Sie sind hier: Home » Fachartikel » Entscheidungshilfen

Regelbasiertes Rechtemanagement und Compliance


Identity Management kann die regelbasierte und automatisierte Rechtevergabe gewährleisten
Identity und Access Management ermöglicht Compliance bei Benutzerrechten: Erster Schritt: Scan-Tools geben auf Knopfdruck Auskunft über bestehende Strukturen

(24.10.08) - Compliance ist derzeit in aller Munde. Kein Wunder: In den Medien häufen sich Berichte über Schäden aufgrund mutwilliger Manipulationen oder unbeabsichtigter Verletzungen von Sicherheitsrichtlinien. Neue Vorgaben wie EuroSOX schlagen Wellen.

Die Einhaltung der Vorschriften ist Chefsache, doch die IT trägt einen entscheidenden Teil zur Einhaltung bei. econet, der Münchner Experte für serviceorientiertes Identitätsmanagement, rät Unternehmen, rasch die generischen Voraussetzungen für möglichst viele Compliance-relevante Faktoren zu schaffen. Denn nahezu alle Regularien verlangen hohe Transparenz bei IT-Berechtigungen und deren Vergabe, um jederzeit die Sicherheit interner Prozesse nachweisen zu können.

Zwei Aspekte sind dabei vorrangig:
1. Kontrollierte Rechtevergabe und sicherer Rechteentzug:
Im Falle einer Kontrolle stellen Risk Manager und Auditoren folgende Fragen: Sind die Prozesse definiert? Gibt es ein Mehr-Augen-Prinzip bei der Rechtevergabe für den Zugriff auf sensible Daten oder Systeme? Bleibt eine Rechtevergabe unter Umgehung der definierten Prozesse unentdeckt? Kann ein wasserdichter Rechteentzug (De-Provisioning) – beispielsweise wenn ein Mitarbeiter das Unternehmen verlässt – gewährleistet werden?

Darauf können Unternehmen guten Gewissens gesetzeskonforme Antworten liefern, wenn eine Identity-Management-Lösung die regelbasierte und automatisierte Rechtevergabe gewährleistet und damit auch das De-Provisioning per Knopfdruck ermöglicht.

2. Transparenz bei Berechtigungen und der Rechtevergabe: Für die Beantwortung von Fragen wie "Wer darf was?" und "Wer hat wem Berechtigungen erteilt?" ist Provisioning mit einer Identity-Management-Lösung unabdingbar. Denn erst durch die vordefinierten und automatisiert ablaufenden Prozesse lässt sich eine lückenlose Revision aller Genehmigungsschritte bei der Rechtevergabe bewerkstelligen. Und sowohl die aktuellen als auch die historischen Berechtigungen können damit jederzeit ausgelesen werden.

Was können aber diejenigen tun, die noch keine Identitätsmanagement-Lösung im Einsatz haben und rasch Antworten auf Fragen benötigen wie: "Welche Mitarbeiter haben Schreibrechte auf das Verzeichnis 'Geschäftsbericht 2008'?"

Der erste Schritt zur Compliance
IT-Verantwortliche, die sich an einer Berechtigungsprüfung gewachsener Windows-Dateisysteme versucht haben, wissen, dass die Auswertung und Nachvollziehbarkeit der Berechtigungen mit gewöhnlicher Manpower nicht zu bewerkstelligen ist. Mit geeigneten Tools ist das jedoch kein Problem: Sie geben auf Knopfdruck detailliert Auskunft über alle existierenden Rechte und Benutzer in Windows-Dateisystemen und decken dabei über integrierte Analysen konkrete Risiken und Compliance-Verletzungen auf. Dies kann für viele unter Druck stehende Organisationen der erste Schritt in Richtung Compliance im Bereich Berechtigungsverwaltung sein.

"Die Vergabe von Zugriffsrechten ist mehr denn je ein Thema, das weder Behörden noch Unternehmen dem Zufall oder einzelnen Personen überlassen dürfen. Wir leisten Aufklärungsarbeit, um die Chefetagen wachzurütteln", sagt Max Peter, CEO und Vorstandsvorsitzender der econet AG. "Unternehmen sollten in diesem Punkt dringend auf Experten vertrauen." (econet: ra)



Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Entscheidungshilfen

  • Mittels gezielter Analyse Geldwäsche erkennen

    Terroristen, organisierte Kriminelle, Menschenhändler, Drogenschmuggler, korrupte Politiker - sie alle nutzen den internationalen Finanzmarkt, um ihre inkriminierten Gelder zu waschen und daraus Profit zu schlagen. Geldwäsche. Überall. Ungehindert. Ungestraft. Die aktuellen Enthüllungen um die FinCEN-Files zeigen ein globales Problem schonungslos auf, dessen Dimension kaum zu fassen ist. Laut einstimmigen Berichten werden 5,5 Milliarden Dollar gewaschen - täglich. Die Vereinten Nationen sprechen von nur circa 0,2 und einem Prozent von Fällen, die tatsächlich erkannt werden. Für Deutschland gibt es verschiedene Schätzungen, wonach das Volumen des gewaschenen Geldes zwischen 50 und 110 Milliarden Euro jährlich liegt. Wie die FinCEN-Files laut einschlägigen Medienberichten darlegen, zeigen diese Nachforschungen insbesondere die systemischen Fehler in der Bekämpfung von Geldwäsche auf. Kriminelle können ohne große Hindernisse Geldwäsche betreiben, in mehreren Fällen ist es so, dass die notwendigen Meldungen über verdächtige Transaktionen im Schnitt ein halbes Jahr lang nicht an die entsprechenden Anti-Geldwäsche-Behörden weitergeleitet wurden.

  • Beste Liquidität sind vermiedene Ausgaben

    Durch die wirtschaftlichen Auswirkungen der weltweiten Corona-Pandemie sind viele Familienunternehmen mit existenziellen Herausforderungen konfrontiert - auch wenn sie bisher mit einem hervorragenden Geschäftsmodell und wirtschaftlich kerngesund unterwegs waren. Innerhalb weniger Tage muss das Management unverschuldet in den Krisenmodus umschalten, muss lose Enden von der Supply Chain bis zu den Absatzkanälen zusammenhalten, auf Sicht fahren und das Unternehmen ausschließlich über Liquidität steuern - und dies bei rechtlichen Rahmenbedingungen, die sich laufend ändern bzw. unklar sind. Doch wie in diesem Umfeld den Betrieb aufrechterhalten? Vier Schritte führen durch bzw. aus der die Krise.

  • Compliance-bezogene Kosten

    Datenschutzverletzungen mit einem genauen Preisschild zu versehen ist keine ganz triviale Aufgabe. Es wurden schon einige Berichte veröffentlicht, in denen versucht wurde, die durchschnittlichen Kosten einer Datenschutzverletzung zu berechnen. Aber inwieweit sind diese Zahlen aussagekräftig und geben uns Aufschluss für ein einzelnes Unternehmen? Sicherheitsvorfälle sind heute für jedes Unternehmen so gut wie unausweichlich. Deshalb verwenden Sicherheitsexperten solche Kennzahlen gerne als Unterstützung bei der Entscheidungsfindung. Man muss eine ungefähre Vorstellung davon haben, was eine potenzielle Datenschutzverletzung kosten kann, um in etwa einschätzen zu können wie viel man ausgeben muss, um sie zu verhindern. Und nicht zuletzt, um die Ausgaben auf der Geschäftsleitungsebene oder der Vorstandsetage zu rechtfertigen.

  • Triage-Entscheidungen treffen

    Bei der Bewältigung der Corona-Pandemie kann auch das deutsche Gesundheitssystem an seine Kapazitätsgrenzen stoßen. Abhängig von der weiteren Entwicklung der Pandemie kann es wie etwa in Italien zu Situationen kommen, in denen nicht mehr alle Patienten einer lebenserhaltenden Intensivbehandlung zugeführt werden können. Entscheidungen über die Zuteilung knapper Ressourcen wären dann unausweichlich. Da es an rechtsverbindlichen Vorgaben für solche Entscheidungen fehlt, bewegen sich Mediziner auf ethisch wie rechtlich ungesichertem Terrain. Im Ernstfall drohen Ärzten und Krankenhäusern erhebliche Haftungsrisiken, wenn einem Patienten die medizinisch erforderliche Behandlung verweigert wird.

  • Was bedeutet RTS SCA/CSC für PSD2?

    Im September 2019 sind sie in vollem Umfang in Kraft getreten: Die überarbeitete Zahlungsdiensterichtlinie (Payment Service Directive), die meist mit der Abkürzung PSD2 bezeichnet wird, und die technischen Regulierungsstandards (Regulatory Technical Standards, RTS), die vorschreiben, wie PSD2 umzusetzen ist. Die Richtlinie gilt für alle Mitgliedstaaten der Europäischen Union (EU) und verpflichtet sämtliche Finanzinstitute, ihre Kundendaten und Zahlungsnetzwerke für Zahlungsdienstleister (Payment Service Providers, PSP) und andere Drittanbieter (Third Party Providers, TPP) zu öffnen. Ziel der Richtlinie ist es, das Monopol der Finanzinstitute auf die Daten ihrer Nutzer abzuschaffen, den Wettbewerb zu stärken und neue, innovative Finanzlösungen zu fördern sowie gleichzeitig Standards zur Gewährleistung der Interoperabilität und der Sicherheit von Nutzerdaten festzulegen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen