Sie sind hier: Home » Fachartikel » Entscheidungshilfen

Regelbasiertes Rechtemanagement und Compliance


Identity Management kann die regelbasierte und automatisierte Rechtevergabe gewährleisten
Identity und Access Management ermöglicht Compliance bei Benutzerrechten: Erster Schritt: Scan-Tools geben auf Knopfdruck Auskunft über bestehende Strukturen

(24.10.08) - Compliance ist derzeit in aller Munde. Kein Wunder: In den Medien häufen sich Berichte über Schäden aufgrund mutwilliger Manipulationen oder unbeabsichtigter Verletzungen von Sicherheitsrichtlinien. Neue Vorgaben wie EuroSOX schlagen Wellen.

Die Einhaltung der Vorschriften ist Chefsache, doch die IT trägt einen entscheidenden Teil zur Einhaltung bei. econet, der Münchner Experte für serviceorientiertes Identitätsmanagement, rät Unternehmen, rasch die generischen Voraussetzungen für möglichst viele Compliance-relevante Faktoren zu schaffen. Denn nahezu alle Regularien verlangen hohe Transparenz bei IT-Berechtigungen und deren Vergabe, um jederzeit die Sicherheit interner Prozesse nachweisen zu können.

Zwei Aspekte sind dabei vorrangig:
1. Kontrollierte Rechtevergabe und sicherer Rechteentzug:
Im Falle einer Kontrolle stellen Risk Manager und Auditoren folgende Fragen: Sind die Prozesse definiert? Gibt es ein Mehr-Augen-Prinzip bei der Rechtevergabe für den Zugriff auf sensible Daten oder Systeme? Bleibt eine Rechtevergabe unter Umgehung der definierten Prozesse unentdeckt? Kann ein wasserdichter Rechteentzug (De-Provisioning) – beispielsweise wenn ein Mitarbeiter das Unternehmen verlässt – gewährleistet werden?

Darauf können Unternehmen guten Gewissens gesetzeskonforme Antworten liefern, wenn eine Identity-Management-Lösung die regelbasierte und automatisierte Rechtevergabe gewährleistet und damit auch das De-Provisioning per Knopfdruck ermöglicht.

2. Transparenz bei Berechtigungen und der Rechtevergabe: Für die Beantwortung von Fragen wie "Wer darf was?" und "Wer hat wem Berechtigungen erteilt?" ist Provisioning mit einer Identity-Management-Lösung unabdingbar. Denn erst durch die vordefinierten und automatisiert ablaufenden Prozesse lässt sich eine lückenlose Revision aller Genehmigungsschritte bei der Rechtevergabe bewerkstelligen. Und sowohl die aktuellen als auch die historischen Berechtigungen können damit jederzeit ausgelesen werden.

Was können aber diejenigen tun, die noch keine Identitätsmanagement-Lösung im Einsatz haben und rasch Antworten auf Fragen benötigen wie: "Welche Mitarbeiter haben Schreibrechte auf das Verzeichnis 'Geschäftsbericht 2008'?"

Der erste Schritt zur Compliance
IT-Verantwortliche, die sich an einer Berechtigungsprüfung gewachsener Windows-Dateisysteme versucht haben, wissen, dass die Auswertung und Nachvollziehbarkeit der Berechtigungen mit gewöhnlicher Manpower nicht zu bewerkstelligen ist. Mit geeigneten Tools ist das jedoch kein Problem: Sie geben auf Knopfdruck detailliert Auskunft über alle existierenden Rechte und Benutzer in Windows-Dateisystemen und decken dabei über integrierte Analysen konkrete Risiken und Compliance-Verletzungen auf. Dies kann für viele unter Druck stehende Organisationen der erste Schritt in Richtung Compliance im Bereich Berechtigungsverwaltung sein.

"Die Vergabe von Zugriffsrechten ist mehr denn je ein Thema, das weder Behörden noch Unternehmen dem Zufall oder einzelnen Personen überlassen dürfen. Wir leisten Aufklärungsarbeit, um die Chefetagen wachzurütteln", sagt Max Peter, CEO und Vorstandsvorsitzender der econet AG. "Unternehmen sollten in diesem Punkt dringend auf Experten vertrauen." (econet: ra)


- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Entscheidungshilfen

  • Beste Liquidität sind vermiedene Ausgaben

    Durch die wirtschaftlichen Auswirkungen der weltweiten Corona-Pandemie sind viele Familienunternehmen mit existenziellen Herausforderungen konfrontiert - auch wenn sie bisher mit einem hervorragenden Geschäftsmodell und wirtschaftlich kerngesund unterwegs waren. Innerhalb weniger Tage muss das Management unverschuldet in den Krisenmodus umschalten, muss lose Enden von der Supply Chain bis zu den Absatzkanälen zusammenhalten, auf Sicht fahren und das Unternehmen ausschließlich über Liquidität steuern - und dies bei rechtlichen Rahmenbedingungen, die sich laufend ändern bzw. unklar sind. Doch wie in diesem Umfeld den Betrieb aufrechterhalten? Vier Schritte führen durch bzw. aus der die Krise.

