itnow Identity- & Access-Management die heutige Sicht S. 3 Konzept Architektur und Integration IT-Lösungen Ausgabe:

Größe: px
Ab Seite anzeigen:

Download "itnow Identity- & Access-Management die heutige Sicht S. 3 Konzept Architektur und Integration IT-Lösungen Ausgabe:"

Transkript

1 itnow Konzept Architektur und Integration IT-Lösungen Identity- & Access-Management Ausgabe: die heutige Sicht S. 3 SPECIAL Identity- & Access-Management

2 Geschätzte Kunden und Partner, liebe Leserinnen und Leser Identity- & Access-Management ein Waisenkind? Das Management von Identitäten ist eine aussergewöhnlich komplexe Aufgabe. Es betrifft praktisch alle Bereiche eines Unternehmens wie z.b. die Personalabteilung, den Bereich Finanzen, die jeweiligen Geschäftsbereiche mit den Abteilungen Verkauf und Marketing sowie den Bereich IT. Diese Bereiche sind in Identity- & Access- Management-Projekten nicht nur beteiligt, sondern haben eine tragende Rolle. Dennoch oder gerade deswegen entstehen immer wieder Unklarheiten, wer eigentlich dafür zuständig und verantwortlich ist. Das Ergebnis im schlimmsten Fall: Das Identity- & Access-Management (IAM) steht verwaist im Niemandsland irgendwo zwischen Business und IT. Der Mangel an geregelten Zuständigkeiten birgt beträchtliche Risiken und Gefahren. Auf der einen Seite besteht das Risiko, dass beispielsweise gesetzliche Verpflichtungen und Regulatorien nicht erfüllt werden, auf der anderen Seite ist es unerlässlich, dass vertrauliche Personen- und Unternehmensdaten vor unbefugtem Zugriff geschützt werden. Die Komplexität von Identity- & Access-Management-Projekten Anscheinend weiss fast jeder, wie IAM- Projekte geführt werden müssten. Trotzdem haben rund 30 Prozent der ausgetretenen Mitarbeiter noch Zugriff auf Anwendungen und Ressourcen ihres ehemaligen Arbeitgebers. Da jedoch niemand klare Vorstellungen hat, wo genau die Verantwortung für das IAM angesiedelt ist, tauchen Lücken und Löcher auf. Neben den technischen Belangen tragen demnach vor allem organisatorische Aspekte zusätzlich zur Komplexität des IAM bei. Eine grosse Herausforderung, die das komplexe System des IAM stellt, liegt in dessen Organisation und der Gestaltung. Die Herausforderung besteht hier nicht nur zuletzt darin, dass die Gegebenheiten und Anforderungen an das IAM in praktisch jedem Unternehmen unterschiedlich sind, sondern auch in der Umsetzung, der Betreuung und der ständigen Anpassung an neue Gegebenheiten. Sicherheit im Mittelpunkt Grundsätzlich soll der Identifikationsprozess ermöglichen, dass ausschliesslich autorisierte Personen schnell und zuverlässig Zugang zu individualisierten Diensten und den ihnen zugänglich gemachten geschützten Unternehmens- und Benutzerdaten haben. Eine missbräuchliche Verwendung von Identitäten und der Zugriff durch nicht autorisierte oder nicht identifizierte Personen müssen mit höchstmöglicher Sicherheit ausgeschlossen werden. Ein Schwerpunktthema des IAM befasst sich demnach mit Sicherheitsfragen es geht darum, die Integrität von Systemen sicherzustellen sowie Ressourcen vor Missbrauch und Daten vor unbefugtem Zugriff zu schützen, indem kontrollierte Prozesse, durchsetzbare Regeln und adäquate Schutzfunktionen bereitgestellt werden. Schnell und einfach für den Benutzer Den Sicherheitsaspekten gegenüber steht das Anliegen der Benutzer nach einer einfachen und schnellen Authentisierung. Unterschiedliche Benutzernamen für verschiedene Bereiche und Dienste, komplizierte, häufig zu ändernde, stets unter Verschluss zu haltende und keinesfalls zu vergessende Passwörter ergeben nicht die idealen Voraussetzungen dafür, die Effizienz und die Produktivität zu fördern. Kommen zu PIN und digitalen Zertifikaten noch Badges, Fingerabdruckleser und einige weitere Identifikationsmethoden hinzu, so wird dies die Betriebsstimmung kaum heben. Effiziente Administration Die mit einer Identität eines Mitarbeiters verbundenen Rollen und Rechte können sich in kurzer Zeit mehrfach ändern. Ein interner Wechsel oder eine neue Funktion bedeuten, es sind neue Rechte zu erteilen und alte zu sperren. Eine andere Situation entsteht, wenn eine Versetzung in ein Tochterunternehmen erfolgt oder befristete Rechte z.b. an Auditoren, Urlaubsvertretungen oder externes Servicepersonal erteilt werden sollen. Veränderte Rollen und Funktionen oder ausgebaute Kompetenzen führen zur Anpassung der Zugriffskontrolle auf Daten, Anwendungen, Zutrittssysteme mit einer möglichst sofortigen und kontrollierten Umsetzung. Der Kreis der involvierten Administratoren kann sich von der Verwaltung der - Accounts, der Zugriffskontrolle auf Daten im Forschungslabor über die Personalabteilung und die Lohnbuchhaltung bis hin zur Zufahrtsberechtigung in die Tiefgarage schnell ausweiten, selbst bei einem simpel scheinenden Namenswechsel nach Heirat. Neue Geschäftsformen und Anwendungen Informationsaustausch und Geschäftsabwicklungen finden zunehmend in elektronischer Form statt wie dies beispielsweise im Bereich B2B, B2C mit direkter Verbindung von Applikationen der Fall ist. Es muss sichergestellt werden, dass Identitäten von Lieferanten, Partnern und Kunden vertrauenswürdig und echt sind, damit ein kontrollierter und authentifizierter Zugang gewährleistet ist. Fazit Der erste Schritt in ein solches Projekt muss daher sein, sich mit der Vielfalt des Themas und den taktischen und strategischen Optionen zu beschäftigen. Aus dem Niemandsland heraus sind die Themen einzukreisen und Verantwortungen zu übertragen. Wir bieten Ihnen heute, basierend auf unserem bewährten IAM-Modell, einen strukturierten Einstieg in die Gesamtthematik. Ziel ist es, gemeinsam mit Ihnen Ihre Anforderungen zu spezifizieren und zu formulieren. Aufgrund unserer Erfahrung sind wir in der Lage, die Projektgrösse und den Umfang so zu definieren, dass erreichbare Ziele entstehen. Während der Projektlaufzeit stehen wir Ihnen nicht nur mit unseren Beratungsdienstleistungen zur Verfügung, sondern unterstützen Sie auch in der Realisierung mit unseren Spezialisten und Partnern. Freundliche Grüsse Christian Günther Head of openx Consulting Bernd Genal Operation & Sales Practise Manager Identity- & Access-Management die heutige Sicht Es ist nicht für jedes Unternehmen notwendig, den kompletten Funktionsumfang eines Identity-Management-Systems auf einmal zu implementieren. Schon wer die ersten hier vorgestellten Schritte umsetzt, erzielt wesentliche Vorteile in Bezug auf Sicherheit und effizienten Betrieb der IT-Infrastruktur. Vom Buzzword zur ausgereiften Lösung In der Regel sind risikofreudige Start-ups damit beschäftigt, die Vorzüge ihrer noch nicht marktreifen Produkte anzupreisen (dünne Installationsbasis). Je nach Marktchancen werden die Start-ups von den «Big Playern» der Branche aufgekauft. Welche das sind, ist den halbjährlich erscheinenden Bewertungen namhafter Analystenhäuser zu entnehmen. Die Produkte werden alsbald breiter beworben und in verschiedensten Organisationen implementiert. Als Folge steigt die Reife der Lösungen, die den angepriesenen Nutzwert nicht nur versprechen, sondern sofern richtig umgesetzt auch erbringen. So weit, so gut, es gibt also Lösungen Typischerweise adressieren die IAM-Lösungen die IT-Abteilungen von Unternehmen. Bei entsprechendem Budget kann also hohes Optimierungs- und Verbesserungspotenzial erreicht bzw. schmerzenden Stellen Linderung verschafft werden. Eigentlich ist alles ganz einfach, man müsste bloss Von hinten durch die Brust ins Auge Hier aber beginnt das eigentliche Problem! Vielfach wird mit der Aussage «Identity- Management ist kein IT-Thema, sondern ein organisatorisches Thema» argumentiert und versucht, die nicht so einfach wegzudiskutierende technische Note des Themas zu kaschieren. In unseren zahlreichen Beratungsmandaten haben wir aber noch nie mit einem CEO oder einem Businessverantwortlichen gesprochen, welcher von sich aus der Meinung war: «Wir brauchen IAM in voller Tiefe und Breite!» Verblüffend, es hat sich selten ein Nicht-IT- Vertreter einer Organisation auf eine IAM- Fachtagung verirrt. IAM ist in der Unternehmensführung nicht als Thema präsent. Genau deren Unterstützung ist aber zwingend notwendig, damit IAM effektiv umgesetzt werden kann die IT überhaupt einen entsprechenden Auftrag erhält. Die Regel ist eher «Was ist das? Was bringt uns das? Was kostet das?» Erfreulicherweise sind aktuell vermehrt IAM-Projekte in Planung, in Umsetzung und auch bereits realisiert. Die entsprechende Überzeugungsarbeit konnte also in vielen Fällen auch durch unsere Unterstützung geleistet werden. 2 itnow itnow 3

3 Ernüchterung Laut jüngst veröffentlichten Studien sowie als Tenor auf Identity-Konferenzen zeigen sich aber auch nicht unerhebliche Wermutstropfen. Eine grosse Zahl von durchgeführten IAM-Projekten bleibt in den Ergebnissen teilweise weit hinter den versprochenen Erwartungen zurück oder wird gar abgebrochen. Auch unsere Erfahrung zeigt, dass beispielsweise gross angelegte IAM-Programme dramatisch ins Stocken geraten können. Gründe sind aus unserer Sicht unter anderem in der unterschätzten Komplexität des Themas und in unterschiedlichen und zahlreichen Sichtweisen zu suchen. «Ist unsere IT gut? Hat der CIO das alles im Griff?» Fragt man fünf IAM-Experten: «Was ist IAM?», man erhält fünf verschiedene Antworten Gerade in grösseren Unternehmen mit finanzstarken IT-Divisionen grassiert gerne auch das «Not invented here»-syndrom: «Das ist zwar ganz gut, was ihr da macht, unsere Anforderungen erfüllt das aber nicht, deshalb machen wir das so und zwar besser als ihr!». In Bezug darauf, die einzig richtige Definition von IAM zu haben, ist oftmals auch eine gewisse Verbissenheit unter IAM-Interessierten zu beobachten. Der Faktor Mensch, das Ego! Gruppendenken und das zugehörige Denken in Organisationen und Divisionen sind dem Menschen nun einmal angeboren. Die Folgen sind allseits bekannt, Silos und «Gärtchen» und das Drehen im Kreis. Spannungsfelder Risk, Compliance Business Lines, HR, Finance Identity- & Access- Management Die Business Lines, Compliance, Finance, HR, Risk Management und IT sind aber nun einmal in Organisationseinheiten, Divisionen und Abteilungen organisiert. Nicht nur, damit sich die Menschen zurechtfinden, sondern auch damit Erfolg und Misserfolg in Zahlen dokumentiert werden können. IT Die Einheiten haben unterschiedliche Missionen und folglich unterschiedliche Bedürfnisse im Arbeitsalltag, damit die gesteckten Ziele erreicht werden. Unverkennbar besteht die Schwierigkeit darin, die Köpfe der Einheiten bei fehlendem Problembewusstsein von einer an und für sich guten, für alle dienlichen, also unternehmensweiten Lösung zu überzeugen. «Wir brauchen keine zentrale Lösung, wir haben unsere eigene! Die <Pains> der anderen gehen mich nichts an! Kein Interesse, danke!» Business-Process-Management, die Voraussetzung für IAM? In der Tat ist Prozessdenken aller Personen einer Organisation dabei hilfreich, das volle Potenzial auszuschöpfen. IAM speziell rollenbasiertes und automatisiertes Provisioning unterstützt hier nachhaltig. Werden Prozess- anstelle von «Silozielen» gemessen, so sind «Einheiten übergreifende Handlungen» (end to end) eine Selbstverständlichkeit. Aber Hand aufs Herz, welches Unternehmen ist denn wirklich vollumfänglich prozessorientiert organisiert? Selbst beim Anwenden der 80/20- Regel wird es schwierig, entsprechende Unternehmen zu finden. Unterschiedliche Ausprägungen in den unterschiedlichen Organisationen Weltweit gesehen werden amerikanische Unternehmen in einer Vorreiterrolle wahrgenommen. Demzufolge beschäftigen sich US-Unternehmen bereits länger mit IAM als europäische Organisationen. Weiterhin existiert in Europa ein Nord-Süd-Gefälle, wobei im Norden IAM-Initiativen ausgeprägter sind als im Süden. Des Weiteren ist zwischen Wirtschaftsunternehmen und öffentlichen Betrieben/Verwaltungen zu unterscheiden. Letztere sind in ihren IAM- Bestrebungen teilweise erst in den Anfängen. Erstere je nachdem bereits in der zweiten oder gar dritten Generation in der Implementierung von diversen IAM-Disziplinen angelangt. Grundsätzlich lässt sich festlegen: Je höher der Stellenwert der Informationstechnologie, je tiefer und breiter die IAM-Ausprägung umso höher der IAM-Reifegrad des Unternehmens. Allen voran ist das Banken- und Finanzumfeld, wobei dort die IT die zentrale Infrastruktur darstellt. Öffentliche Verwaltungen sind derzeit mit der Konsolidierung identitätsrelevanter Daten in einem zentralen System beschäftigt, während einige führende Banken bereits «Leading Edge»-Technologien wie «Web Service Federation» in ihren IAM-Service-Katalog aufgenommen haben und mit etlichen B2B-Partnern bereits föderieren. Zwischen diesen Extremen sind quasi alle denkbaren Ausprägungen anzutreffen. Wo einsteigen? Wo aufhören? > der «Reality Check» Eines haben alle Organisationen gemein: Alle betreiben auf irgendeine Art und Weise Identity- und Access-Management. IAM kann aber nur so breit und tief ausgerollt werden, wie die Organisation es zulässt. Es macht also wenig Sinn, Idealen nachzueifern, welche für ein Unternehmen nicht oder noch nicht relevant also unerreichbar sind. Trotzdem sollten die Ziele eine gewisse «Challenge» darstellen, damit die Aufgabe nicht zu leicht wird. Die richtige Einschätzung bezüglich der Zielsetzung und der Machbarkeit ist aus unserer Sicht ein immens wichtiger Meilenstein dafür, die richtigen Aktivitäten zuerst für alle verständlich zu formulieren und dann auch durchzuführen. Vor allem, wenn es um den erfolgreichen Abschluss geht! «Lieber kleine Brötchen backen als zu grosse; aber alles ist besser, als nichts zu tun!» IAM-Initiativen lostreten: entweder die richtigen Argumente finden Auf der Suche nach Managementunterstützung gilt es, die richtigen «Dafür»-Argumente zu finden. In der Vergangenheit haben sich bestimmte Schwerpunkte herausgeschält: Die Kosten Sofern dem Management Kostenreduktion aufzuzeigen ist, ist dies evtl. ein deutliches Zeichen dafür, dass die Organisation noch nicht reif für den «grossen Wurf» ist. Kostenreduktion ist an und für sich nur durch Stellenabbau zu erreichen. Die vermeintlich eingesparten Kosten müssen aber an anderer Stelle wieder ausgegeben werden. Kostenbezogene Argumente sind jedenfalls schwer zu quantifizieren und selten gute Treiber für IAM-Vorhaben. Evtl. einfacher fällt es, Argumente zu finden, bei welchen es um Vermeidung von zukünftig anfallenden Kosten geht. Unternehmenswert Je nach Wertschätzung der Technologie sind möglicherweise Treiber wie «Ease of Use» durch SSO, oder schnellere Integration bei «Mergers and Acquisitions» etc. erwähnenswert. Die Vorteile hierbei sind generell schwer zu vermitteln speziell wenn Vorschläge zur Verbesserung des Unternehmens und zur Erhöhung des Unternehmenswertes aus der IT kommen. Fakt ist, auch noch so gute Argumente meist verfasst in Form eines Business Case haben nicht immer das entsprechende Gewicht, die gewünschte IAM-Initiative loszutreten. oder auf den richtigen Zug aufspringen. Unserer Erfahrung nach Erfolg versprechend sind verständlicherweise Treiber, welche auf real vorhandene Bedürfnisse zurückzuführen sind. Es ist richtig, alten Rezepten zu folgen. Also bei grossen unternehmensrelevanten Einführungen, Umund Ausbauten zuzuarbeiten und als wichtiger Befähiger in Erscheinung zu treten. Hier zu nennen sind vor allem Vorhaben in Bereichen missionskritischer Businessapplikationen, SOA, CRM, ERP und BPM. Weitere Chancen bestehen, bei immer stärker gewichteten Initiativen zu Governance, Risk und Compliance (GRC) des Unternehmens anzudocken. Wirtschaftsprüfer und Auditoren haben den Trend mittlerweile erkannt und stellen gezielt die entsprechenden Fragen. All dies kann den notwendigen Einstieg in einen breit ausgebauten IAM-Service bedeuten. «IAM unterstützt in vielen Fällen, ist aber nicht das Zentrum der Welt!» Tue Gutes und rede darüber Nicht zu unterschätzen ist die Notwendigkeit, eine Art Identity-Kultur zu schaffen. Ständiges Kommunizieren von erreichten Verbesserungen und möglichst breites Streuen der entsprechenden Denkweise vereinfacht das Reden über IAM-Themen enorm. Muss bei jedem Vorhaben erneut die Frage erörtert werden: «Was ist IAM, und wozu brauche ich es?», so gestaltet sich ein Vorankommen schwierig. Ein auf jede Zielgruppe angepasstes Informationsmaterial ist also kein unnötiger Luxus. Wozu das alles? Ist denn das die Mühe wert? «Stillstand ist Rückschritt.» Darauf bauen Wirtschaftssysteme auf, es gibt also immer etwas zu tun! IAM kann heute nicht mehr ausser Acht gelassen werden. Für Unternehmen sind die Vorteile nicht von der Hand zu weisen und faktisch vorhanden. Sie sind jeweils fallbezogen zu finden und zu beweisen. Auf der persönlichen Ebene des IAM-Interessierten birgt das Vorhaben evtl. ein hohes Risiko. Daher gilt es, sich durch fundierte planerische Vorarbeiten entsprechend abzusichern und die Themen in den richtigen Kontext zu setzen. Was können wir für Sie tun? Um Ihr Unternehmen optimal im Thema Identity- & Access-Management weiterzubringen, bietet openx Consulting individuelle Lösungspakete. Unsere Spezialisten decken vom Beratungsteil über Architekturdesign, Systemintegration und Datenbereinigung bis hin zu dem Betrieb und dem Unterhalt von Identity- & Access- Management-Systemen den kompletten Lifecycle aller Themen ab. Definition der Anforderungen und Ziele Analyse Strategie Entscheidungsfindung Konzeption Empfehlung Optimierung Betrieb Implementierung Ob Sie Ihren Einstieg ins Identity- & Access-Management planen oder ob Sie bestehende Lösungen optimieren oder reviewen möchten, wir unterstützen Sie in jeder Phase Ihres IAM-Projekts! Kontakt LC Systems-Engineering AG openx Consulting Division Dirk Ebner Lead IAM Einführung Umsetzung 4 itnow itnow 5

