ihre Angestellten in Sachen neue Technologien immer auf dem Stand der Dinge sind.
Abwechslung Sie sollten davon absehen, IT-Security-Experten für längere Zeit mit ein und demselben Projekt zu betrauen. Das führt zu Motivations-Stagnation, die wiederum in geringerer Zufriedenheit münden könnte. Um sicherzustellen, dass Ihre Experten mit ihrem Job zufrieden sind, sollten Sie für regelmäßige Rotation bei der Projektarbeit sorgen.
Dampf ablassen Durch den Zugang zu allerlei vertraulichen Informationen und die Verpflichtung zur Verschwiegenheit in diesen Angelegenheiten kann das Feld der IT-Security für Mitarbeiter eine gesteigerte Stressbelastung bedeuten. Deshalb brauchen diese Angestellten einen sicheren Rückzugsort, um diesen Stress abzubauen. Sie sollten also dafür sorgen, dass Ihre Sicherheitsexperten wissen, wen Sie in einem solchen Fall ansprechen können. Außerdem sollten Sie auch in Erwägung ziehen, besonders belastete Projekte nach dem Rotationsprinzip zu vergeben.
Karriere-Chancen Jeder sucht nach Möglichkeiten, in seinem Job voranzukommen. Stellen Sie sicher, dass Ihre Mitarbeiter diese Chance bekommen - zum Beispiel durch neue Projekte oder auch Beförderungen. Zudem sollten Ihre IT-Sicherheitsexperten auch die Chance bekommen, Stagnation durch Zertifizierungen und/oder Weiterbildungen zu verhindern.
Fortbildungen Ihre Security-Spezialisten sollten zudem über alle Zusatz-Zertifizierungen und Weiterbildungsmöglichkeiten informiert sein. So stellen Sie sicher, dass die Mitarbeiter mit Begeisterung bei der Sache sind.
Erfolg messen Um erfolgreich im Job zu sein, ist es wichtig zu wissen, wie man eigentlich performt. Ihre Mitarbeiter sollten also Zugriff auf sämtliche kritische Daten bekommen - etwa wie viele Viren identifiziert und gestoppt werden konnten und welche nicht. Indem Sie Ihren Sicherheitsexperten diese Fakten vor Augen führen, können diese erkennen, welche Auswirkungen ihre Arbeit auf das gesamte Unternehmen hat.
Umgang mit Stress Stress gehört zum Berufsbild eines jeden IT-Security-Spezialisten. Gerade deshalb sollten Sie dafür sorgen, dass Ihre Mitarbeiter wissen, wie sie besonders stressintensive Situationen meistern können. Gerade im Fall von ernsthaften Security-Vorfällen stehen Sicherheitsexperten in der Regel unter massivem Druck. Lassen Sie Ihre Spezialisten nicht im Stich, sondern geben Sie Ihnen - zum Beispiel in Form von Trainings - Werkzeuge zur Stressbewältigung an die Hand. Das reduziert auch das Burnout-Risiko.
Work Life Balance Das hohe Maß an Verantwortung, das IT-Sicherheitsexperten tragen, begünstigt nicht gerade eine gesunde WorkL Life Balance. Entscheider sollten daher dafür eintreten, dass Ihre Mitarbeiter einem ausgewogenen Zeitplan folgen und sie ermutigen, Urlaubstage und flexible Arbeitsumgebungen in Anspruch zu nehmen.
Interesse aufrechterhalten Sowohl langjährige Mitarbeiter und Neueinsteiger verfügen über Wissen und Erfahrungen, die sie miteinander teilen sollten. Um Mitarbeiter aller Ebenen einzubeziehen, sollten Sie IHre Sicherheitsspezialisten zu Mentorship-Programmen ermutigen.
Gleichbehandlung Betonen Sie gegenüber Ihren Mitarbeitern, dass die Meinungen und Ideen eines jeden einzelnen Mitarbeiters wichtig sind - unabhängig von ihrem Titel oder der Betriebszugehörigkeit. So motivieren Sie Ihre Angestellten, "out of the box" zu denken und ihre Ideen auch zum Ausdruck zu bringen. Das vermittelt ein Gefühl von Wertschätzung und sorgt im besten Fall für eine langfristige Bindung IHrer Sicherheitsexperten.
Roland Markowski äußerte jedoch Zweifel, ob ein CDO sowohl Digitalisierung als auch IT Security befriedigend unter einen Hut bringen kann: "Insbesondere für neue CDOs ist es sehr schwierig, in allen Bereichen eines Unternehmens Gehör zu finden. Viele sind gerade einmal ein oder eineinhalb Jahre im Unternehmen und haben einfach keine Hausmacht. Das macht es schwierig, Themen zu lancieren und eine ganzheitliche Denke zu etablieren."
Roland Markowski, Gigya: "Für neue CDOs ist es sehr schwierig, Gehör zu finden."
