Titelbild Referenz IAM Kritikalität

Kritikalität im IAM

Bewertung und Handhabung von kritischen Zugriffen

Jede Person im Unternehmen, mit Zugriff auf ein IT-System, stellt ein mögliches Sicherheitsrisiko dar. Für einen Zugriff auf ein IT-System benötigt es Systemberechtigungen, die unterschiedlich zu betrachten sind. Dabei werden alle (privilegierten und nicht privilegierten) Systemberechtigungen von IT-Systemen oder Applikationen berücksichtigt, die an das IAM-System angebunden sind. Je höher diese Kritikalität von Systemberechtigungen ist, desto empfindlicher ist es gegenüber Ausfällen oder Störungen und es besteht ein erhöhtes Risiko für Datenverlust bzw. deren Integrität.

Kritikalität von Systemberechtigung (Risk-Score)

In Abhängigkeit vom Funktionsumfang und den damit verbunden Daten findet eine Einstufung der Systemberechtigung in Hinblick auf deren Kritikalität statt. Die Kritikalität einer Systemberechtigung, auch «Risk-Score» genannt, wird mit einem festen Wert im IAM-System hinterlegt und bildet einen Teil der Grundlage zur Berechnung. Dabei werden Systemberechtigungen mit besonders hohem Funktionsumfang oder mit Zugriff auf schützenswerte Daten – man spricht hier auch von privilegierten Zugriffen – einen hohen Wert zugeordnet. 

Funktionstrennung (Segregation of Duties)

Unter dem Begriff Funktionstrennung (SOD) versteht man die organisatorische Trennung von Teilaufgaben in einem Geschäftsprozess, die zueinander im Konflikt stehen. Dies muss bei der Bildung von Geschäftsrollen oder bei anderen Methoden der Berechtigungsvergabe mitberücksichtigt werden. Bei der Ausführung dieser Aufgaben ist darauf zu achten, dass diese nicht dem gleichen Aufgabenträger zugewiesen werden. Ein Beispiel aus dem Finanzsektor ist das 4-Augen Prinzip bei grossen Konto-Transaktionen, um Missbrauch und Fehler vorzubeugen. Es gibt jedoch Schlüsselpersonen im Unternehmen, die eine Ausnahmegenehmigung für SOD-Konflikte erhalten und somit für diese Personen ein höheres Risiko durch das Unternehmen bewusst und kontrolliert eingegangen werden muss. Damit die Kritikalität vollständig bestimmt werden kann, müssen genehmigte Ausnahmegenehmigungen ebenfalls in die Berechnung einer Kritikalität einfliessen. 

Risiko-Index erheben

Für die Bestimmung der Kritikalität von Berechtigungen einer Identität werden alle privilegierten Zugriffe (system- und applikationsübergreifend) ermittelt und mit dessen genehmigten SOD-Verletzungen kumuliert. Der berechnete Wert bildet einen «Risiko-Index» pro Identität.
Welches Verfahren (Min, Max, Durchschnitt) bei der Ermittlung zum Einsatz kommt, hängt ganz vom Unternehmen ab. In der Praxis wird häufig nachstehender Ansatz angewendet:

Max(Risk-Score) + genehmigte SOD Verletzung = Risk-Index

Hierbei werden von allen Benutzerkonten (persönliche und unpersönliche) der Identität die zugewiesen Systemberechtigungen ausgewertet und deren maximaler Risk-Score berechnet. Hat die Person zusätzlich noch genehmigte SOD-Verletzungen, dann wird der zuvor berechnete Maximalwert um jede weitere Verletzung erhöht. Es können auch weitere Faktoren in die Berechnung mit einbezogen werden, z.B. ob diese Identität ein externer Mitarbeitender ist oder eine Funktion als Vorgesetzter ausübt.

Risiko-Einstufung pro Identität

Damit die ermittelten Werte ins Verhältnis gesetzt und von den IAM-Prozessen "verwertet" werden können, benötigt es eine Definition, die festlegt, ab wann eine Identität mit der Risikostufe «High» oder «Low» gekennzeichnet wird. Die Einstufung hilft, die relevanten Identitäten und deren Zugriffe im Blick zu behalten. Reports halten Veränderungen in dieser Identitätsmenge transparent und unterstützen adäquate und zeitnahe Reaktionen.