4 Identity Management für Einsteiger Der Prozess für die Zuweisungen von Privilegien lässt sich weiter verbessern, indem die Mitarbeiter selbstentsprechend den Anforderungen ihres Arbeitsprofils über Self-Service-Funktionen neue Berechtigungen beantragen können. Es ist nicht für jedes Unternehmen notwendig, den kompletten Funktionsumfang eines Identity-Management-Systems auf einmal zu implementieren. Schon wer die ersten hier vorgestellten Schritte umsetzt, erzielt wesentliche Vorteile in Bezug auf Sicherheit und effizienten Betrieb der IT-Infrastruktur. In grossen Unternehmen mit vielen Mitarbeitern sind die Vorzüge eines Identity-Management-Systems unbestritten. Es würde viel Geld und Zeit kosten, wenn die IT-Leute jede Veränderung der Zugangsberechtigungen mühsam per Hand eintragen müssten. Kein Wunder also, dass heute kaum noch ein führendes Unternehmen ohne eine integrierte Benutzerverwaltung auskommt. Identity-Management-Systeme laufen meist problemlos. Doch ihre Einführung ist oft schwierig. Viele Unternehmen betrachten die Implementierung nicht als fortlaufenden Prozess, sondern als einmaliges Projekt und lassen so viele Chancen ungenutzt. Für den erfolgreichen Aufbau einer Identity-Management-Lösung empfiehlt sich ein stufenweises Vorgehen. Denn nur die schrittweise Einführung der Benutzerverwaltung sorgt dafür, dass sich die ersten Funktionsbestandteile schon in einem sehr frühen Projektstadium nutzbringend einsetzen lassen. Dadurch verringern sich Kosten, Komplexität und Risiko der Einführung beträchtlich. Der weitere schrittweise Ausbau des Systems folgt dann den aktuellen Bedürfnissen, wobei die Erfahrungen aus den ersten Schritten in die folgenden einfliessen können. Die folgenden Arbeitsschritte bauen systematisch aufeinander auf. So ist gewährleistet, dass am Projektende alle wichtigen Funktionen zur Verfügung stehen. Identitäten integrieren Jede Person, die durch das Identity-Management-System verwaltet wird, ist im Identitätsspeicher als Identitätsobjekt hinterlegt. Für die eindeutige Kennzeichnung ist es ratsam, jedem Objekt automatisch einen unternehmensweit eindeutigen «global Identifier» (GID) zuzuweisen. Die Identitäten lassen sich auch manuell im Identitätsspeicher pflegen. Je nach ihrem Typ werden sie bereits in verschiedenen Datenbanken des Unternehmens verwaltet: die Mitarbeiter im Personal, die Kundendaten im CRM-System etc. Eine Identitätsintegration identifiziert all diese Systeme und bindet sie an das Identity- Management-System an. Über regelmässige Synchronisationen werden dann immer die aktuellen Daten aus dem Quellsystem in den zentralen Identitätsspeicher übertragen. Zielsysteme integrieren Für jede Benutzerverwaltung, die an das Identity-Management-System angeschlossen ist, werden alle Benutzerkennungen in den Identitätsspeicher übertragen und den Personenidentitäten zugeordnet. Die Mitarbeiter der IT-Abteilung erhalten auf diese Weise einen zentralen Überblick über die Identitäten und die ihnen zugeordneten Benutzerkennungen. Im Rahmen der Zielsystemintegration werden neben den Benutzerkennungen auch Systemberechtigungen und Mitgliedschaften übertragen. Berechtigungsstrukturen analysieren Bevor die Rechte in Clustern gruppiert und zu Rollen zusammengefasst werden können, analysiert das «Role Mining» die bestehenden Berechtigungsstrukturen. Der zentrale Identitätsspeicher ist in der Lage, systemübergreifend Informationen für das Role-Mining-Werkzeug bereitzustellen. So schafft er eine gute Datengrundlage für die Identifikation von Rechtebündeln. Mithilfe dieses Bottom-up-Ansatzes lassen sich die Berechtigungsstrukturen transparent darstellen und der Zuweisungsprozess wird bereits um ein Vielfaches vereinfacht. Vergabe von Berechtigungen steuern Signalisiert das Personalsystem beispielsweise den Austritt eines Mitarbeiters, so wird das zugehörige Identitätsobjekt im zentralen Identitätsspeicher automatisch deaktiviert. Wenn sich der Status des Identitätsobjekts ändert, so werden auch alle ihm zugeordneten Benutzerkennungen automatisch deaktiviert und bei Bedarf gelöscht. Damit ist die Gefahr von Sicherheitsverletzungen wegen veralteter und nicht zuordenbarer Benutzerkennungen gebannt. Alle Berechtigungszuweisungen erhalten einen Gültigkeitszeitraum, nach dessen Ablauf die Berechtigung automatisch entzogen wird. Juristisch absichern Nicht zu unterschätzen beim gesicherten Zugriff auf Unternehmensinformationen sind die juristischen Aspekte: Werden die Vorschriften globaler Gesetze nicht erfüllt, kann dies teils gravierende rechtliche und in der Folge auch wirtschaftliche Konsequenzen zur Folge haben. Deshalb sollten die Firmen genau festhalten, wer wann was mit welcher Information gemacht hat. Das Identity-Management-System enthält wesentliche Teile der vom Gesetz geforderten Informationen, da es jede Veränderung der Berechtigungszuweisung aufzeichnet. Durch die Archivierung dieser Informationen wird die IT-Infrastruktur «ready for compliance». Berechtigungsvergabe automatisieren Um die Berechtigungsvergabe zu automatisieren, sind vorhandene Informationen zu den im Identitätsspeicher hinterlegten Personen nutzbar: beispielsweise die Zugehörigkeit zu Organisationseinheiten, Standortinformationen oder Mitarbeit in Projekten. Diese Informationen stehen dank der am Anfang erwähnten Synchronisationen bereits zur Verfügung und lassen sich als Kriterien für die Zuweisung von Berechtigungen nutzen. Werden die Berechtigungen automatisch zugewiesen, steigt die Effizienz und