agility made possible Sumner Blount, Merritt Maxim

Transkript

1 WHITE PAPER Die Rolle von Identity and Access Management für kontinuierliche Compliance Februar 2012 Die Rolle von Identity and Access Management für kontinuierliche Compliance Sumner Blount, Merritt Maxim CA Security Management agility made possible

2 Inhaltsverzeichnis Kurzfassung 3 ABSCHNITT 1: Die Ausgangssituation für kontinuierliche Compliance 4 ABSCHNITT 2: Der Lebenszyklus kontinuierlicher Compliance 4 ABSCHNITT 3: Eine Plattform für einheitliche IT-Sicherheit und -Compliance 7 Kontrolle von Identitäten 8 Kontrolle von Zugriff 10 Kontrolle von Informationen 12 ABSCHNITT 4 Fazit 14 ABSCHNITT 5: Content Aware Identity and Access Management von CA 14 ABSCHNITT 6: Informationen über die Autoren 15

3 Kurzdarstellung Ausgangssituation Der Erfüllung gesetzlicher Vorschriften, der Sicherheit von IT-Systemen und der Gewährleistung des Schutzes vertraulicher Unternehmens- und Kundeninformationen kommt heute eine enorme Bedeutung zu. Faktoren wie steigende behördliche Anforderungen, fortlaufend in Veränderung begriffene IT-Umgebungen, zunehmende Forderungen von Vorständen und Anteilseignern nach der Verminderung von Risiken und die wachsende Notwendigkeit zur Senkung der Compliance-Kosten erschweren die Erreichung dieser zentralen geschäftlichen und technologischen Zielsetzungen. Ein effektiver und effizienter Ansatz, mit dem sich kontinuierliche Compliance erreichen und verwalten lässt, ist in dem komplexen regulatorischen Umfeld von heute von grundlegender Bedeutung. Chance Diese neuen Anforderungen können jedoch auch Chancen für die geschäftliche Leistung eröffnen. Effektive Sicherheitskontrollen für die Compliance können auch Risiken mindern, zentrale Prozesse zwecks Kostensenkung und Verringerung menschlichen Fehlverhaltens automatisieren und Prüfungen mit der automatischen Generierung von Compliance-Berichten vereinfachen. Kern jeder effektiven Compliance- Strategie ist eine leistungsfähige und integrierte Infrastruktur für das Identity and Access Management, die Systeme, Anwendungen, Daten und Prozesse vor unbefugtem Zugriff und unzulässiger Verwendung schützt. Es reicht jedoch nicht, sich auf die Kontrolle von Benutzeridentitäten und ihres Zugriffs auf geschützte Anwendungen und Informationen zu beschränken. Für effektive Sicherheit und Compliance müssen Sie auch kontrollieren, wie Benutzer die Daten verwenden, auf die sie zugreifen können. Dadurch verhindern Sie Missbrauch und Weitergabe vertraulicher Unternehmens- und Kundeninformation. Nutzen Neben den Vorteilen der kontinuierlichen Compliance bestehender und neuer Vorschriften sind Unternehmen, die eine einheitliche Plattform für IT-Sicherheit und -Compliance nutzen, besser für folgende Aspekte gerüstet: Senkung von Risiken Kritische IT- und Informationsressourcen schützen, die Vertraulichkeit von Informationen wahren und das Risiko von Ereignissen mit verheerenden Folgen senken. Steigerung der Effizienz Automatische und integrierte IT- und Geschäftsprozesse entwickeln, die die Produktivität der Mitarbeiter erhöhen und die Arbeitsbelastung des Verwaltungspersonals senken. Senkung der Kosten Compliance-Prozesse automatisieren, Redundanzen eliminieren und die Produktivität steigern. 3

4 Verbesserung der geschäftlichen Effektivität Unternehmensplanung und strategische Entscheidungsfindung verbessern, da eine leistungsfähige Sicherheits- und Compliance-Infrastruktur den Zugriff auf Unternehmensinformationen durch entsprechend autorisierte Mitarbeiter beschleunigt und vereinfacht. Erhöhung der geschäftlichen Flexibilität Die Reaktionsfähigkeit des Unternehmens auf Ereignisse am Markt und neue Wettbewerbssituation erhöhen und geschäftliche Chancen besser nutzen. Abschnitt 1: Die Ausgangssituation für kontinuierliche Compliance Die Möglichkeiten der Compliance für eine verbesserte geschäftliche Leistung ausschöpfen Compliance wird oft als Last angesehen. Sie eröffnet jedoch auch die Möglichkeit, ein Unternehmen besser zu verstehen, effektive Richtlinien und Kontrollen einzuführen und diese Kontrollen und die entsprechenden Technologien als Möglichkeit heranzuziehen, Richtlinien durchzusetzen und die betrieblichen Abläufe zu optimieren. Hier liegt der eigentliche Nutzen von Compliance-Maßnahmen. Unternehmen werden sich dieses Umstands zunehmend bewusst und nutzen Compliance-Maßnahmen zur Verbesserung der geschäftlichen Effizienz. Unternehmen, die diesen ganzheitlichen Ansatz nicht übernehmen, werden sich sehr wahrscheinlich in einer nachteiligen Wettbewerbsposition wiederfinden. Das Problem besteht jedoch darin, dass viele Unternehmen Compliance mit einem Ansatz erreichen, der auf roher Gewalt basiert: durch manuelle, zeitintensive und fehleranfällige Prozesse, die sich darauf beschränken, die Anforderungen einer bestimmten Vorschrift zu erfüllen. Es ist jedoch wesentlich effektiver, eine zentralisierte und integrierte Sicherheits- und Compliance-Lösung einzuführen, die die unternehmensweite kontinuierliche Compliance ermöglicht. Dieses Paper stellt die zentralen Technologien und Best Practices vor, die eine solide Strategie für kontinuierliche Compliance beinhalten muss. Abschnitt 2: Der Lebenszyklus einer kontinuierlichen Compliance Ein effektiver Ansatz für kontinuierliche Compliance umfasst es eine Reihe von Kernaspekten. Insbesondere müssen Sie: eine Reihe effizienter und ineinandergreifender Phasen definieren, die an Schlüsselpunkten des Lebenszyklus zusammenwirken und Informationen auf klar definierte Weise übermitteln. einen Satz automatischer Sicherheitskontrollen bereitstellen, durch die Ihre Ressourcen wirksam geschützt werden. Dabei müssen sowohl vorbeugende Kontrollen als auch Erkennungskontrollen zur Anwendung kommen, denn für effektive Compliance ist beides erforderlich. einen fortlaufenden (und vorzugsweise automatischen) Prozess zur regelmäßigen Überwachung sämtlicher zentralen Sicherheitskontrollen aufbauen, um ihr einwandfreies Funktionieren zu gewährleisten. anhand dieser Kontrollprüfungen das aktuelle Risiko für die IT insgesamt quantifizieren. Je nach Risikotoleranzgrad müssen Sie bestehende Richtlinien möglicherweise anpassen. Dadurch stärken Sie auch die bestehenden Sicherheitskontrollen. 4

