Regelbasiertes Rechtemanagement und Compliance
Identity Management kann die regelbasierte und automatisierte Rechtevergabe gewährleisten
Identity und Access Management ermöglicht Compliance bei Benutzerrechten: Erster Schritt: Scan-Tools geben auf Knopfdruck Auskunft über bestehende Strukturen
(24.10.08) - Compliance ist derzeit in aller Munde. Kein Wunder: In den Medien häufen sich Berichte über Schäden aufgrund mutwilliger Manipulationen oder unbeabsichtigter Verletzungen von Sicherheitsrichtlinien. Neue Vorgaben wie EuroSOX schlagen Wellen.
Die Einhaltung der Vorschriften ist Chefsache, doch die IT trägt einen entscheidenden Teil zur Einhaltung bei. econet, der Münchner Experte für serviceorientiertes Identitätsmanagement, rät Unternehmen, rasch die generischen Voraussetzungen für möglichst viele Compliance-relevante Faktoren zu schaffen. Denn nahezu alle Regularien verlangen hohe Transparenz bei IT-Berechtigungen und deren Vergabe, um jederzeit die Sicherheit interner Prozesse nachweisen zu können.
Zwei Aspekte sind dabei vorrangig:
1. Kontrollierte Rechtevergabe und sicherer Rechteentzug: Im Falle einer Kontrolle stellen Risk Manager und Auditoren folgende Fragen: Sind die Prozesse definiert? Gibt es ein Mehr-Augen-Prinzip bei der Rechtevergabe für den Zugriff auf sensible Daten oder Systeme? Bleibt eine Rechtevergabe unter Umgehung der definierten Prozesse unentdeckt? Kann ein wasserdichter Rechteentzug (De-Provisioning) – beispielsweise wenn ein Mitarbeiter das Unternehmen verlässt – gewährleistet werden?
Darauf können Unternehmen guten Gewissens gesetzeskonforme Antworten liefern, wenn eine Identity-Management-Lösung die regelbasierte und automatisierte Rechtevergabe gewährleistet und damit auch das De-Provisioning per Knopfdruck ermöglicht.
2. Transparenz bei Berechtigungen und der Rechtevergabe: Für die Beantwortung von Fragen wie "Wer darf was?" und "Wer hat wem Berechtigungen erteilt?" ist Provisioning mit einer Identity-Management-Lösung unabdingbar. Denn erst durch die vordefinierten und automatisiert ablaufenden Prozesse lässt sich eine lückenlose Revision aller Genehmigungsschritte bei der Rechtevergabe bewerkstelligen. Und sowohl die aktuellen als auch die historischen Berechtigungen können damit jederzeit ausgelesen werden.
Was können aber diejenigen tun, die noch keine Identitätsmanagement-Lösung im Einsatz haben und rasch Antworten auf Fragen benötigen wie: "Welche Mitarbeiter haben Schreibrechte auf das Verzeichnis 'Geschäftsbericht 2008'?"
Der erste Schritt zur Compliance
IT-Verantwortliche, die sich an einer Berechtigungsprüfung gewachsener Windows-Dateisysteme versucht haben, wissen, dass die Auswertung und Nachvollziehbarkeit der Berechtigungen mit gewöhnlicher Manpower nicht zu bewerkstelligen ist. Mit geeigneten Tools ist das jedoch kein Problem: Sie geben auf Knopfdruck detailliert Auskunft über alle existierenden Rechte und Benutzer in Windows-Dateisystemen und decken dabei über integrierte Analysen konkrete Risiken und Compliance-Verletzungen auf. Dies kann für viele unter Druck stehende Organisationen der erste Schritt in Richtung Compliance im Bereich Berechtigungsverwaltung sein.
"Die Vergabe von Zugriffsrechten ist mehr denn je ein Thema, das weder Behörden noch Unternehmen dem Zufall oder einzelnen Personen überlassen dürfen. Wir leisten Aufklärungsarbeit, um die Chefetagen wachzurütteln", sagt Max Peter, CEO und Vorstandsvorsitzender der econet AG. "Unternehmen sollten in diesem Punkt dringend auf Experten vertrauen." (econet: ra)
Meldungen: Entscheidungshilfen
-
Daten in virtuellen Datenräumen
Die Lage der IT-Sicherheit ist weiterhin angespannt und die Zahl der Cyberangriffe steigt stetig. Betroffen sind neben Privathaushalten vor allem Unternehmen, Organisationen und Behörden. Das bestätigt auch die aktuelle Studie des Branchenverbands Bitkom: Neun von zehn Unternehmen wurden im vergangen Jahr Opfer eines Cyberangriffs. Eines der größten Einfallstore für Cyberkriminelle ist dabei der ungesicherte Austausch sensibler Informationen. Rund 68 Prozent der befragten Unternehmen geben an, dass Cyberkriminelle Kommunikationsdaten entwendet haben.