die Fehleranfälligkeit sinkt. Unter bestimmten Umständen ist jedoch eine zusätzliche Absicherung der automatischen Zuweisung notwendig, z.b., wenn ein Vorgesetzter der Zuweisung von Privilegien für einen Mitarbeiter zustimmen muss. Aus diesem Grund ermöglichen Identity-Management-Systeme auch die Definition von «Genehmigungs-Workflows»: Erst wenn die für eine Genehmigung relevanten Personen den Vorgang freigegeben haben, wird eine Berechtigungszuweisung in das Zielsystem übertragen. Prozessorientierte Rollenmodellierung Neben der beschriebenen Bottom-up-Methode lässt sich in einem Identity-Management-System auch topdown ein organisatorisches Rollenmodell hinterlegen. Es wird aus der Modellierung der Geschäftsprozesse und falls vorhanden aus den Informationen von Arbeitsplatzbeschreibungen abgeleitet. Dazu müssen jedoch die Rollen den Berechtigungen der Zielsysteme zugeordnet sein. Dank der Integration der Zielsysteme (aus dem Schritt 2) sind deren Berechtigungen im zentralen Identitätsspeicher verfügbar und lassen sich für diese Zuordnung nutzen. Der Prozess der Rollenmodellierung muss mit den notwendigen Funktionen und Kompetenzen innerhalb des Unternehmens ausgestattet werden. Es ist festzulegen, wer die Rollen verändern, wer Zuordnungen zu Benutzern und Berechtigungen anpassen und wer dies freigeben darf. Weil sich das im Iden tity-management-system hinterlegte Rollenmodell ständig ändert, muss auch seine Historie gespeichert werden. Enno Hoffmann Account Manager IT Security, Identity- & Access-Management Kontakt Siemens Enterprise Communications AG Albisriederstr. 243c CH-8047 Zürich Telefon +41 (0) itnow itnow 7

5 Ad hoc-berechtigungen Nehmen wir als Beispiel die BusinessCorp, eine mittelgrosse Firma mit 20 Applikationen, mit welchen die Mitarbeiter arbeiten müssen. Tritt ein neuer Mitarbeiter in die Firma ein, erhält er in jedem Fall einen Windows (Active Directory) Account sowie eine Mailbox. Diese werden durch einen Informatikadministrator zugewiesen aufgrund eines Mails der Personalabteilung. Berechtigungen zum Zugriff auf die weiteren Systeme erhält der Mitarbeiter durch einen Systemadministrator der jeweiligen Applikation, üblicherweise indem die Berechtigungen eines anderen, «ähnlichen» Mitarbeiters manuell kopiert werden (sog. «Templating»). Mitarbeiter, welche seit mehreren Jahren in der Firma sind, haben oftmals Zugriffsrechte in allen Applikationen akkumuliert. Rechte werden kaum oder gar nicht weggenommen. Wenn ein Mitarbeiter die Firma verlässt, wird er im Active Directory und im Mail System durch den Administrator gelöscht, in den anderen Systemen bleiben die Accounts meistens erhalten, oft sogar aktiv. Diese Situation führt zu mindestens zwei Problemen: das Prinzip des «Least Privilege» (LP), also dass ein Benutzer nur die tatsächlich benötigten Berechtigungen haben sollte, wird auf jeden Fall verletzt. Zusätzlich wird oftmals auch das Prinzip der «Segregation of Duties» (SoD) verletzt, wobei Mitarbeiter Berechtigungskombinationen erhalten, welche ein Risiko für die Firma darstellen können. Da die Zugriffsberechtigungen der Benutzer im Wesentlichen nur für die Administratoren sichtbar sind, kann auch niemand aus der Businessabteilung aufmerksam werden, dass hier Vorschriften verletzt werden oder erhebliche Risiken vorhanden sind. Der Weg zum Rollenmanagement mit Sun Role Manager Im Bereich Identity-Management wird immer mehr auch von Rollen- Management gesprochen. Dabei sollen Zugriffsberechtigungen nicht mehr adhoc den Benutzern vergeben werden, sondern mehrere Berechtigungen werden in einer Rolle zusammengefasst und so dem Benutzer zugewiesen. Eine Rolle fasst üblicherweise Berechtigungen für mehrere Zielsysteme zusammen, welche für die Erfüllung einer Aufgabe notwendig sind. Eine Rolle könnte also zum Beispiel 2 Gruppen im Active Directory, eine LDAP-Gruppe sowie einige Werte in einer Datenbanktabelle umfassen. Aber was ist eigentlich das Problem, welches mit Rollen gelöst werden soll? Effiziente Reviews der Zugriffsrechte Man könnte nun versucht sein, diese Situation direkt durch die Einführung von Rollen zu lösen. Welche Zugriffsrechte gehören aber nun tatsächlich in Rollen? Man riskiert, dass die bereits heute falsch oder zu viel zugewiesenen Rechte weiterhin im System bleiben, einfach neu via Rollen. Um diese zu verhindern, sollte als Erstes ein Review der Benutzerrechte erfolgen. Ein solcher Review wird in verschiedenen Regulationen gefordert (SOX, Basel II, EuroSOX...). Immer mehr Firmen kommen auch ohne regulativen Zwang zum Schluss, dass die Kontrolle der Benutzerrechte ein wichtiger Kernprozess im Umgang mit Risiken ist. Die Reviewresultate werden dann dazu verwendet, falsch zugewiesene Berechtigungen in den Systemen zu entfernen. Peter Gassmann, Sun Microsystems (Schweiz) AG Ein manueller Review der Zugriffsrechte ist aber nicht ganz einfach. Wie soll der Teamleiter Fred aus der Businessabteilung 50 Zielsystemattribute mit 1000 möglichen Werten verstehen können? Und wie erst der Auditor der Firma? Und wer erarbeitet die Datenauszüge für die einzelnen Teamleiter, damit diese einen Review durchführen können? Der Sun Role Manager bietet genau dafür die ideale Unterstützung. Im Sun Role Manager kann mit wenig Aufwand ein Data Warehouse der Zugriffsberechtigungen aller Benutzer in der Firma aufgebaut werden. Die Daten können dabei sowohl über existierende Identity-Management-Lösungen importiert werden wie auch aus einfachen Textdateien. Dadurch können mit wenig Aufwand sehr viele Applikationen analysiert werden. Abbildung 1: Screenshots Sun Role Manager Das Data Warehouse wird ergänzt mit Informationen über die Verantwortlichkeiten, also welcher Manager die Berechtigungen welcher Mitarbeiter kontrollieren soll. Dies kann gleichzeitig über mehrere