Ein Problem in vielen Unternehmen seien zudem die internen Widerstände bei der Zusammenarbeit, so Markowski. Deswegen würden viele Firmen dazu übergehen, lieber Innovation Labs und Startups auszugründen, als eine Inhouse-Lösung zu finden. "Unsere Erfahrung zeigt: Wer lange im Unternehmen ist, Hausmacht besitzt und die Rückendeckung des Managements genießt, der bekommt so ein Customer-IAM-Projekt hin. Ansonsten wird es schwierig."
Gute und schlechte CISOs
Apropos Management: Ist das Verständnis für das Thema IT Sicherheit auf dem C-Level angekommen? Und: Kann ein Manager, beziehungsweise Entscheider, es sich heute überhaupt noch leisten, kein technisches Verständnis mitzubringen?
Für Amir Alsbih war die Antwort auf diese Fragen klar: "Wenn der CISO seinen Job richtig macht, dann muss kein technisches Verständnis vorhanden sein. Das unterscheidet für mich einen guten von einem schlechten CISO: Ein guter CISO kann Business und Technik. Das Problem ist nur - und das ist mein ganz persönlicher Eindruck - Wir haben in Deutschland wahnsinnig viele CISOs, die dabei Unterstützung benötigen."
Christian Nern widersprach - zumindest was das Thema Security-Awareness auf Vorstandsebene angeht: "Ich glaube sogar, im Mittelstand ist heute weniger Verständnis für Security da. Dort ist es derzeit noch ein reines IT-Thema mit simplem Perimeterschutz und kein Businessthema."
Der CISO-Check: Taugen Sie zum IT-Security-Manager?
Glauben Sie ... ... an die Möglichkeit, ihre Systeme gründlichst verteidigen zu können und versuchen Sie daher, alles dafür zu tun, alle Bereiche des Unternehmens jeden Tag ein bisschen besser zu schützen?
Schauen Sie ... ... sich nach neuen Instrumenten um, die Funktionsumfang und -tiefe der bestehenden Security-Werkzeuge verbessern?
Überwachen Sie ... ... alle Sensoren Ihres Netzes - sowohl visuell als auch mit technischen Mitteln?
Suchen Sie ... ... kontinuierlich nach neuen Wegen, um Sensordaten besser zu untersuchen und zueinander in Beziehung setzen zu können?
Widmen Sie ... ... der Sicherheit Ihrer geschäftskritischen Anwendungen samt der dort verarbeiteten vertraulichen Daten erhöhte Aufmerksamkeit?
Versuchen Sie ... ... Tag für Tag, Ihr Business besser zu verstehen, damit Sie die IT-Risikoanalyse dem anpassen und stetig verbessern können?
Behalten Sie ... ... Ihre Zulieferer im Blick, damit der Zugriff von Dritten auf vertrauliche und sensible Daten kontrolliert werden kann?
Arbeiten Sie ... ... eng mit den Geschäftsentscheidern zusammen, um die Aufmerksamkeit für das Thema IT-Sicherheit konstant hoch zu halten und über das gesamte Unternehmen hinweg eine Awareness zu erzeugen?
Bewegen Sie ... ... sich in neuen Geschäftsfeldern, in denen disruptive Technologien zum Einsatz kommen und in denen Sie Ihr Security-Wirken schon entfalten können, bevor es richtig ernst wird?
Verlieren Sie ... ... nie die Security-Grundlagen aus den Augen - wie beispielsweise das regelmäßige Patchen?
Dass der Mittelstand Nachholbedarf in Sachen IT Security hat, davon zeigte sich auch Fabian Guter überzeugt, der als Beispiel die Zulieferer der deutschen Automobilindustrie anführte: "Ein maßgeblicher Teil der Innovation der Automobilindustrie findet quasi in kleinen und mittleren Unternehmen statt. Das sind oft Firmen mit bis zu 50 Mitarbeitern, die Kernkomponenten designen, aber in Sachen IT Security nur das Nötigste zur Verfügung haben."
Fabian Guter, SecurEnvoy: "Firmen die Kernkomponenten designen, aber in Sachen IT Security nur das Nötigste haben."
Die OEMs, so Guter weiter, hätten inzwischen erkannt, dass die mittelständischen Zulieferer zum Einfallstor Nummer eins für Hacker geworden seien und würden Maßnahmen ergreifen: "Deswegen muss inzwischen jeder Zulieferer bestimmte Richtlinien erfüllen und das auch im Rahmen eines Audits belegen."
"Und keiner hat Durchblick"
Nach Meinung von Roland Markowski wird die Cloud-Technologie maßgeblichen Einfluss auf die künftige Entwicklung und Wahrnehmung des Customer Identity- und Access-Management nehmen. Das Stichwort Cloud lenkte die Diskussion schließlich auf die EU-Datenschutzgrundverordnung (DSGVO). Ein heikles Thema, wie Carsten Hufnagel deutlich machte: "Unternehmen müssen sich fragen, welche Cloud-Umgebungen sie noch nutzen können und werden nur noch Dienstleister akzeptieren, die ihnen die Rechtskonformität garantieren können."