5 Effektive Compliance ist ein fortlaufender, kontinuierlicher Prozess: ein Lebenszyklus an Compliance- Aktivitäten. Die einzelnen Phasen sind in Abbildung A dargestellt, sodass sich die zentralen Aktivitäten und Technologien ablesen lassen, die kontinuierliche Compliance ermöglichen und unterstützen. Abbildung A. Der Lebenszyklus kontinuierlicher Compliance 1. Bestimmung behördlicher Anforderungen Genau nachzuvollziehen, worin die Anforderungen einer bestimmten Gruppe an Vorschriften bestehen, kann eine herausfordernde Aufgabe sein. Viele Unternehmen greifen auf teure Rechts- oder Technikexperten zurück, die neue Vorschriften analysieren, um herauszufinden, wie Richtlinien und Kontrollen konzipiert werden müssen, um die Anforderungen zu erfüllen. Ziel ist es, redundante Kontrollen durch die Einbindung sämtlicher behördlichen Anforderungen in einen harmonisierten Satz von Kontrollen zu eliminieren, der die Anforderungen aller dieser Vorschriften erfüllt. 2. Definition von Richtlinien Richtlinien sind das Lebenselixier der Compliance. Eine Richtlinie ist die Formulierung der Ziele und Verhaltensvorschriften eines Unternehmens, an die sich Mitarbeiter und Geschäftspartner halten sollen. Richtlinien werden im Allgemeinen durch die behördlichen Anforderungen, die Risiken, die Organisation kontrollieren möchte, oder die Geschäftsziele des Unternehmens bestimmt. Richtlinien sind nicht unveränderlich. Sie können sich mit der Festlegung neuer behördlicher Anforderungen, der Anpassung der Geschäftsziele eines Unternehmens oder veränderten Graden der Risikotoleranz eines Unternehmens ändern. 5

6 3. Verhinderung von Verletzungen Vorbeugende Kontrollen dienen dazu, Richtlinienverletzungen zu verhindern. Sie sind von zentraler Bedeutung, um Kundendaten zu schützen, Lücken für Daten zu verhindern und den Zugriff auf kritische Unternehmensressourcen wie Anwendungen, Systeme und Informationen abzusichern. Technologien wie Webzugriffsmanagement, die Verwaltung von Benutzern mit besonderen Berechtigungen und die Verhinderung von Datenverlust (Data Loss Prevention, DLP) sind grundlegende Elemente eines integrierten Ansatzes für vorbeugende Sicherheitskontrollen. 4. Erkennung und Behebung von Verletzungen Nicht alle Richtlinienverletzungen lassen sich immer und unter allen Umständen vermeiden. Erkennungskontrollen müssen eingerichtet werden, um Bereiche der Nichterfüllung bestimmen und die entsprechenden Lücken schließen zu können, bevor verheerende Folgen eintreten. Ein häufig zitiertes Beispiel sind inaktive (ein Mitarbeiter ist Eigentümer des Kontos, nutzt dieses jedoch nicht mehr) oder verwaiste (Eigentümer ist ein Mitarbeiter, der nicht mehr im Unternehmen tätig ist) Benutzerkonten. In beiden Fällen (und insbesondere bei verwaisten Konten) besteht ein potenzielles Risiko, das die Anforderungen einer Vielzahl von Vorschriften und Best Practices verletzen kann. In diesem Beispiel können Verfahren eingeführt werden, bei denen die Benutzerkonten regelmäßig auf solche Verletzungen untersucht und die Verletzungen behoben werden. Das kann manuell (wöchentlicher Administratorscan) erfolgen, aber ein automatisierter Ansatz (eine Lösung, bei der solche Konten erkannt und entfernt werden), ist wesentlich effektiver und effizienter bei der Erkennung entsprechender Verletzungen und der Kontrolle potenzieller Risiken. 5. Überprüfung von Kontrollen Die Überwachung und Prüfung von Compliance-Kontrollen ist ein fortlaufender und in vielen Fällen kostspieliger Prozess. Unabhängig davon, ob der Grund eine interne oder eine externe Prüfung oder ein regelmäßig geplanter Prozess ist, müssen Kontrollen auf einwandfreies Funktionieren getestet werden. Mit dem Trend der Best Practices hin zu einem risikobasierten Ansatz für die Überprüfung von Kontrollen konzentrieren sich Tests mittlerweile oft nur noch auf die entscheidenden Kontrollen. Das ist eine wichtige und nötige Entwicklung der Best Practices für die Prüfung von Kontrollen. 6. Überwachung von Risiken Compliance darf kein isolierter Prozess sein. Sie ist eng mit IT-Risiken verknüpft und muss in ein umfassendes Programm für das IT-Risikomanagement integriert werden. Es ist wichtig sicherzustellen, dass Änderungen des Compliance-Profils (z. B. eine fehlgeschlagene Kontrolle) eine entsprechende Anpassung des aktuellen Risikoprofils nach sich ziehen, auf dessen Grundlage Sie dann Maßnahmen für die Behandlung dieses gestiegenen Risikos ergreifen können. Nach dem Lebenszyklus der kontinuierlichen Compliance geht es im folgenden Abschnitt um die zentralen Technologien, die für eine umfassende Lösung für einheitliche IT-Sicherheit und -Compliance eingesetzt werden können. 6