Dimensionen, z.b. Organisationseinheiten, Projekte, Applikationen oder Geschäftsstellen erfolgen. Der Sun Role Manager unterstützt und automatisiert den vollen Review-Lebenszyklus, von den Einladungen via an die Manager über die Darstellung der einzelnen Benutzer mit ihren aktuellen Zugriffsberechtigungen bis zur Bestätigung oder zur Ablehnung durch den Manager, inklusive Aufzeichnung aller Entscheidungen. Als zusätzliche Hilfe kann im Data Warehouse ein Glossar hinterlegt werden, welches die einzelnen, oftmals nichtssagenden, Zielsystemattributwerte beschreibt und verständlich macht. Für alle Daten im Data Warehouse, auch für die Reviewresultate, stehen vordefinierte Reports zur Verfügung. Durch solche Reports kann unter anderem aufgezeigt werden, welche Berechtigungen ein Benutzer zu welchem Zeitpunkt hatte. Somit können Compliance-Anforderungen automatisiert umgesetzt werden. Der durch den Sun Role Manager unterstützte Review und die darauf basierenden Aufräumarbeiten sind allerdings erst eine temporäre Lösung. Da die Zuordnung der Benutzerrechte weiterhin manuell erfolgt, werden früher oder später wiederum die SoD- und LP-Prinzipien verletzt werden. Dies kann selbstverständlich wiederum durch einen neuerlichen Review erkannt werden. Der Sun Role Manager bietet dafür die Möglichkeit, inkrementelle Reviews durchzuführen und so den Aufwand für die Reviewer/Manager klein zu halten. Besser wäre es aber, wenn auch die Zuordnung der Berechtigungen, insbesondere für neue Mitarbeiter, strukturiert und kontrolliert erfolgen würde. Konsistenz durch Rollen Wenn die Berechtigungen unter Kontrolle sind, also Aufräumarbeiten durchgeführt wurden, sollte sichergestellt werden, dass dies auch in Zukunft so bleibt. Rollen haben dabei im Wesentlichen zwei Aufgaben: Bündelung und Standardisierung. In einer Rolle werden üblicherweise die Berechtigungen für mehrere Applikationen zusammengefasst. Damit muss derjenige, der die Rolle einem Benutzer zuweist, oder durch den eine Überprüfung erfolgt, nicht mehr die einzelnen Berechtigungsattribute verstehen, sondern nur noch, ob der Benutzer die Rolle als Einheit zugeordnet haben soll oder nicht. Die Konsistenz und die Zuverlässigkeit sowohl bei der Rollenvergabe wie auch beim Rollenentzug können damit sichergestellt werden. Berechtigungen können nun mithilfe von Rollenauch durch Manager oder den Helpdesk vergeben werden, da dafür nicht mehr detaillierte Kenntnisse der Zielsysteme notwendig sind. Als Nebeneffekt ergibt sich auch eine Standardisierung der verschiedenen Berechtigungsprofile, da es wenig Sinn macht, jedem Benutzer in der Firma eine individuelle Rolle masszuschneidern. Rollen haben üblicherweise auch einen Verantwortlichen (Owner), welcher zuständig für den Inhalt der Rolle und die Zuordnung an Benutzer ist. Damit ergibt sich ein natürlicher Anknüpfungspunkt für Verwaltungsaufgaben, wie auch für Reviews und Audits. Und dank dem (hoffentlich) aussagekräftigen Rollennamen ist schnell erkennbar, insbesondere auch für einen Auditor, welchen Zweck die Rolle hat. Rollen können auch einfacher automatisiert den Benutzern zugeordnet werden, zum Beispiel über die Organisationseinheit des Benutzers oder aufgrund anderer Attribute. Speziell dieser letzte Punkt kann einiges dazu beitragen, dass die Benutzer jederzeit genau diejenigen Berechtigungen haben, welche für ihre Position und ihre Funktion in der Firma notwendig und korrekt sind. Role Mining und Role Engineering Jetzt stellt sich die Frage, wie unsere BusinessCorp die Benutzerverwaltung von der Ad hoc-berechtigungsvergabe zu einer kontrollierten, nachvollziehbaren, rollenbasierten Rechteverwaltung migrieren kann. Der Sun Role Manager bietet auch dafür einiges an Unterstützung. Sun Role Manager enthält eine Role Mining Engine. Die Engine verwendet das Data Warehouse dazu, Rollenkandidaten zu identifizieren. Dabei können verschiedene Parameter eingestellt werden, welche die Anzahl und die Struktur der gefundenen Rollen beeinflussen. Üblicherweise wird eine Kombination von Bottomupund Topdown-Approach gewählt. Topdown können Benutzergruppen identifiziert werden, welche aufgrund von Attributen einer gemeinsamen Gruppe angehören. Beispiele dafür sind Kostenstellen, Lokationen, Jobcodes etc., welche typischerweise aus dem HR-System kommen. Bottomup werden dann eher kleinere Benutzergruppen analysiert, um Gemeinsamkeiten in den zugewiesenen Zielsystemattributen zu finden. Es wird unterschieden zwischen fachlilichen Rollen und technischen Rollen. Eine technische Rolle enthält einen oder mehrere Berechtigungswerte für ein Zielsystem. 8 itnow itnow 9

6 AUFBAU DER ZUGRIFFSRECHTE-DB (DATA WAREHOUSE) IM RM * 1 INFORMIEREN DER 2 ROLLEN-MINING IM RM ANALYSE & FINALISIERUNG 3 WORKSHOP # 1 4 BETEILIGTEN MANAGER DURCHFÜHREN VON ROLLEN & REGELN 5 Web-Service-Federation Neue Geschäftsmodelle sowie mehr und mehr ins Internet verlagerte Geschäftsbeziehungen erfordern neue Lösungen im Bereich des Web-Access-Managements: Web-Service-Federation. ANALISIEREN DER ZUGRIFFSRECHTE IM RM (ALLE APPL.) * ROLLEN VS. AKTUELLEM FINALISIEREN DER ROLLEN REVIEW & 6 WPRWORKSHOP # ZUSTAND SCAN ZURIFFSRECHTE IN ZERTIFIZIERUNG ROLLEN * Schritte 3-8 mehrfach durchlaufen (Iterationen) Abbildung 2: Vorgehensplan Rollendefinition mit Sun Role Manager (RM) Eine fachliche Rolle fasst mehrere technische Rollen zusammen. So identifizierte Rollen werden dann den potenziellen Rollenbesitzern zum Review vorgelegt. Dieser Prozess wird iterativ durchgeführt. Allenfalls können einige der identifizierten Rollen zu einer einzigen Rolle kombiniert werden, auch dieser Prozess wird unterstützt. Oftmals können nicht 100% der Benutzerberechtigungen in sinnvolle Rollen verpackt werden, dies kann durch so genannte Exceptions umgesetzt werden. Realistischer ist es daher, eine 80:20-Lösung