Titelbild Referenz IAM Kritikalität

Kritikalität im IAM

Bewertung und Handhabung von kritischen Zugriffen

Jede Person im Unternehmen, mit Zugriff auf ein IT-System, stellt ein mögliches Sicherheitsrisiko dar. Für einen Zugriff auf ein IT-System benötigt es Systemberechtigungen, die unterschiedlich zu betrachten sind. Dabei werden alle (privilegierten und nicht privilegierten) Systemberechtigungen von IT-Systemen oder Applikationen berücksichtigt, die an das IAM-System angebunden sind. Je höher diese Kritikalität von Systemberechtigungen ist, desto empfindlicher ist es gegenüber Ausfällen oder Störungen und es besteht ein erhöhtes Risiko für Datenverlust bzw. deren Integrität.

Kritikalität von Systemberechtigung (Risk-Score)

In Abhängigkeit vom Funktionsumfang und den damit verbunden Daten findet eine Einstufung der Systemberechtigung in Hinblick auf deren Kritikalität statt. Die Kritikalität einer Systemberechtigung, auch «Risk-Score» genannt, wird mit einem festen Wert im IAM-System hinterlegt und bildet einen Teil der Grundlage zur Berechnung. Dabei werden Systemberechtigungen mit besonders hohem Funktionsumfang oder mit Zugriff auf schützenswerte Daten – man spricht hier auch von privilegierten Zugriffen – einen hohen Wert zugeordnet. 

Funktionstrennung (Segregation of Duties)

Unter dem Begriff Funktionstrennung (SOD) versteht man die organisatorische Trennung von Teilaufgaben in einem Geschäftsprozess, die zueinander im Konflikt stehen. Dies muss bei der Bildung von Geschäftsrollen oder bei anderen Methoden der Berechtigungsvergabe mitberücksichtigt werden. Bei der Ausführung dieser Aufgaben ist darauf zu achten, dass diese nicht dem gleichen Aufgabenträger zugewiesen werden. Ein Beispiel aus dem Finanzsektor ist das 4-Augen Prinzip bei grossen Konto-Transaktionen, um Missbrauch und Fehler vorzubeugen. Es gibt jedoch Schlüsselpersonen im Unternehmen, die eine Ausnahmegenehmigung für SOD-Konflikte erhalten und somit für diese Personen ein höheres Risiko durch das Unternehmen bewusst und kontrolliert eingegangen werden muss. Damit die Kritikalität vollständig bestimmt werden kann, müssen genehmigte Ausnahmegenehmigungen ebenfalls in die Berechnung einer Kritikalität einfliessen. 

Risiko-Index erheben

Für die Bestimmung der Kritikalität von Berechtigungen einer Identität werden alle privilegierten Zugriffe (system- und applikationsübergreifend) ermittelt und mit dessen genehmigten SOD-Verletzungen kumuliert. Der berechnete Wert bildet einen «Risiko-Index» pro Identität.
Welches Verfahren (Min, Max, Durchschnitt) bei der Ermittlung zum Einsatz kommt, hängt ganz vom Unternehmen ab. In der Praxis wird häufig nachstehender Ansatz angewendet:

Max(Risk-Score) + genehmigte SOD Verletzung = Risk-Index

Hierbei werden von allen Benutzerkonten (persönliche und unpersönliche) der Identität die zugewiesen Systemberechtigungen ausgewertet und deren maximaler Risk-Score berechnet. Hat die Person zusätzlich noch genehmigte SOD-Verletzungen, dann wird der zuvor berechnete Maximalwert um jede weitere Verletzung erhöht. Es können auch weitere Faktoren in die Berechnung mit einbezogen werden, z.B. ob diese Identität ein externer Mitarbeitender ist oder eine Funktion als Vorgesetzter ausübt.

Risiko-Einstufung pro Identität

Damit die ermittelten Werte ins Verhältnis gesetzt und von den IAM-Prozessen "verwertet" werden können, benötigt es eine Definition, die festlegt, ab wann eine Identität mit der Risikostufe «High» oder «Low» gekennzeichnet wird. Die Einstufung hilft, die relevanten Identitäten und deren Zugriffe im Blick zu behalten. Reports halten Veränderungen in dieser Identitätsmenge transparent und unterstützen adäquate und zeitnahe Reaktionen.