Risiko-Index bewerten und Massnahmen ableiten

Ist die Identitätsmenge evaluiert, dann können die System-Zugriffe dieser Identitäten genauer analysiert werden. Hat nur eine Identität mehrere kritische Systemberechtigungen zugewiesen, kann das ein Indikator sein eine Massnahme einzuleiten. Sind diese Systemberechtigungen kritischen Geschäftsprozessen zugewiesen, die Einfluss auf das Kerngeschäft eines Unternehmens haben, stellt das ein erhöhtes Risiko dar und benötigt Handlungsbedarf. Eine mögliche Massnahme wäre, eine Vertretung dieser Identität mit deren Aufgaben vertraut zu machen. Eine weitere Massnahme könnte sein, das hoch risikobehaftete Systemberechtigungen nur in Verwendung mit einem administrativen Account verwendet werden können, bei dem erhöhte Sicherheitsanforderungen notwendig sind (z.B. 2 Faktor Authentifizierung, stärkeres Passwort, Audit-Log).
Ein weiteres Instrument, um diese Risiken transparent zu halten, ist die Rezertifizierung (zeit- oder eventgesteuerte regelmässige Prüfungen von Berechtigungszuweisungen) von privilegierten Systemberechtigungen. Durchläuft eine Identität einen Abteilungs- und Funktionswechsel, können unter Umständen noch Zugriffe bestehen, die nicht mehr benötigt werden. Diese Situation stellt ebenfalls ein Risiko für das Unternehmen dar und könnte zudem die Werte des Risiko-Index verfälschen.
Rezertifizierungsprozesse sind aufwendig für die Genehmiger, aber die Ausrichtung der Rezertifizierung auf die kritischen Berechtigungszuweisungen und dafür eine häufigere Durchführung derselben führt zu höherer Sicherheit bei reduzierten administrativen Aufwänden. Die Kritikalität in solchen Prozessen zu berücksichtigen, führt zu einer höheren Effizienz und Effektivität.

Compliance-Prozess

Jedes Unternehmen, das sich mit dem Thema Compliance auseinandersetzt und regulatorische Anforderungen in diesem Bereich erfüllen muss, benötigt einen Prozess, der den Ablauf bestimmt. Die einzelnen Bestandteile zeigen einen roten Faden auf, von der Festlegung von privilegierten Zugriffen bis hin zu den abgeleiteten Massnahmen.

Die Qualität einer Risko-Analyse auf dieser Basis steht und fällt natürlich mit den hinterlegten Daten und setzt initial einen gewissen Aufwand voraus. Dafür benötigt es nicht nur Systemkenntnis, welche Systemberechtigungen vorliegen, sondern auch wie diese im Business-Kontext zusammenhängen. So kann ein IAM-Prozess gestaltet und in Workflows abgebildet werden, welcher die Aufmerksamkeit auf die kritischen Berechtigungen und ein wirkungsvolles Instrument für die Compliance schafft.

Sprechen Sie uns an!

Als Business Partner bietet die IPG-Gruppe IAM-Leistungen aus einer Hand und stellt jederzeit eine Sicht aufs Ganze sicher. Wir begleiten Sie bei Ihrem Identity & Access Management Projekt von der ersten Planung, über die Implementierung bis zum Betrieb.

Blogbeitrag zu GARANCY IAM Suite Version 3
Blog 20.10.20

GARANCY IAM Suite – Das bietet Version 3

Die GARANCY IAM Suite ist für viele Professionals im Identity Access Management (IAM) das Tool der Wahl. Wir geben Ihnen einen Überblick zu den Neuerungen der dritten Version des Beta Systems Produkt.

Teaserbild Expertenbericht IAM zu FINMA Rundschreiben
Blog 23.10.23

IAM für Banken & Finanzinstitute in der Schweiz

Verlieren Sie keine Zeit: ✓Compliance ✓Sicherheit ✓Effizienz ✓Vertrauen! Jetzt handeln und mit der Einführung einer IAM-Software die Anforderungen des FINMA Rundschreiben 2023/1 erfüllen. ✅ Mehr dazu in unserem Blog.

Titelbild zum Expertenbericht IAM Legacy
Blog 13.12.21

IAM Legacy - Ist mein IAM noch zukunftsfähig?

Sollten Sie sich diese Frage stellen, hilft dieser Fachbericht mit Überlegungen und Denkanstössen zu entscheiden, ob ihre IAM Lösung eine Verjüngungskur benötigt oder ob ein Ersatz ebenfalls eine diskutierbare Möglichkeit darstellt.

Teaserbild IAM Prozess Expertenbericht
Blog 12.12.22

IAM-Prozesse – Betrachtungswinkel und Prozesssichtweisen

Die Einführung einer IAM-Lösung verändert Arbeitsabläufe. Die Erhebung und Modellierung der Prozesse sind entscheidend für Verständnis und Akzeptanz. Mehr dazu in unserem Blog!

Teaserbild nDSG CH
Blog 11.05.23

Neues Datenschutzgesetz – Schutz vor Sanktionen dank IAM

Ab September 2023 gilt in der Schweiz das totalrevidierte Datenschutzgesetz (nDSG). Was bedeutet es für Unternehmen und wie kann ein effektives IAM Unternehmen unterstützen, das neue Gesetz einzuhalten? Mit diesem Expertenbericht erhalten Sie einen detaillierten Überblick.

Teaserbild Managed Service IPG
Blog 16.01.25

IAM Managed Service: Der Schlüssel zur digitalen Sicherheit

Die Vorteile von IAM Managed Services: umfassende Überwachung, schnelle Fehlerbehebung und transparente Kostenstruktur für maximale Sicherheit und Effizienz im Unternehmen. Lesen Sie hier mehr.