anzustreben. Rollenmanagement Wenn die Rollen fertig definiert worden sind, können diese in Kombination mit einer Identity-Management-Lösung, zum Beispiel dem Sun Identity Manager, automatisch auf die Zielsysteme provisioniert werden. Von diesem Punkt an übernimmt der Sun Role Manager damit auch eine aktive Rolle in der Verwaltung der Benutzerberechtigungen. Das Rollenmanagement wird durch den Sun Role Manager auf verschiedenen Ebenen unterstützt. Einerseits können im Sun Role Manager neue Rollen definiert und mit der angeschlossenen Identity-Management-Lösung synchronisiert werden. Bestehende Rollen können verwaltet, analysiert, rapportiert und in Reviews überprüft werden. Der Sun Role Manager wird damit zum primären Tool für Rollenverantwortliche und Auditoren. Projektfaktoren Wichtig bei jedem Rollenmanagementprojekt ist, dass diejenigen Personen, welche Rollen-Owner und Reviewer sein werden, von Anfang an in das Projekt einbezogen werden. Da diese Personen üblicherweise in der Businessabteilung der Firma (und nicht nur in der Informatik) sitzen, ergibt sich daraus, dass ein solches Projekt Unterstützung des Topmanagements, insbesondere auch der Businessverantwortlichen braucht, damit es erfolgreich umgesetzt werden kann. Einer der typischen Vorbehalte gegenüber einem Rollenprojekt sind die grosse Komplexität, die grosse Menge an zu berücksichtigenden Faktoren und die allenfalls daraus resultierende grosse Zahl an Rollen. Dank entsprechender Tool-Unterstützung ist ein solches Projekt erfolgreich durchführbar (Role Mining) wie auch anschliessend verwaltbar (Role Management). Um die Erfolgschancen des Projektes zu steigern, sollte ein iteratives Vorgehen gewählt werden. Dabei wird eine Auswahl der wichtigsten Zielsysteme und Organisationen/Benutzergruppen in der Firma für die erste Iteration des Projektes ausgewählt. Dies ermöglicht es, den Überblick zu behalten und auch frühzeitig umsetzbare Resultate zu erarbeiten. Wiederum dank Tool-Unterstützung können schrittweise weitere Applikationen oder Benutzergruppen in das Rollenmanagement einbezogen werden. Nachdem Rollen eingeführt wurden, können auch Mechanismen («preventative controls») umgesetzt werden, die zum Beispiel SoD-Verletzungen bereits bei der Rechtevergabe verhindern. Der Sun Role Manager kann damit sowohl vorbeugend wie auch für Reviews eingesetzt werden, damit sichergestellt ist, dass die im Unternehmen geltenden Richtlinien bezüglich Anwendungsrechten eingehalten werden. Fazit Der Sun Role Manager ist heute bereits bei mehr als 50 Kunden im produktiven Einsatz. Ungefähr die Hälfte der Kunden setzen den Sun Role Manager zusammen mit einer Identity-Management-Lösung von Sun, Oracle, Novell, CA oder IBM ein, die anderen Kunden setzen den Sun Role Manager als eigenständige Lösung ein. Sun Role Manager ist damit in diesem Umfeld die mit Abstand am weitesten verbreitete Lösung am Markt. Föderation oder Federation? Die Begrifflichkeit kann unter zwei Aspekten betrachtet werden. Zum einen Föderation im Sinne eines Organisationsprinzips (politischer Föderalismus), bei dem die einzelnen Glieder über eine gewisse Eigenständigkeit verfügen, aber zu einer übergreifenden Gesamtheit zusammengeschlossen sind. Praktisch umgesetzt in einer übergeordneten zentralen und in den Gliedern dezentralen Verwaltung. Zum anderen, im Sinne von Identity- & Access-Management, ist Federation genauer: Web-Service-Federation die Technologie, die sich das dezentrale Administrationsprinzip zunutze macht und die übergreifende Gesamtheit technologisch mittels Webprotokollen umsetzt. Dies über Organisationsgrenzen hinweg. Warum dieser kleine Exkurs? Diese beiden Aspekte schaffen gerne Verwirrung, sofern Personen aus der Wirtschaft oder der Verwaltung mit technisch orientierten Personen über Föderation sprechen. Hier ist oftmals Klärungsbedarf vorhanden; der klassische Business/IT-Konflikt. Im Folgenden behandeln wir jedenfalls Web-Service- Federation. Der richtige Anwendungsfall Die für Web-Service-Federation richtigen Anwendungsfälle sind vor allem bei allen «electronic»-beziehungen zu suchen. Darunter zählen im E-Commerce-Bereich B2C- und B2B-Anwendungen sowie im nichtkommerziellen Bereich E-Government, E-Admin-Dienste und im Gesundheitsbereich die sich im Aufbau befindlichen E-Health-Lösungen. Kurzum überall dort, wo internet- und webbasierte Dienste angeboten werden. Optimale Kandidaten sind Dienste, welche von mehreren Organisationen angeboten werden, bei denen es aber nicht möglich ist, auf zentrale Datenstämme zuzugreifen. ehealth Doch nicht nur im Internet, sondern auch im Intranet und im Extranet von Unternehmen gibt es Möglichkeiten, entsprechende Lösungen einzubinden. Grundsätzlich ist eine mögliche Nutzung der Technologie, sie pro Anwendung bzw. pro Service zu prüfen. ecommerce egoverment ebusiness WEB SERVICE FEDERATION eadmin 10 itnow itnow 11

7 Das Prinzip Dezentrale Administration Anstelle der zentralen Administration wird in föderierten Szenarien dezentral administriert. Es besteht keine zentrale Kontrolle, alle Teilnehmer verwalten das, wofür sie zuständig sind und was in ihrem Interessengebiet liegt. Zentralisiertes Administrationsmodell Identitäten werden in einem zentralen Speicher bewirtschaftet Zentrale Kontrolle Föderiertes Modell Identitäten werden in verschiedenen Speichern bewirtschaftet Keine zentrale Kontrolle Anbieter bewirtschaften nur Identitäten, für welche sie zuständig sind Account Linking Die teilnehmenden Parteien werden in Identity Providers (IP) und Service Providers (SP) aufgeteilt. Der Service Providers ist für den angebotenen Dienst zuständig, der Identity Providers kümmert sich um die digitalen Identitäten. Der Endbenutzer hat bei beiden Providern unterschiedliche digitale Identitäten, diese werden in einem föderierten Szenario miteinander