  • Compliance-bezogene Kosten

    Datenschutzverletzungen mit einem genauen Preisschild zu versehen ist keine ganz triviale Aufgabe. Es wurden schon einige Berichte veröffentlicht, in denen versucht wurde, die durchschnittlichen Kosten einer Datenschutzverletzung zu berechnen. Aber inwieweit sind diese Zahlen aussagekräftig und geben uns Aufschluss für ein einzelnes Unternehmen? Sicherheitsvorfälle sind heute für jedes Unternehmen so gut wie unausweichlich. Deshalb verwenden Sicherheitsexperten solche Kennzahlen gerne als Unterstützung bei der Entscheidungsfindung. Man muss eine ungefähre Vorstellung davon haben, was eine potenzielle Datenschutzverletzung kosten kann, um in etwa einschätzen zu können wie viel man ausgeben muss, um sie zu verhindern. Und nicht zuletzt, um die Ausgaben auf der Geschäftsleitungsebene oder der Vorstandsetage zu rechtfertigen.

  • Triage-Entscheidungen treffen

    Bei der Bewältigung der Corona-Pandemie kann auch das deutsche Gesundheitssystem an seine Kapazitätsgrenzen stoßen. Abhängig von der weiteren Entwicklung der Pandemie kann es wie etwa in Italien zu Situationen kommen, in denen nicht mehr alle Patienten einer lebenserhaltenden Intensivbehandlung zugeführt werden können. Entscheidungen über die Zuteilung knapper Ressourcen wären dann unausweichlich. Da es an rechtsverbindlichen Vorgaben für solche Entscheidungen fehlt, bewegen sich Mediziner auf ethisch wie rechtlich ungesichertem Terrain. Im Ernstfall drohen Ärzten und Krankenhäusern erhebliche Haftungsrisiken, wenn einem Patienten die medizinisch erforderliche Behandlung verweigert wird.

  • Was bedeutet RTS SCA/CSC für PSD2?

    Im September 2019 sind sie in vollem Umfang in Kraft getreten: Die überarbeitete Zahlungsdiensterichtlinie (Payment Service Directive), die meist mit der Abkürzung PSD2 bezeichnet wird, und die technischen Regulierungsstandards (Regulatory Technical Standards, RTS), die vorschreiben, wie PSD2 umzusetzen ist. Die Richtlinie gilt für alle Mitgliedstaaten der Europäischen Union (EU) und verpflichtet sämtliche Finanzinstitute, ihre Kundendaten und Zahlungsnetzwerke für Zahlungsdienstleister (Payment Service Providers, PSP) und andere Drittanbieter (Third Party Providers, TPP) zu öffnen. Ziel der Richtlinie ist es, das Monopol der Finanzinstitute auf die Daten ihrer Nutzer abzuschaffen, den Wettbewerb zu stärken und neue, innovative Finanzlösungen zu fördern sowie gleichzeitig Standards zur Gewährleistung der Interoperabilität und der Sicherheit von Nutzerdaten festzulegen.

  • Datenqualität sowie Datenmaskierung

    FinTechs machen es den traditionellen Geldinstituten vor, worin die Zukunft liegt: In den Kundendaten. Diese dürfen Banken jedoch nicht mehr in einen großen Pool leiten und in Datensilos verteilen. Stattdessen müssen sie dafür sorgen, dass ihre Abteilungen und Entwickler unkompliziert auf Daten zugreifen und diese datenschutzkonform verarbeiten. Erst dann können Banken ihren Kunden in Echtzeit personalisierte Angebote machen. Sobald eine Kunde etwas tut, gleichen gute Finanz-Startups die Aktion mit der Historie ab, um sofort ein personalisiertes Angebot zu unterbreiten. Diese Agilität ist der große Vorteil. Allerdings haben viele Verbraucher ihr Geld noch überwiegend bei einer klassischen Bank liegen. Die wenigsten wickeln ihre Überweisungen über FinTechs oder Messenger ab. Der Grund: Geldinstitute genießen bei Verbrauchern vor allem hinsichtlich des Datenschutzes das höchste Vertrauen. Diese Einschätzung trifft die "BLC Studie Datenschutz 2018", durchgeführt von Berg, Lund & Company. "Den Vertrauensvorschuss und ihre große Kundenbasis müssen Banken nutzen, um neue Geschäftsmodelle mutig anzugehen", empfiehlt die Studie. Bleibt die Frage nach dem Wie? Das schnelle Entwickeln einer App ist die Antwort. Doch dafür gilt es zunächst, für Datenqualität und -schutz zu sorgen - und zwar so, dass sich der Datenzugriff nicht verlangsamt. Genau das blockieren die Datensilos, welche die meisten Banken verwalten.