Blogbeitrag, wie Sie One Identity Safeguard und One Identity Manager verkuppeln
Blog 22.12.20

Administrationstiefe von IAM-Systemen

In unseren IAM-Projekten haben wir regelmäßig mit Prüferinnen und Prüfern der internen Revision zu tun. Insbesondere während der ersten Projektschritte ereilen uns immer wieder die Fragen: Woran erkenne ich denn jetzt im IAM-System, ob Herr Meier auf das Share XYZ Zugriff hat? Was sind aktuell seine wirksamen Berechtigungen?

Blog 09.12.24

Smarte digitale Berechtigungskonzepte mit NEXIS 4.1

Digitale Berechtigungskonzepte sind der Schlüssel zu mehr IT-Sicherheit und Effizienz. Entdecken Sie, wie NEXIS 4.1 moderne Anforderungen erfüllt und Ihre Prozesse revolutioniert.

Titelbild zum Expertenbericht IAM im Spital - Gesundheitswesen
Blog 23.06.20

Brauchen wir ein "Patient-IAM"?

Die Dynamik einer Pandemie kollidiert mit der Schwerfälligkeit der Institutionen bei der Einführung Elektronischer Patientenakten.

Bild zum Blogbeitrag IAM im Bankwesen
Blog 26.08.21

Identity Management für Banken: Anforderungen & Vorteile

Grossbanken gehören zu den ersten Unternehmen, welche ein Identity and Access Management (IAM) System eingeführt haben. Gemeinsam mit dem IAM Thema haben sie sich in einer Lernkurve entwickelt und die heutige Methodik geprägt.

Übersicht

IAM Implementierung

Erfolgreiche IAM-Implementierung mit IPG: Sicher, effizient und maßgeschneidert für Ihre Anforderungen

Blogbeitrag, wie Sie One Identity Safeguard und One Identity Manager verkuppeln
Blog 24.11.20

So verheiraten Sie One Identity Safeguard & -Manager

Sie haben zwei Produkte des gleichen Herstellers bei einem Kunden implementiert, aber die beiden Akteure vertragen sich noch nicht so richtig. In unserem Blogbeitrag zeigen wir, wie Sie One Identity Safeguard und One Identity Manager verkuppeln.

Titelbild zum Expertenbericht IAM im Spital - Gesundheitswesen
Blog 08.03.21

Wieviel IAM braucht ein Krankenhaus?

Das Patientendatenschutzgesetzes vom Oktober 2020 verpflichtet faktisch alle Krankenhäuser, auch saubere Identity- und Accessmanagement Prozesse zu etablieren. Mehr dazu im Blog.

Teaserbild Expertenbericht Privileged Remote Access
Blog 19.10.22

Sicherer Zugriff von Extern ohne VPN

Der privilegierte Zugriff von extern stellt viele Firmen vor Herausforderungen. Externe Mitarbeitende müssen verwaltet und der Zugriff bereitgestellt werden. Dabei kann die Übersicht schnell verloren gehen und die Nachvollziehbarkeit ist nicht mehr gewährleistet.

Titelbild zum Expertenbericht Securitiy - Cyberkriminalität
Blog 27.03.20

Cyberkriminalität – Schützen Sie Ihre Assets durch PAM.

Mit Privileged Account Management (PAM) schützen Sie Ihr Unternehmen wirksam gegen Wirtschaftsspionage und Cyber-Angriffe.

Teaserbild Expertenbericht Berechtigungsmanagement IAM
Blog 27.11.24

Sicheres Berechtigungsmanagement leicht gemacht!

Ein modernes IAM-System vereinfacht das Berechtigungsmanagement und schützt vor ungewolltem Zugriff. Erfahren Sie, wie Sie mit automatisierten Prozessen IT-Sicherheit und Compliance steigern.

Das Thema IT-Security immer weiter in den Fokus
Blog 07.01.21

Warum der Überwacher überwacht werden muss

Nach dem SolarWinds Hack rückt das Thema IT-Security immer weiter in den Fokus. In unserem Blogbeitrag beschreiben wir alles zum SolarWinds-Hack, deren Folgen und was wir daraus lernen können.

Zero Trust – Ein neues Zeitalter der Cyber Security
Blog 24.08.20

Ein neues Zeitalter der Cyber Security

Cyber Security hat eine neue Ära erreicht: Das Zero Trust-Zeitalter verändert den Blick auf Sicherheitsbedrohungen und stellt neue Anforderungen an den Schutz digitaler Systeme.

Bild zum Blogbeitrag: Neue Wege in Richtung Identity and Access Governance
Blog 19.08.21

Neue Wege in Richtung Identity and Access Governance

Eine klar strukturierte Prozesslandkarte ist die Basis für IAG. Sie hilft das Governance adäquat und situationsgerecht im Unternehmen zu etablieren, Fachbereiche verantwortungsbewusst einzubinden und Identitäten und deren Berechtigungen vorgabengerecht sowie transparent zu bewirtschaften.

Titelbild zum Expertenbericht Fabric Identity - IAM
Blog 29.08.22

Identity Fabric

So können Unternehmen die effiziente Verwendung von Identitäten für die Digitalisierung nutzen und einen Wettbewerbsvorteil erzielen.