7 Abschnitt 3: Eine Plattform für einheitliche IT-Sicherheit und -Compliance Die Notwendigkeit einer einheitlichen Sicherheits- und Compliance-Plattform Zur Behandlung der dringlichsten Sicherheits- und Compliance-Anforderungen können Sie zwar einzelne Technologiekomponenten implementieren, aber die isolierte Bereitstellung kann zu Redundanz und Ineffizienz führen, durch die Kosten und Risiken steigen. Eine umfassende, integrierte Plattform für das Sicherheits- und Compliance-Management ist die bessere Methode, um Effektivität, Effizienz und Nachhaltigkeit unternehmensweiter Compliance-Maßnahmen zu gewährleisten. Der offensichtlichste Grund für eine integrierte Plattform ist die Tatsache, dass der Rückgriff auf nicht integrierte Komponenten und eine Reihe unterschiedlicher Systeme im Allgemeinen zu höherer Komplexität bei der Verwaltung führen. Darüber hinaus erlaubt eine einheitliche Plattform jedoch außerdem die systemübergreifende Verwendung gemeinsamer Sicherheitselemente, Richtlinien und Kontrollen. Mit einer zentralisierten Strategie sind Richtlinien und Kontrollen standardisiert, sodass redundanter Aufwand und überlappende (oder Konflikte verursachende) Kontrollen minimiert werden. Funktionen einer einheitlichen Sicherheits- und Compliance-Plattform Eine umfassende Plattform für das Identity and Access Management (IAM) ist die Basis für effektive Sicherheit und Compliance. Grund dafür ist ganz einfach, dass eine IAM-Plattform Sie bei der Beantwortung der zentralen Fragen unterstützt, die sich für die Compliance im Hinblick auf die Benutzer stellen: Wer hat auf was Zugriff? Welche Möglichkeiten werden den Benutzern durch die Zugriffsrechte eingeräumt? Wie können Benutzer verfügbare Informationen verwenden? Was wurde gemacht? Um diese Fragen beantworten zu können, müssen Sie in der Lage sein, Benutzeridentitäten, Benutzerzugriff und Informationsverwendung effektiv zu kontrollieren: Kontrolle von Identitäten Benutzeridentitäten und die entsprechenden Rollen verwalten, Benutzer für den Zugriff auf Ressourcen einrichten, Einhaltung von Identitäts- und Zugriffsrichtlinien vereinfachen und Benutzer- und Compliance-Aktivität überwachen. Zugriffssteuerung Richtlinien für den Zugriff auf Webanwendungen, Systeme, Systemdienste und wichtige Informationen durchsetzen. Darüber hinaus Benutzer mit besonderen Berechtigungen verwalten, um unzulässiges Vorgehen zu vermeiden. Kontrolle von Informationen Die unzulässige Weitergabe vertraulicher Unternehmensinformationen erkennen, klassifizieren und verhindern. 7

8 Die folgende Grafik fasst diese Schlüsselbereiche der Compliance zusammen und führt die Technologien auf, die für effektive Compliance unabdingbar sind. Abbildung B. Kontrolle von Identitäten Für die Mehrzahl der Unternehmen ist Compliance keine optionale Angelegenheit. Dabei stellt sich nicht nur die Frage, ob Compliance-Teams nachweisen müssen, dass angemessene Kontrollen bestehen, sondern auch, wie sich dies möglichst effizient und kostengünstig erreichen lässt. Mit der Automatisierung von identitätsbezogenen Compliance-Prozessen wie Berechtigungszertifizierungen oder die Erkennung verwaister Konten stehen Compliance-Teams nicht fortlaufend unter dem Druck, Daten aufwendig manuell sammeln zu müssen, um Prüfungsfristen einhalten zu können. Das Identity Lifecycle Management bietet Identitäts-Compliance, Bereitstellung, Rollenmanagement sowie Berichterstellung für Benutzeraktivität und Compliance in modularer und dennoch integrierter Form. Die einzelnen Funktionen des Identity Lifecycle Managements können Compliance-Maßnahmen zwar auch unabhängig voneinander vereinfachen, aber die gemeinsame Bereitstellung aller Funktionen führt zu einer erheblichen Effizienzsteigerung für die Compliance. Identitäts-Governance bezieht sich auf die Implementierung von Prozessen und Kontrollen, mit denen fortlaufend der angemessene Benutzerzugriff unterstützt wird. Dazu zählen Überprüfungsprozesse wie die Berechtigungszertifizierung, bei der Manager von Benutzern, Rolleneigentümer oder Ressourcenverwalter regelmäßig aufgefordert werden zu überprüfen und zu bestätigen, dass die aktuellen Zugriffsberechtigungen angemessen sind. Überflüssige Zugriffsberechtigungen, die bei der Zertifizierung festgestellt werden, 8

