Was Lösungen für Identity Governance können

Funktionen von Identity Governance

Identity Governance Lösungen sollen den Nachweis erbringen, dass auf Nutzer und Berechtigungen bezogene Sicherheitsrichtlinien umgesetzt werden und damit die Nutzer die richtigen Rechte und nicht mehr Rechte als nötig haben. Identity Governance Lösungen liefern die für diesen Nachweis notwendigen Informationen. Dafür bieten diese Lösungen unter anderem die nachfolgend beschriebenen Funktionen.

1. Access Visibility

Grundlage auch für alle weiteren Funktionen ist zunächst die zentrale Sichtbarkeit der vergebenen Berechtigungen. Berechtigungen können Geschäftsrollen, IT-Rollen oder in Zielsystemen definierte Berechtigungsobjekte (z.B. Active Directory Gruppen) sein. Die Darstellung muss klar erkennbar machen, welche Rechte eine Person auf einem Zielsystem hat.

2. Access Certification

Da in aller Regel nicht sichergestellt werden kann, dass bei der Vergabe und dem Entzug von Rechten alles richtig läuft, muss deren Richtigkeit regelmäßig z.B. durch den Vorgesetzten oder Anwendungsverantwortlichen bestätigt werden. Identity Governance-Lösungen erlauben zu diesem Zweck die Definition von Rezertifizierungs-Kampagnen, die nach bestimmten Selektionskriterien die zu zertifizierenden Benutzer als auch deren Rechte umfassen können (z.B. nur bestimmte Abteilung, nur bestimmte Anwendung).Solche Kampagnen, die zentral überwacht werden können, stellen sicher, dass die Nutzer nur die notwendigen Rechte besitzen. Voraussetzung hierfür ist allerdings, dass die Anzahl der zu zertifizierenden Rechte überschaubar (z.B. durch Definition von sinnvollen Rollen) und für den Zertifizierer verständlich sind.

3. Separation of Duty

Eine Anforderung vieler Compliance Regularien ist die strikte Trennung bestimmter Aufgaben in der Organisation. So soll die gleiche Person in der Regel nicht Waren bestellen und die eingehenden Rechnungen bezahlen dürfen. Diese Anforderungen unterstützen Identity Governance Lösungen durch statisches Separation of Duty (SoD).

Statisches SoD bezeichnet die grundsätzliche durch Rechte gesteuerte Trennung von Aufgaben. Im Gegensatz dazu kann dynamisches SoD nur durch die Anwendung selbst realisiert werden, da hier der Kontext der einzelnen Transaktionen notwendig ist.

In vielen IDM-Systemen (Identity Management) wird SoD auf Basis der definierten Rollen beschrieben. Da Rollen aber schon für die Provisionierung von Rechten verwendet werden, sind sie oft komplex und für Auditoren und Wirtschaftsprüfer nicht zu verstehen. Die Prüfer denken anhand von Geschäftsaktivitäten. Moderne Identity Governance-Lösungen definieren SoD-Regeln deshalb auf Basis von Geschäftsaktivitäten.

Diese Geschäftsaktivitäten sind bei unterschiedlichen Unternehmen einer Branche häufig sehr ähnlich und können z.B. per EXCEL- Sheet, welches die Prüfer zur Verfügung stellen, importiert werden. Das Unternehmen muss nun nur noch die Aktivitäten auf ihre spezifischen IT-Rechte abbilden. Dies ist in der Regel deutlich einfacher und überschaubarer als die Definition von Rollen und stellt zugleich auch noch einen Kontrollmechanismus dar, der indirekt überprüft, ob die Rollen richtig definiert sind.

4. Role Management

Rollen werden eigentlich von Identity Administration-Lösungen für die effiziente Provisionierung von Rechten benötigt. Insbesondere aus zwei Gründen fällt aber die Verwaltung von Rollen auch in den Bereich Identity Governance.

Zum einen wird ein schlankes Rollenmodell benötigt, um die Anzahl zu rezertifizierender Rechte zu minimieren und damit überschaubar zu halten. Zum anderen setzt der Prozess des Rollenmanagement neben dem Wissen der IT auch tiefes Wissen in die Geschäftsprozesse voraus. Unterstützung erhält derjenige, der die Rollen modellieren muss, durch das sogenannte "Role Mining". Hierbei erzeugt die Identity Governance-Lösung Rollenvorschläge und stellt sie im besten Fall graphisch dar.

5. Risk Management

Bestimmte Rechte und Rechtekombinationen können für eine Organisation ein hohes Risiko darstellen. Dies können einzelne hochprivilegierte Rechte (Administrator, SAP_ALL, SYSTEM SPECIAL), Verstöße gegen SoD-Regeln oder ungewöhnliche Rechtekombinationen in einer Abteilung sein.

Risikomanagement läuft in mehreren Stufen ab:

Modellieren > Messen > Erkennen > Abschwächen

Zunächst wird das Risiko modelliert, d.h. es wird definiert, was ein Risiko darstellt. Nun wird überprüft, ob Risiken vorhanden sind. Dabei werden entsprechende existierende Risiken aufgedeckt. Im letzten Schritt werden für diese aufgedeckten Risiken sogenannte Mitigationen definiert. Dies ist notwendig, da man nicht alle Risiken beseitigen kann. Eine Mitigation schwächt bestehende Risiken durch geeignete Maßnahmen ab. Dies kann z.B. eine stärkere Kontrolle der zugehörigen Identität oder auch nur eine zusätzliche Genehmigung durch z.B. den CISO sein.

Die Risiko-Analyse hilft, kritische Stellen im Unternehmen aufzudecken und zu beseitigen.

6. Access Request

Identity Governance kann auch die Funktion "Access Request", also die Beantragung von Rechten umfassen. Dies ist nicht unbedingt notwendig, da diese Funktion durch die ggf. vorhandene Identity Administration Lösung abgedeckt wird. Access Request innerhalb von Identity Governance kann insbesondere dann in Frage kommen, wenn:

• Keine separate Identity Administration-Lösung im Einsatz ist

• Identity Governance und Identity Administration Aufgaben von den gleichen Personen ausgeführt werden

• Bei der Beantragung gleich SoD und weitere Risikobetrachtungen mit berücksichtigt werden sollen. Dieses präventive SoD bei der Beantragung von Rechten erhöht die Sicherheit und Compliance zusätzlich.