Risiko-Index bewerten und Massnahmen ableiten

Ist die Identitätsmenge evaluiert, dann können die System-Zugriffe dieser Identitäten genauer analysiert werden. Hat nur eine Identität mehrere kritische Systemberechtigungen zugewiesen, kann das ein Indikator sein eine Massnahme einzuleiten. Sind diese Systemberechtigungen kritischen Geschäftsprozessen zugewiesen, die Einfluss auf das Kerngeschäft eines Unternehmens haben, stellt das ein erhöhtes Risiko dar und benötigt Handlungsbedarf. Eine mögliche Massnahme wäre, eine Vertretung dieser Identität mit deren Aufgaben vertraut zu machen. Eine weitere Massnahme könnte sein, das hoch risikobehaftete Systemberechtigungen nur in Verwendung mit einem administrativen Account verwendet werden können, bei dem erhöhte Sicherheitsanforderungen notwendig sind (z.B. 2 Faktor Authentifizierung, stärkeres Passwort, Audit-Log).
Ein weiteres Instrument, um diese Risiken transparent zu halten, ist die Rezertifizierung (zeit- oder eventgesteuerte regelmässige Prüfungen von Berechtigungszuweisungen) von privilegierten Systemberechtigungen. Durchläuft eine Identität einen Abteilungs- und Funktionswechsel, können unter Umständen noch Zugriffe bestehen, die nicht mehr benötigt werden. Diese Situation stellt ebenfalls ein Risiko für das Unternehmen dar und könnte zudem die Werte des Risiko-Index verfälschen.
Rezertifizierungsprozesse sind aufwendig für die Genehmiger, aber die Ausrichtung der Rezertifizierung auf die kritischen Berechtigungszuweisungen und dafür eine häufigere Durchführung derselben führt zu höherer Sicherheit bei reduzierten administrativen Aufwänden. Die Kritikalität in solchen Prozessen zu berücksichtigen, führt zu einer höheren Effizienz und Effektivität.

Compliance-Prozess

Jedes Unternehmen, das sich mit dem Thema Compliance auseinandersetzt und regulatorische Anforderungen in diesem Bereich erfüllen muss, benötigt einen Prozess, der den Ablauf bestimmt. Die einzelnen Bestandteile zeigen einen roten Faden auf, von der Festlegung von privilegierten Zugriffen bis hin zu den abgeleiteten Massnahmen.

Die Qualität einer Risko-Analyse auf dieser Basis steht und fällt natürlich mit den hinterlegten Daten und setzt initial einen gewissen Aufwand voraus. Dafür benötigt es nicht nur Systemkenntnis, welche Systemberechtigungen vorliegen, sondern auch wie diese im Business-Kontext zusammenhängen. So kann ein IAM-Prozess gestaltet und in Workflows abgebildet werden, welcher die Aufmerksamkeit auf die kritischen Berechtigungen und ein wirkungsvolles Instrument für die Compliance schafft.

Sprechen Sie uns an!

Als Business Partner bietet die IPG-Gruppe IAM-Leistungen aus einer Hand und stellt jederzeit eine Sicht aufs Ganze sicher. Wir begleiten Sie bei Ihrem Identity & Access Management Projekt von der ersten Planung, über die Implementierung bis zum Betrieb.

Titelbild zum Expertenbericht IAM Legacy
Blog 13.12.21

IAM Legacy - Ist mein IAM noch zukunftsfähig?

Sollten Sie sich diese Frage stellen, hilft dieser Fachbericht mit Überlegungen und Denkanstössen zu entscheiden, ob ihre IAM Lösung eine Verjüngungskur benötigt oder ob ein Ersatz ebenfalls eine diskutierbare Möglichkeit darstellt.

Teaserbild digitale ID Kopie
Blog 29.03.23

Digitale Identitäten als Ausweis

Eine digitale Identität ist eine elektronische Repräsentation einer natürlichen Person. Im Experten-Interview gibt Claudio Fuchs, CEO von IPG, einen Überblick über den Fortschritt in den drei Ländern Deutschland, Österreich und Schweiz.

Teaserbild Expertenbericht IAMcloud Journey von IPG
Blog 30.03.23

Der Weg in die Cloud: Optimierung Ihres IAM

Identity Management aus der Wolke - vom On-Prem IAM zum «Cloud IAM». Erfahren Sie, welche Best Practices für eine erfolgreiche Migration angewendet werden sollten und welche Herausforderungen es zu meistern gilt.

Blogbeitrag, wie Sie One Identity Safeguard und One Identity Manager verkuppeln
Blog 22.12.20

Administrationstiefe von IAM-Systemen

In unseren IAM-Projekten haben wir regelmäßig mit Prüferinnen und Prüfern der internen Revision zu tun. Insbesondere während der ersten Projektschritte ereilen uns immer wieder die Fragen: Woran erkenne ich denn jetzt im IAM-System, ob Herr Meier auf das Share XYZ Zugriff hat? Was sind aktuell seine wirksamen Berechtigungen?

Blog 14.03.25

Die Bedeutung des Anforderungsmanagements im IAM

Ein effektives Anforderungsmanagement ist entscheidend für den Erfolg von IAM-Projekten. Entdecken Sie in unserem Blog, wie es klare Ziele setzt, Missverständnisse vermeidet und Compliance sichert.

GARANCY ist ein IAM Produkt mit vielfältigen Möglichkeiten
Blog 09.09.20

GARANCY – vielfältigen IAM-Möglichkeiten

Die GARANCY IAM Suite stellt eine dynamische Lösung zur Verfügung, um Datendiebstählen vorzubeugen.