9 lassen sich schnell entfernen, sodass das Sicherheitsrisiko für das Unternehmen minimiert wird. Nahezu alle sicherheitsrelevanten Vorschriften erfordern periodische Prüfungen der Zugriffsrechte jedes Benutzers, und eine Lösung zur identitätsbezogenen Governance ist der ideale Weg, diese Anforderungen zu erfüllen. Auch die berechtigungsbasierte Berichterstellung ist Teil der Identitäts-Compliance, da sich daran ablesen lässt, welche Benutzer für welche Aufgaben berechtigt sind. So kann das Unternehmen bei Bedarf Abhilfe schaffen. Mit der Implementierung von Identitäts-Compliance können Unternehmen die erforderlichen Kontrollen einrichten, um die Verletzung von geschäftlichen und behördlichen Richtlinien zu verhindern, während gleichzeitig die Kosten dieser Überprüfungsprozesse durch Automatisierung gesenkt werden. Rollenmanagement ist ein wesentliches Element der umfassenden effizienten Verwaltung von Identitäten und Zugriff. Tools für das Rollenmanagement bieten leistungsstarke Analysefunktionen, damit Unternehmen eine effektive Rollenbasis einschließlich Rollen, Richtlinien, Zugriffsrechten usw. entwickeln können. Die Mehrzahl der sicherheitsrelevanten Vorschriften fordert einen klar definierten Prozess für die Zuweisung von Zugriffsrechten für Benutzer. Mit der Erstellung eines Satzes an Rollen, die Tätigkeitsprofilen mit entsprechenden Sätzen an Zugriffsrechten für jede Rolle zugeordnet sind, können Zugriffsrechte neuen Benutzern problemlos anhand ihrer Rolle zugewiesen werden. Die Analysefunktionen von Rollenmanagementlösungen bieten greifbaren Compliance-Nutzen, da potenzielle Schwachstellen wie verwaiste Konten oder Benutzer mit zu umfangreichen Berechtigungen erkannt werden. Darüber hinaus bieten Rollenmanagementlösungen Unterstützung bei der Erkennung geeigneter Rollen für jeden Benutzer anhand der Ähnlichkeiten mit anderen Benutzern. Dadurch wird das fortlaufende Rollenmanagement verbessert, und Compliance-Prozesse wie unter anderem die Zertifizierung von Berechtigungen können effizienter abgewickelt werden. Schließlich versetzt das Rollenmanagement Unternehmen außerdem in die Lage, systemübergreifende Sicherheitsrichtlinien für die Identität zu entwickeln, durch die verhindert wird, dass Benutzer konfligierende oder zu umfangreiche Berechtigungen erhalten. Bereitstellungssoftware automatisiert die Prozesse zum Einrichten, Ändern und Entfernen von Benutzern und der entsprechenden Zugriffsrechte. Diese Art von Technologie ist aus einer Reihe wichtiger Gründe entscheidend für die Einhaltung von Vorschriften. Zunächst verbessert die Bereitstellung interne Kontrollen, indem der Prozess der Gewährung und Entfernung von Zugriffsrechten automatisiert wird. Ohne automatische Bereitstellung in der einen oder anderen Form muss dieser Prozess manuell erbracht werden und ist damit fehleranfällig und zeitintensiv. Darüber hinaus sind manuelle Prozesse sehr viel schwieriger prüfen als automatische Abläufe. Die Bereitstellung bietet außerdem leistungsstarke Funktionen für die Vorbeugung, die wichtig für Risikomanagement und Compliance sind. Bereitstellungslösungen können beispielsweise bei der Einrichtung von Benutzern prüfen, ob Vorgaben für die Aufgabentrennung verletzt werden, und so die Sicherheitsrisiken senken. Vorschriften wie Gramm-Leach-Bliley und Sarbanes-Oxley beispielsweise verlangen Kontrollen, die die Verletzung des Grundsatzes der Aufgabentrennung verhindern. Bereitstellungslösungen können auch Warnmeldungen generieren, wenn einem Benutzer Zugriffsberechtigungen eingeräumt werden, die erheblich von den Berechtigungen gleichgeordneter Personen abweichen. Solche Funktionen werden für Compliance- Zwecke immer wichtiger, denn Unternehmen ist daran gelegen, die Anzahl der Benutzer mit zu umfangreichen Berechtigungen zu verringern solche Benutzer sind oft der Grund für Compliance-Verletzungen. Berichterstellung für Benutzeraktivität und Compliance ist aufgrund der Informationsflut zu Sicherheitsereignissen, die von verschiedenen Systemkomponenten generiert werden, eines der komplexesten Probleme bei der Verwaltung der Sicherheit großer Umgebungen. Dieses Überangebot an Informationen kann für Sicherheitsmitarbeiter erdrückend sein und es praktisch unmöglich machen, den wahren Zustand der IT-Sicherheit realistisch zu bewerten. Enorme Datenmengen, die sich nicht sinnvoll anwenden lassen, können die Überwachung und damit die Compliance zu einer äußerst schwierigen Angelegenheit machen. 9

10 Effektive Compliance setzt Protokollierung und Berichterstellung relevanter Sicherheitsereignisse sowie Funktionen für Zusammenfassung, Analyse und Darstellung dieser Informationen in einem sinnvollen Format für Administratoren voraus. Systeme, die täglich einfach nur Tausende verdächtiger Ereignisse in eine Protokolldatei schreiben, die nie überprüft wird und kein Handeln nach sich zieht, sind dagegen kein Beispiel für effektive interne Kontrolle und können Compliance-Prüfungen damit zu einer enormen Herausforderung werden lassen. Zentraler Gedanke muss es sein, über anwendbare und relevante Sicherheitsinformationen zu verfügen. Eine solide Lösung für das Identity Lifecycle Management ist also ein zentraler Aspekt der IT-Compliance. Systeme für Identitäts-Compliance und Bereitstellung helfen festzulegen, über welche Zugriffsrechte die einzelnen Personen verfügen und wann und warum diese Rechte genehmigt und unterzeichnet wurden, und können darüber hinaus nachweisen, dass eine sinnvolle und konsistente Richtlinie für die Verwaltung der Benutzerzugriffsrechte vorhanden ist. Das Rollenmanagement bildet die erforderliche Basis für die Erkennung zu umfassender Berechtigungen und potenzieller Verletzungen des Grundsatzes der Aufgabentrennung. Die Berichterstellung für Benutzeraktivität und Compliance schließlich erlaubt die effiziente Überwachung von Sicherheitskontrollen, um so die Effektivität dieser Kontrollen zu verbessern und die Compliance zu erleichtern. Kontrolle von Zugriff Das Kernmerkmal jeder IT-Compliance-Infrastruktur ist die Kontrolle des Zugriffs auf Systeme und darauf vorhandene geschützte Ressourcen (Dateien, Anwendungen, Services, Datenbanken usw.). Jeder Satz effektiver interner Kontrollen muss bei einer leistungsfähigen Komponente für das Zugriffsmanagement ansetzen. Dabei müssen zwei Hauptbereiche berücksichtigt werden: das Webzugriffsmanagement und die Verwaltung von Benutzern mit besonderen Berechtigungen. Beide Aspekte spielen für effektive Compliance eine entscheidende Rolle. Jede Komponente für das Webzugriffsmanagement muss zwei Leistungsmerkmale aufweisen: die Authentifizierung von Benutzern und die Autorisierung ihres Zugriffs auf geschützte Ressourcen. Die Authentifizierungsfunktionen müssen einen hohen Grad an Flexibilität bieten, damit sich die Authentifizierungsmethode anhand von Faktoren wie der Wichtigkeit der Ressource, auf die zugegriffen wird, des Benutzerstandorts, der Rolle des Benutzers usw. anpassen lässt. Außerdem sollte ein Spektrum verschiedener Methoden von einfachen Kennwörtern bis zu biometrischen Verfahren verfügbar sein. Schließlich müssen Authentifizierungsmethoden zur Erhöhung der Sicherheit für bestimmte Anwendungen und Transaktionen mit hohem Wert außerdem kombinierbar sein. Die Autorisierung von Benutzern für den Zugriff auf geschützte Anwendungen, Ressourcen und Services ist ein entscheidender Bestandteil der Einhaltung von Vorschriften. Ein typisches Beispiel ist die HIPAA-Anforderung, dass Richtlinien und Verfahren für die Gewährung des Zugriffs auf geschützte elektronische Gesundheitsinformationen implementiert werden müssen. Diese Anforderung ist sehr weit gefasst, und sie lässt sich ohne eine leistungsfähige Funktion für die Autorisierungsverwaltung nicht erfüllen. Die meisten Unternehmen müssen eine Vielzahl von Vorschriften erfüllen, die möglicherweise jeweils leicht abweichende Anforderungen für die Autorisierung stellen. Die Erfüllung der Compliance-Anforderungen wird damit zu einer äußerst einschüchternden Aufgabe. Darüber hinaus erfolgt die Autorisierung oft nur für die jeweils betreffende Anwendung. Das führt zu Anwendungssilos und damit zu ineffizienter und oft inkonsistenter Durchsetzung des Zugriffs. Die verteilte Durchsetzung des Zugriffs kann die internen Kontrollen schwächen, da Administratoren aller Wahrscheinlichkeit nach Schwierigkeiten damit haben werden zu ermitteln, über welche Zugriffsrechte genau ein bestimmter Benutzer verfügt und wie diese Rechte für die gesamte Anwendungssuite durchgesetzt werden. 10