Auch im Unternehmen von Markowski ist die DSGVO ein brandaktuelles und vieldiskutiertes Thema. Bei den Kunden stifte die GDPR hingegen vor allem Verwirrung, wie Markowski zu berichten wusste: "Für mich ist das momentan noch ein Hühnerhaufen: Es gibt oft multiple Ansprechpartner und keine stringente Strategie bei diesem Thema. Ich behaupte einfach mal, dass am 18. Mai 2018 nicht einmal fünf Prozent der deutschen Unternehmen für die DSGVO bereit ist."
EU-Datenschutzreform 2016: Die wichtigsten Änderungen
Ein Gesetz für alle EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten.
"Recht auf Vergessen" Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen.
"Opt-in" statt "Opt-out" Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher).
Recht auf Transparenz Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden.
Zugang und Portabilität Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können.
Schnellere Meldung Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen.
Weniger Behördenchaos Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben.
Grenzübergreifend Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden.
Erweiterter Geltungsbereich Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben.
Höhere Bußgelder Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes.
Bürokratieabbau Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen.
Erst ab 16 Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen.
Stärkung der nationalen Aufsichtsbehörden Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Das brachte Moderator Martin Bayer zu der Frage, ob Unternehmen das Thema EU-Datenschutz auf die leichte Schulter genommen haben. Die Diskutanten waren sich an dieser Stelle schnell einig, dass dringender Handlungsbedarf besteht. Markowski wiederum brachte den Status Quo beim Thema DSGVO auf den Punkt: "Durch die sehr weit gefasste Definition der personenbezogenen Daten sind in vielen Firmen hunderte von Applikationen betroffen. Und keiner hat Durchblick."
Carsten Hufnagel, Timetoact: "Die großen Konzerne müssen in Sachen DSGVO Vorreiter sein."
Etwas differenzierter sah das hingegen Carsten Hufnagel: "Die großen Konzerne sind in dieser Hinsicht schon tätig geworden. Sie werden die ersten sein, die in Regress genommen werden. Diese Firmen müssen wie so oft Vorreiter sein. Es gibt genügend Punkte, wo man die Anforderungen noch gar nicht genau kennt. Da ist das Identity- und Access-Management bereits in einer sehr guten Position, weil die Anforderungen durch die EU-DSGVO nicht viel anders sind, als die, die beispielsweise die Bafin bislang bereits gestellt hat."
So sieht die IAM-Zukunft aus
Zum Abschluss des Roundtable bat Moderator Martin Bayer die Runde nach einer abschließenden Einschätzung, wie sich das Thema IAM in den nächsten Jahren weiterentwickeln wird. Werden die Trendthemen Künstliche Intelligenz und Machine Learning auch im IAM-Umfeld relevant?
"Ich glaube, dass die Themen KI und ML Berechtigung haben", sagte Alsbih. "Ich weiß nur nicht, ob das auch im Bereich IAM der Fall ist. Wir sprechen - zumindest im Access-Layer - immer noch über Zugriffe. Und man muss sich dann die Frage stellen, ob man ein System haben will, von dem man nicht weiß, wie es funktioniert, das aber über den Zugriff bestimmt. Es gibt einige schöne Beispiele für KI-Fehler. Diese Systeme können in der Security weiterhelfen, wenn es um die Erkennung von Anomalien geht und haben auch in anderen Bereichen Berechtigung - etwa im Marketing. Aber wenn es um Zugang geht, sehe ich das eher nicht."
Carsten Hufnagel stimmte dem zwar grundsätzlich zu, sah die KI-Technologie jedoch in einem anderen Bereich als relevant: "Ich könnte mir schon vorstellen, dass Künstliche Intelligenz beim Thema Risk Management künftig helfen kann. Das würde ich mir wünschen."
Auch Fabian Guter sah für die artifizielle Intelligenz keine Zukunft, wenn es um IAM geht. Zuvor seien erst einmal ganz andere Herausforderungen zu bewältigen: "Die Entwicklung geht weg vom antiquierten Passwort - es wird künftig eher um die tatsächliche Identifikation einer Person gehen und nicht mehr darum, Login-Daten zu kennen. Das ist die wesentliche Herausforderung für das Access-Management."
Roland Markowski sah hingegen das Themenfeld der Biometrie als besonders zukunftsrelevant für IAM an. Künstliche Intelligenz sei für den Bereich Anomalie-Erkennung durchaus sinnvoll sagte Markowski. "Aber ansonsten sehe ich das Thema KI vor allem im Zusammenhang mit der Customer Experience und ganz generell dem Marketing-Umfeld."
Zum Thema Identity & Access Management führt die COMPUTERWOCHE derzeit eine Multiclient-Studie unter IT- und Security-Verantwortlichen durch. Die Studie soll zeigen, wie deutsche Manager das Thema IAM in ihren Unternehmen angehen. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, dann hilft Ihnen Frau Jessica Schmitz-Nellen (jschmitz-nellen@idg.de, Telefon: 089 36086 745) gerne weiter. Informationen zur Studie finden Sie auch hier zum Download.