Teaserbild Expertenbericht IAM zu FINMA Rundschreiben
Blog 23.10.23

IAM für Banken & Finanzinstitute in der Schweiz

Verlieren Sie keine Zeit: ✓Compliance ✓Sicherheit ✓Effizienz ✓Vertrauen! Jetzt handeln und mit der Einführung einer IAM-Software die Anforderungen des FINMA Rundschreiben 2023/1 erfüllen. ✅ Mehr dazu in unserem Blog.

Teaserbild IAM Prozess Expertenbericht
Blog 12.12.22

IAM-Prozesse – Betrachtungswinkel und Prozesssichtweisen

Die Einführung einer IAM-Lösung verändert Arbeitsabläufe. Die Erhebung und Modellierung der Prozesse sind entscheidend für Verständnis und Akzeptanz. Mehr dazu in unserem Blog!

Blogbeitrag, wie das optimale IAM Tool gefunden werden kann
Blog 20.07.20

So finden Sie das optimale IAM-Tool für sich!

Fragen Sie sich auch, wie Sie ein geeignetes IAM-Tool finden können, das zu Ihren Anforderungen und Vorstellungen passt?

Titelbild zum Expertenbericht IAM Schliesssysteme
Blog 15.12.21

Zutrittsberechtigungen zu Gebäuden über IAM verwalten

Was haben Zutrittsberechtigungen zu Gebäuden und Räumen mit Identity & Access Management (IAM) zu tun? Prozesse für das Management von physischen Zutritten gehören zu einem ganzheitlichen IAM.

Teaserbild Expertenbericht 360 Grad Assessment IAM
Blog 19.12.22

IAM-Projekt – 360 Grad Assessment

360° Assessment – wozu ein übergreifendes Assessment, wenn man «nur» ein IAM braucht? Unsere Fach-Expertin für IAM erläutert nun, wie wir in einem «360° Assessment» Unternehmen dabei unterstützen, erfolgreich ein IAM-Projekt zu etablieren. Mehr dazu in unserem Blog.

Bild zum Expertenbericht "Mehr Speed im IAM"
Blog 21.06.21

So bringen Sie mehr Speed in Ihr IAM-Projekt

Wenn vor einigen Jahren langwierige und komplexe Projekte noch eher der Standard waren, ist es heute möglich ein IAM System bereits nach kurzer Projektdauer im Einsatz zu haben.

Blogbeitrag zu GARANCY IAM Suite Version 3
Blog 20.10.20

GARANCY IAM Suite – Das bietet Version 3

Die GARANCY IAM Suite ist für viele Professionals im Identity Access Management (IAM) das Tool der Wahl. Wir geben Ihnen einen Überblick zu den Neuerungen der dritten Version des Beta Systems Produkt.

Teaserbild Managed Service IPG
Blog 16.01.25

IAM Managed Service: Der Schlüssel zur digitalen Sicherheit

Die Vorteile von IAM Managed Services: umfassende Überwachung, schnelle Fehlerbehebung und transparente Kostenstruktur für maximale Sicherheit und Effizienz im Unternehmen. Lesen Sie hier mehr.

Teaserbild nDSG CH
Blog 11.05.23

Neues Datenschutzgesetz – Schutz vor Sanktionen dank IAM

Ab September 2023 gilt in der Schweiz das totalrevidierte Datenschutzgesetz (nDSG). Was bedeutet es für Unternehmen und wie kann ein effektives IAM Unternehmen unterstützen, das neue Gesetz einzuhalten? Mit diesem Expertenbericht erhalten Sie einen detaillierten Überblick.

Bild zum Expertenbericht Customer IAM
Blog 30.06.21

Customer IAM - die praktische Einordnung ins IAM

Wie sieht das CIAM von der konkret, praktischen Seiten aus? Was ist dabei zu berücksichtigen und vor welche Herausforderungen steht man dabei? Wir beleuchten das Thema basierend auf konkreten Erfahrungen.

Customer IAM Azure
Blog

Customer IAM mit Azure

Das Customer IAM von Azure ermöglicht die Verwaltung von Identitätsinformationen und die Zugriffsteuerung für verschiedene Kunden-Identitäten.

Titelbild zum Expertenbericht IAM im Spital - Gesundheitswesen
Blog 23.06.20

Brauchen wir ein "Patient-IAM"?

Die Dynamik einer Pandemie kollidiert mit der Schwerfälligkeit der Institutionen bei der Einführung Elektronischer Patientenakten.

Titelbild zum Expertenbericht IAM im Spital - Gesundheitswesen
Blog 15.02.21

IAM und moderne Apps im Spital

Mithilfe eines IAMs in Kombination mit einer KIS App werden Behandlungsprozesse verbessert, der Zugriff auf Patientendaten erfolgt schnell und sicher.

Titelbild zum Expertenbericht Securitity - Remote arbeiten im Homeoffice
Blog 01.06.20

Corona Lessons Learnt für IAM?

Für die «virtuelle Weiterführung» von IAM Projekten war die IPG in den meisten Fällen in der Lage remote weiterzuarbeiten. Das sind unsere Learnings aus dieser Zeit.