11 Einer der zentralen Aspekte, die für IT-Compliance berücksichtigt werden müssen, ist die Kontrolle der Aktionen von IT- und Sicherheitsadministratoren, die Verwaltung von Benutzern mit besonderen Berechtigungen. Unabhängig davon, ob unangemessenes Verhalten von solchen besonders berechtigten Benutzern absichtlich oder versehentlich erfolgt: Es kann verheerende Konsequenzen für den IT-Betrieb und die allgemeine Sicherheit und Gewährleistung des Schutzes von Unternehmensressourcen und Informationen nach sich ziehen. Es ist daher entscheidend, dass Administratoren nur Aktionen ausführen können, für die sie autorisiert sind und nur für die entsprechenden Ressourcen. Viele behördliche Anforderungen und Best-Practice-Rahmenwerke (wie ISO 27001) schreiben Kontrollen für Benutzer mit Administratorrechten vor. Beispielsweise bezieht sich PCI DSS Section auf die Beschränkung von Zugriffsrechten für privilegierte Benutzer-IDs auf geringstmögliche Privilegien, mit denen die Arbeitsaufträge ausgeführt werden können. Administratoren nutzen Systemkennwörter vielfach gemeinsam (und verlieren diese manchmal). Dieser Umstand vergrößert das Risiko von Richtlinienverletzungen weiter. Wenn sich diese Benutzer dann alle als Root oder Admin anmelden, bleiben ihre im Protokoll erfassten Aktionen grundsätzlich anonym. Diese Situation stellt nicht nur ein erhebliches Sicherheitsrisiko dar, sondern macht auch die Compliance zu einem äußerst schwierigen Vorhaben, denn unangemessene Aktionen lassen sich nicht der dafür verantwortlichen Person zuordnen. Für Benutzer mit Administratorrechten ist eine stark differenzierte Zugriffskontrolle erforderlich. Die systemeigene Sicherheit von Serverbetriebssystemen bietet unglücklicherweise weder ausreichende Kontrolle darüber, wer auf welche Ressourcen zugreifen kann, noch die differenzierten Prüfungen, die zur Erfüllung der meisten Compliance-Anforderungen vorausgesetzt werden. Eine Lösung für das Management privilegierter Benutzer erlaubt es IT-Leitern, richtlinienbasierte Kontrollen für den Zugriff von privilegierten Benutzern auf Systemressourcen festzulegen und durchzusetzen, die Aktivität zu überwachen und außerdem zu kontrollieren, unter welchen Umständen der Zugriff gewährt wird. Dies ermöglicht bessere Zurechenbarkeit und bessere Kontrolle kritischer IT-Ressourcen. Ein Risikobereich ist die Verwendung von Kennwörtern von Benutzern mit besonderen Berechtigungen. Solche Kennwörter sind häufig auf Standardwerte festgelegt oder werden gemeinsam mit Benutzern verwendet, die nicht über diese erweiterten Berechtigungen verfügen sollten. Das Privileged User Password Management (PUPM), d. h. die sichere Verwaltung von Kennwörtern besonders berechtigter Benutzer, ist ein zentraler Compliance-Aspekt. PUPM bietet mit der Zuweisung von Kennwörtern auf temporärer Grundlage für die einmalige Verwendung oder nach Bedarf Zugriff auf Konten mit besonderen Berechtigungen, während durch sichere Prüfungen die Möglichkeit gewährleistet wird, die für Administratoraktionen verantwortlichen Personen zur Rechenschaft zu ziehen. PUPM bietet einen entscheidenden Nutzen für die Compliance, nicht nur durch die Einschränkung des Zugriffs auf Konten mit besonderen Berechtigungen, sondern auch durch die Überwachung der Verwendung dieser Konten. Werden bei einer Compliance-Prüfung potenzielle Verletzungen erkannt, kann die PUPM-Funktion ermitteln, wer für die Änderung eines kritischen Systems verantwortlich ist. Virtualisierungssicherheit ist zunehmend wichtig, da Unternehmen verstärkt auf VM-Technologien zurückgreifen. Virtuelle Umgebungen stellen aufgrund ihrer besonderen Art ein besonderes Sicherheitsrisiko dar, denn wenn eine Lücke beim Hypervisor oder einem anderen virtuellen Computer gefunden wird, lässt sich erheblicher Schaden anrichten. Angesichts dieses Umstands erweitert das 2011 PCI DSS Virtualization Guidelines Supplement deutlich den Bereich für Compliance mit PCI DSS, denn es erfordert, dass, sobald eine Komponente in einer virtuelle Umgebung Daten zu Karteninhabern enthält, die gesamte virtuelle Umgebung (einschließlich des Hypervisors) diese Vorschriften ebenfalls erfüllen muss. Daher erfordert die Compliance mit PCI DSS nun zusätzliche Kontrollen im Umfeld des Hypervisors, um den Schutz der Daten von Karteninhabern zu gewährleisten. 11