-
Moderne Banken-IT-Sicherheit
Die Sicherheitsabläufe einer Bank zu verwalten, ist ein komplexes Unterfangen. Es bedarf hohem Aufwand, um mit den sich ständig ändernden Sicherheitsanforderungen Schritt zu halten. Entsprechend lang ist die Liste für Sicherheitsverantwortliche. Da ist die kontinuierliche Integration genannter Anforderungen in die bestehende Infrastruktur: IT-Abteilungen müssen mit den stetigen Veränderungen der Gesetzeslage mithalten.
-
Sich für das Lieferkettengesetz wappnen
Das Lieferkettengesetz bereitet vielen Unternehmen Kopfzerbrechen - vor allem, weil sie nicht wissen, wie sie seine Anforderungen erfüllen sollen, ohne dass der bürokratische Aufwand und die Kosten aus dem Ruder laufen. Ab dem 1. Januar 2023 treten die Vorschriften des Lieferkettengesetzes stufenweise in Kraft. Danach müssen fast 3.000 Unternehmen in Deutschland mit mehr als 1.000 Beschäftigten sicherstellen, dass ihre nationalen und internationalen Lieferanten keine Menschenrechte verletzen, die Grundsätze der Arbeitssicherheit beachten und die Auflagen des Umweltschutzes erfüllen. Hierfür gilt es in den nächsten Monaten die Voraussetzungen zu schaffen.
-
Betriebsrente jenseits BetrAVG
Wer als Arbeitgeber Betriebsrenten gestalten möchte, schaut in das Betriebsrentengesetz, genauer das Betriebliche Altersversorgungsgesetz (BetrAVG). Doch eine Betriebsrente nach dem BetrAVG zu gestalten passt meist weder zu den Arbeitgeberbedürfnissen noch für Arbeitnehmer. Gesetzesänderungen auch infolge EU-Recht und Rechtsprechung machen das BetrAVG zudem unberechenbar. Wirkliche Freiheit für eine Gestaltung nach eigenen Wünschen gewinnt, wer das BetrAVG als unnötige Belastung und Einschränkung über Bord wirft. Dazu bedarf es erstaunlich wenig - bewirkt indes viel. Das unnötige Korsett des Betriebsrentengesetzes hat bereits abgestreift, wer die Rente nicht als Arbeitgeber selbst zusagt. Denn der erste Satz besagten Gesetzes lautet "Werden einem Arbeitnehmer Leistungen der Alters-, Invaliditäts- oder Hinterbliebenenversorgung aus Anlass seines Arbeitsverhältnisses vom Arbeitgeber zugesagt (betriebliche Altersversorgung), gelten die Vorschriften dieses Gesetzes." Sobald also nicht der Arbeitgeber die Zusage erteilt, gilt schlicht das ganze Gesetz dafür nicht, nicht mal eine einzige Bestimmung daraus. Richtig gemacht ergibt sich so größte Freiheit für eine optimale und flexible Gestaltung von Betriebsrenten.
-
Mittels gezielter Analyse Geldwäsche erkennen
Terroristen, organisierte Kriminelle, Menschenhändler, Drogenschmuggler, korrupte Politiker - sie alle nutzen den internationalen Finanzmarkt, um ihre inkriminierten Gelder zu waschen und daraus Profit zu schlagen. Geldwäsche. Überall. Ungehindert. Ungestraft. Die aktuellen Enthüllungen um die FinCEN-Files zeigen ein globales Problem schonungslos auf, dessen Dimension kaum zu fassen ist. Laut einstimmigen Berichten werden 5,5 Milliarden Dollar gewaschen - täglich. Die Vereinten Nationen sprechen von nur circa 0,2 und einem Prozent von Fällen, die tatsächlich erkannt werden. Für Deutschland gibt es verschiedene Schätzungen, wonach das Volumen des gewaschenen Geldes zwischen 50 und 110 Milliarden Euro jährlich liegt. Wie die FinCEN-Files laut einschlägigen Medienberichten darlegen, zeigen diese Nachforschungen insbesondere die systemischen Fehler in der Bekämpfung von Geldwäsche auf. Kriminelle können ohne große Hindernisse Geldwäsche betreiben, in mehreren Fällen ist es so, dass die notwendigen Meldungen über verdächtige Transaktionen im Schnitt ein halbes Jahr lang nicht an die entsprechenden Anti-Geldwäsche-Behörden weitergeleitet wurden.