12 Erweiterte Authentifizierung und Betrugsvorbeugung bieten flexible Funktionen, mit denen Sie die Benutzerauthentifizierung verbessern können, darunter auch die risikobezogene Authentifizierung, mit der sich versuchte betrügerische Aktivitäten identifizieren und unterbinden lassen. Beispielsweise bietet die Zweifach- Authentifizierung besseren Schutz als Kennwörter, kann aber bei einer Implementierung als Hardwaretoken erhebliche Kosten- und Funktionalitätsprobleme hervorrufen. Eine Lösung für die softwarebasierte Mehrfach-Authentifizierung beseitigt solche Probleme und bietet erhöhte Sicherheit für kritische Ressourcen. Und schließlich wird mit jeder Verbesserung der Sicherheitskontrollen aller Wahrscheinlichkeit nach auch die Erfüllung der relevanten Vorschriften einfacher. Risikobasierte Authentifizierung kann die Compliance verbessern, denn sie ermöglicht die Integration kontextbezogener Faktoren in den Authentifizierungsprozess. Solche Faktoren wie Standort des Benutzers, seine letzte Aktion und die Tageszeit können die Verwendung strengerer Authentifizierung ( Step-up -Authentifizierung) erzwingen. Denken Sie daran, dass Zugriffsmanagementfunktionen alle Mainframe-Systeme der Umgebung einschließen müssen. Die Sicherheit ist immer nur so hoch wie das schwächste Glied, und ohne effektive Mainframe- Sicherheit verschlechtert sich das gesamte Compliance-Profil. Darüber hinaus spielt die Integration von Lösungen über Mainframe-Systeme und verteilte Systeme hinweg eine wichtige Rolle für die Vereinfachung der Sicherheitsverwaltung und die Möglichkeit, eine ausreichende umgebungsweite Konsistenz von Prozessen zu erreichen. Kontrolle von Informationen Viele Anbieter von Lösungen für das Identity Management konzentrieren sich auf die Verwaltung von Benutzeridentitäten und deren Zugriff. Es ist jedoch entscheidend, auch die Informationsverwendung zu kontrollieren, denn nur lässt sich feststellen, ob Verwendungsrichtlinien verletzt werden. Beispielsweise nehmen Mitarbeiter häufig sensible Daten mit aus dem Unternehmen, wenn sie ihren Arbeitsplatz verlassen. In wirtschaftlich schwierigen Zeiten ist das ein entscheidender Risikofaktor, gegen den sich Unternehmen schützen müssen. Die Fähigkeit, Zugriff bis auf die Datenebene herunter zu kontrollieren (und nicht nur bis zur Containerebene, d. h. die Datei), ist eine wichtige Compliance-Anforderung und hier unterscheiden sich die Hauptanbieter von Lösungen für das Identity Management voneinander. Diese Fähigkeit wird mit dem Begriff des Content Aware Identity and Access Management (IAM) (inhaltsbasierte Zugriffs- und Identitätsverwaltung) beschrieben, denn dabei wird der tatsächliche Dateninhalt herangezogen, um zu bestimmen, ob Sicherheitsrichtlinien verletzt werden. Außerdem können Zugriffsrechte anhand des Datenverwendungsverlaufs der Benutzer dynamisch angepasst werden, beispielsweise, um weitere Risiken oder Verletzungen zu unterbinden. Die Fähigkeit, Richtlinien und Benutzerberechtigungen anhand des Datenverwendungsverlaufs dynamisch anzupassen, stellt eine innovative und wichtige Weiterentwicklung für das Identity und Access Management dar. Unternehmen müssen festlegen und erkennen, welche sensiblen Informationen unternehmensweit vorhanden sind und wo sich diese Daten befinden. Dann müssen diese Daten geschützt und ordnungsgemäß kontrolliert werden. An dieser Stelle kommt Data Loss Prevention (DLP) (Vorbeugung von Datenverlusten) ins Spiel. DLP schützt vor Datenverlust, indem Daten an Endpunkten (Laptops, Desktoprechner), auf Nachrichtenservern (interne und externe , Mail von mobilen Geräten) und an Netzwerkgrenzen analysiert und geschützt und gespeicherte Daten erkannt und geschützt werden (z. B. Erkennung von sensiblen Daten in SharePoint-Repositorys). DLP-Lösungen erlauben die Erstellung flexibler Richtlinien für ein breites Spektrum von Datentypen (personenbezogene Informationen, nicht für die Öffentlichkeit bestimmten Informationen, geistiges 12

13 Eigentum usw.). Datenaktivitäten werden anhand von Richtlinien auf mögliche Sicherheitsverletzungen geprüft. Diese Aktivitäten umfassen das Senden per und Instant Messaging, Webnutzung, FTP, SMTP, HTTP, die Speicherung auf Wechselmedien, das Drucken von Dateien usw. Damit kann die DLP-Lösung Verletzungen erkennen und unmittelbar entsprechende Maßnahmen ergreifen und z. B. die Aktivität blockieren, unter Quarantäne stellen oder eine Warnung an den Benutzer ausgeben. Der Compliance-Bedarf hinter DLP liegt auf der Hand: Mit DLP können Unternehmen die vorsätzliche und versehentliche Weitergabe persönlicher und sensibler Daten minimieren. Ohne DLP sind Unternehmen einem erhöhten Risiko der Datenweitergabe ausgesetzt, die Compliance-Verletzungen mit den entsprechenden Strafen nach sich ziehen kann. Aber auch der geschäftliche Bedarf an DLP steigt, da Kunden, Partner und Anteilseigner von Unternehmen die Implementierung von DLP-Lösungen voraussetzen, um eine geschäftliche Beziehung mit einem Unternehmen einzugehen. Die Bereitstellung von DLP kann damit einen Wettbewerbsvorteil darstellen. Die letzte Schlüsselkomponente des DLP ist die Fähigkeit, sensible Daten zu einer bestimmten Identität zurückverfolgen zu können. Es ist nicht dasselbe zu wissen, dass auf persönliche Daten zugegriffen oder solche Daten entwendet wurden, und zu wissen, wer die Aktion ausgeführt hat. Der eigentliche Nutzen entsteht erst mit der Identifizierung des verantwortlichen Benutzers. Ist dieser einmal bekannt, kann das Unternehmen die Rollen und Berechtigungen dieses Benutzers prüfen und ihre Privilegien gegebenenfalls anpassen. Sicherheit und Compliance in Cloud-basierten und virtuellen Umgebungen Die Sicherheit stellt für die meisten Unternehmensumgebungen eine kritische Herausforderung dar. Mit der Einführung neuer Computing-Modelle wie virtuellen und Cloud-basierten Umgebungen steigt die Komplexität der Sicherheitsbelange. Beispielsweise können Lücken in virtuellen Plattformen sämtliche Anwendungen auf allen virtuellen Computern einer Plattform gefährden. Das Cloud Computing impliziert mit der Mehrfach- Mandanten-Struktur und der daraus folgenden potenziellen Co-Lokation vertraulicher Unternehmens- und Kundeninformationen einer Vielzahl von Cloud-Kunden ähnlich komplexe Herausforderungen im Hinblick auf die Sicherheit. Unternehmen haben bereits begonnen, mit Hilfe von Virtualisierung private Clouds aufzubauen. Virtuelle Umgebungen erfordern eine äußerst strikte Sicherheit für die Aktionen von Benutzern mit besonderen Berechtigungen, da solche Aktionen hier extrem weitreichende Folgen haben können. Zur Sicherung virtueller Umgebungen sind insbesondere eine differenzierte Kontrolle über den administrativen Zugriff und die Verwaltung von Benutzern mit besonderen Berechtigungen erforderlich. Cloud Computing ist einer der neuen Haupttrends im Computing, für den innovative Sicherheitsansätze gefragt sind. Service-Provider werden die Sicherheit verbessern müssen, um potenziellen Kunden für Cloud-basierte Services ausreichenden Schutz gewährleisten zu können. Und da Cloud-Provider grundsätzlich die Sicherheitsund Compliance-Anforderungen aller ihrer Cloud-Kunden erfüllen müssen, müssen solche Cloud-basierten Sicherheitsfunktionen äußerst solide sein, auf Standards basieren und sorgfältig getestet werden. Die Komplexität der Compliance nimmt in Cloud-Umgebungen aus zwei Gründen zu. Erstens befinden sich Daten möglicherweise auf der Site des Cloud-Providers. Damit entstehen komplexe Herausforderungen, um gewährleisten zu können, dass diese Daten vertraulich behandelt und geschützt werden, nicht nur vor externem Zugriff, sondern auch vor anderen Cloud-Kunden und nicht autorisierten Cloud-Administratoren. Zweitens muss der Cloud-Provider ausreichend gute Compliance-Kontrollen implementieren, um die Anforderungen der für die Cloud-Kunden geltenden Vorschriften erfüllen zu können. Beispielsweise stellen viele Länder eigene Anforderungen an den Schutz der Privatsphäre, denen alle Daten unterliegen, die im jeweiligen Land gespeichert werden. Wenn die privaten Daten Ihres Kunden in der Cloud sind, müssen Sie wissen, wo sich diese befindet und wie sie geschützt ist. 13

14 Abschnitt 4: Schlussbemerkungen Sicherheitsbezogene behördliche Vorschriften stellen im Allgemeinen oft sehr ähnliche Anforderungen. Die häufigsten dieser Anforderungen beziehen sich auf darauf, dass bekannt sein muss, wer die Benutzer sind, auf welche Anwendungen und Ressourcen sie zugreifen dürfen und auf welche Elemente (und wann) tatsächlich zugegriffen wurde. Dieser Grad an Kontrolle lässt sich am besten mit einer zentralisierten und integrierten IAM-Plattform erreichen, über die sich Identitäten, Zugriff und Informationsverwendung kontrollieren lassen. Eine integrierte Lösung für Content Aware Identity and Access Management ist von zentraler Bedeutung für die automatische Compliance, die wiederum Kosten und Aufwand für die Erreichung und Aufrechterhaltung der Compliance senkt. Ohne automatische Compliance muss weiterhin auf die typischen manuellen Kontrollen zurückgegriffen werden, die die Effektivität interner Kontrollen beschränken und die Fähigkeit von Unternehmen beeinträchtigen, im Wettbewerb gegen flexiblere Mitbewerber zu bestehen. Abschnitt 5: CA Technologies Content Aware Identity and Access Management CA Technologies ist ein führender Anbieter von Sicherheitssoftware, der eine umfassende Plattform für Content Aware IAM sowohl für dezentrale als auch für Mainframe-Systeme bietet. Die IAM-Lösung von CA umfasst die folgenden Komponenten: Kontrolle von Identitäten CA IdentityMinder bietet erweiterte Leistungsmerkmale für das Benutzermanagement, die die automatische Bereitstellung von Benutzern, Benutzer-Self-Service, Workflows für die Verwaltung von Genehmigungen und die delegierte Benutzerverwaltung erlauben, sowie eine benutzerfreundliche Oberfläche für Richtlinienerstellung und Identitätsverwaltung. CA GovernanceMinder bietet erweiterte Analysefunktionen und eine leistungsfähige Richtlinien-Engine, die die Amortisierung grundlegender Aktivitäten wie z. B. Berechtigungsbereinigung und Rollenerkennung beschleunigen. Kontrolle von Zugriff CA SiteMinder bietet eine zentralisierte Basis für das Sicherheitsmanagement, um die sichere Verwendung des Internets für die Bereitstellung von Anwendungen und Daten für Kunden, Partner und Mitarbeiter zu ermöglichen. CA ControlMinder bietet eine solide Lösung für die Verwaltung von Benutzern mit besonderen Berechtigungen und schützt Server, Anwendungen und Geräte plattform- und betriebssystemübergreifend. Die Komponente bietet außerdem die Möglichkeit, Zugriffsberechtigungen differenzierter festzulegen, und eine verbesserte Sicherheit gegenüber der Basissicherheit von Betriebssystemen. Sie unterstützt eine verbesserte Sicherheit, indem Benutzern mit besonderen Berechtigungen Kennwörter auf temporärer Grundlage für die einmalige Verwendung zugewiesen werden, während sichere Prüfungen gewährleisten, dass die für Benutzeraktionen verantwortlichen Personen zur Rechenschaft gezogen werden. 14

15 CA AuthMinder ist eine softwarebasierte Lösung für erweiterte Authentifizierung, die Unternehmen den Aufbau einer kohärenten und soliden Authentifizierungsstrategie mit nur einer Lösung erlaubt. Mit einem breiten Spektrum an Authentifizierungsmethoden und Schnittstellen lassen sich überflüssige Kosten in der Authentifizierungskette eliminieren. CA AuthMinder eignet sich ideal für Unternehmen, die auf das Risiko zugeschnittene Authentifizierungsmethoden verwenden wollen, ohne Authentifizierungslösungen mehrerer Anbieter installieren zu müssen. CA RiskMinder ist eine Lösung für die Erkennung von Webbetrug und die risikobasierte Authentifizierung, mit der Betrugsversuche bei Onlineservices für Kunden und Unternehmen in Echtzeit verhindert werden, ohne Komplikationen für berechtigte Benutzer nach sich zu ziehen. CA RiskMinder überprüft automatisch ein Spektrum an Daten und generiert anhand der Kombination von regel- und modellbasierten Analysen eine Risikobewertung. Je nach Risikobewertung können Benutzer mit einer Aktion fortfahren, müssen zusätzliche Authentifizierungsinformationen angeben oder dürfen nicht auf die Ressourcen zugreifen. CA ACF2 und CA TopSecret Security erlauben die kontrollierte Freigabe von Mainframe-Computern und Daten, während die versehentliche oder vorsätzliche Zerstörung, Änderung, Weitergabe und/oder missbräuchliche Verwendung von Computerressourcen verhindert wird. Diese Lösungen erlauben es Ihnen zu kontrollieren, wer die Ressourcen verwendet, und stellen die Fakten bereit, die Sie für die effektive Überwachung von Sicherheitsrichtlinien benötigen. Kontrolle von Informationen CA DataMinder greift auf die Identitäten zurück, um die Aktivitäten von Endbenutzern in Echtzeit zu analysieren und Daten mit einem hohen Genauigkeitsgrad zu verstehen, damit Unternehmen sensible Informationen effektiver schützen können. Abschnitt 6: Informationen über die Autoren Sumner Blount ist seit mehr als 25 Jahren in der Entwicklung und Vermarktung von Softwareprodukten tätig. Er hat bei Digital Equipment und Prime Computer große Entwicklungsgruppen für Betriebssysteme geleitet und bei Digital Equipment die Distributed Computing Product Management Group geführt. In jüngster Zeit hatte er eine Reihe von Posten im Produktmanagement inne, z. B. war er bei Netegrity als Produktmanager für die SiteMinder-Produktfamilie zuständig Derzeit befasst er sich bei CA mit Sicherheits- und Compliance-Lösungen. Merritt Maxim blickt auf 15 Jahre Erfahrung im Produktmanagement und Produktmarketing im Bereich Informationssicherheitsbranche zurück und war dabei für RSA Security, Netegrity und CA Technologies tätig. In seiner aktuellen Rolle bei CA Technologies betreut Merritt das Produktmarketing für Initiativen im Bereich Identity Management und Cloud-Sicherheit. Merritt, Co-Autor von Wireless Security, blogt über zahlreiche IT-Sicherheitsthemen. Sie können ihm unter folgen. Merritt Maxim ist BA cum laude der Colgate University und MBA der MIT Sloan School of Management und außerdem der Autor von Wireless Security. 15

16 CA Technologies ist ein Anbieter für IT-Management-Software und -Lösungen mit Erfahrung in allen IT-Umgebungen, von Mainframes und verteilten Systemen bis hin zu virtuellen Systemen und Cloud Computing. CA Technologies verwaltet und schützt IT-Umgebungen und ermöglicht Kunden die Bereitstellung flexiblerer IT-Services. Die innovativen Produkte und Services von CA Technologies bieten den Überblick und die Kontrolle, die IT-Organisationen zur Unterstützung geschäftlicher Flexibilität benötigen. Die meisten Fortune Global 500-Unternehmen nutzen Verwaltungslösungen von CA Technologies für ihre wachsenden IT-Ökosysteme. Weitere Informationen finden Sie auf der Website von CA Technologies unter ca. com/de, ca.com/at und ca.com/ch/de. Copyright 2012 CA. Alle Rechte vorbehalten. Alle Markenzeichen, Markennamen, Dienstleistungsmarken und Logos, auf die hier verwiesen wird, sind Eigentum der jeweiligen Unternehmen. Dieses Dokument dient ausschließlich zu Informationszwecken. CA übernimmt für die Genauigkeit oder Vollständigkeit der Informationen keine Haftung. Soweit nach anwendbarem Recht erlaubt, stellt CA dieses Dokument im vorliegenden Zustand ohne jegliche Gewährleistung zur Verfügung; dazu gehören insbesondere stillschweigende Gewährleistungen der Markttauglichkeit, der Eignung für einen bestimmten Zweck und der Nichtverletzung von Rechten Dritter. In keinem Fall haftet CA für Verluste oder unmittelbare oder mittelbare Schäden, die aus der Verwendung dieses Dokumentes entstehen; dazu gehören insbesondere entgangene Gewinne, Betriebsunterbrechung, Verlust von Goodwill oder Datenverlust, selbst wenn CA über die Möglichkeit solcher Schäden informiert wurde. CA bietet keine Rechtsberatung. Keines der Softwareprodukte, auf die hier verwiesen wird, dient als Ersatz für die Einhaltung Ihrerseits sämtlicher Gesetze (dazu gehören insbesondere verabschiedete Gesetze, Satzungen, Vorschriften, Regeln, Richtlinien, Normen, Regelwerke, Verordnungen, Verfügungen usw. (zusammenfassend als Gesetze bezeichnet)), auf die hier verwiesen wird, bzw. etwaig bestehender vertraglicher Verpflichtungen mit Dritten. Lassen Sie sich über solche Gesetze oder vertragliche Verpflichtungen von fachkundigem Rechtsbeistand beraten. CS1933_0212