verknüpft. Anbieter Anbieter User Federation Data Identity Provider: ehealth-card.ch NameID: NN454asdHzasdhzas1 Local Account Username: muellerp Password: pwd765 Service Provider Zentrale Administration Anbieter Anbieter Anbieter User Federation Data Service Provider: spital.ch NameID: NN454asdHzasdhzas1 Local Account Username: PeterMueller Password: Test123 Identity Provider Account Linking: ein Benutzer ist mehreren Domains und deren Applikationen bekannt, nutzt aber unterschiedliche Identitäten Single Sign-on (SSO) SSO über Organisationsgrenzen hinweg ist mittels Web-Service-Federation realisierbar. Nach einmaliger Registration bei allen Parteien kann der Endbenutzer Dienste des oder der Service Providers nach einmaliger Anmeldung beim Identity Provider nutzen. Ein weiteres Anmelden beim Service Provider entfällt. «User zentrisch» und «Card Selectors» Nicht direkt Federation zuzuordnen, aber dem allgemeinen Identity-2.0-Trend folgend sind «User-zentrische»-Ansätze. Nicht Systeme und deren Entwickler entscheiden, welche Daten und Informationen von Personen zwischen den Parteien ausgetauscht werden, sondern der Benutzer entscheidet, was er von sich preisgibt. Technisch umsetzbar ist dies bereits heute mittels so genannten «Card Selectors» wie dem kommerziellen Win-dows-Cardspace oder dem Open-Source-Projekt «Higgins i- card». Die weiteren Entwicklungen in diesem Bereich sind zu verfolgen und vor allem für die Identity Providers interessant (für Authentifizierung und SSO). Ohne Vertrauen kein Business Ist Peter Müller wirklich Peter Müller? Gerade dann, wenn es um sensitive Transaktionen sowie um Rechnungsstellung geht, dann ist die Klärung dieser Frage immens wichtig. Gerade die Service Providers müssen den Identity Providers grosses Vertrauen bezüglich der Qualität der föderierten Identitäten entgegenbringen. Folglich liegt die Beweislast vor allem auf Seite der Identity Providers. Diese müssen entweder gute Prozesse nachweisen können, oder quasi «von Natur aus» vertrauenswürdig sein (z.b. Telco s, Anbieter von Gesundheitskarten etc.) Vorteile Der grösste Vorteil bei Nutzung der Federation-Technologie liegt darin, dass das mehrfache Verwalten von digitalen Identitäten auf Seite der Service Providers entfällt. Das Identity-Management übernimmt ja schon der Identity Providers. Für den Endbenutzer reduziert sich nebenbei noch die Anzahl der Kombinationen aus Usernamen/Passwort. Stehen dem Kunden ein föderierter und ein nicht föderierter Service zur Auswahl, so kann sich das bei einer zu treffenden Entscheidung schon auswirken. Weiterhin kann z.b. «andocken bei den grossen» neue Marktchancen für Anbieter von Internet-Services bedeuten; einfach dadurch, dass grosse Benutzerpopulationen adressiert werden können. Gelöst ist heute Die Zeit der «Nur Proof-of-Concepts» ist zwar noch nicht ganz vorbei, aber die ersten Federation-Services sind bereits implementiert. Die Standards kristallisieren sich heraus. Die marktüblichen Produkte sind heute mehrheitlich stabil und besitzen die benötigte Funktionalität. Die Interoperabilität, also die Fähigkeit zur Zusammenarbeit von verschiedenen Systemen und Techniken, ist heute weitestgehend gelöst. Noch nicht ganz gelöst ist die Fähigkeit zur Zusammenarbeit von verschiedenen Organisationen. Insbesondere dann, wenn eine grosse Anzahl von teilnehmenden Parteien zu föderieren ist. Der Aufwand bei der Verwaltung der Vertrauensverhältnisse ist organisatorisch nicht zu unterschätzen. Im Speziellen dann, wenn die Parteien einen unterschiedlichen Kenntnisstand (IAM-Reifegrad) haben. Verständnis, wie kommt das alles beim unbedarften Endbenutzer an? Eine Technologie steht und fällt mit der Akzeptanz derer, die sie benutzen sollen. Wird dem Benutzer nicht erklärt, warum und wie er seine Accounts verknüpfen soll, so wird er es nicht tun. Voraussetzungen zum Einstieg Identity- & Access-Management muss einen gewissen Stellenwert in den teilnehmenden Organisationen haben. Die Federation-Parteien müssen in der Lage sein, Benutzerpopulationen toolgestützt eingrenzen und kontrollieren zu können. Nicht nur die Eintrittsprozesse sollen gut sein, sondern vor allem die Austrittsprozesse müssen funktionieren. In der technologischen Umsetzung baut Web-Service- Federation auf Web-Access-Management (WAM) auf. Von daher ist Erfahrung im Einsatz von WAM-Technologien zwar nicht zwingend notwendig, aber von Vorteil. Wir sind der Meinung, dass Federation als Service-Modul in einen IAM-Service-Katalog in jedem Falle aufgenommen werden muss. Auch wenn sich der Bedarf heute noch nicht klar abzeichnet, so ist der Know-how-Aufbau unverzichtbar. Kommt der richtige Anwendungsfall, so muss die Chance erkannt werden, um den Einstieg nicht zu verpassen. Wir unterstützen Sie gerne beim Suchen nach dem richtigen Anwendungsfall sowie beim Planen und Aufbauen Ihres Federation-Services. Wir implementieren nach Ihren Bedürfnissen mit den Lösungen unserer Partner. Nehmen Sie mit uns Kontakt auf. Christian Günther Head of openx Consulting 12 itnow itnow 13

8 Im Folgenden geht es um eine Methodik zur Abwehr moderner Internetattacken auf Systeme von Unternehmen und Organisationen. Die Methodik ermöglicht eine hohe Flexibilität und erlaubt, einen auf die sich laufend ändernden Bedrohungen und Risiken optimierten, wirksamen Schutz zu realisieren. Flexibilität Neben den üblichen Schutzmassnahmen, die E-Business-Anbieter eingeführt haben, wie etwa starker Authentisierung, Firewalls, Intrusion Detection, Virenschutz usw., wird flexiblen Komponenten oftmals zu wenig Aufmerksamkeit geschenkt. Diese erlauben proaktiven Schutz, auch gegen bisher unbekannte Angriffe oder Varianten von Angriffsarten. Die Abwehrfähigkeit wird schon präventiv hergestellt und nicht erst als Reaktion auf eine erfolgreiche Attacke. Adaptiver Schutz Eine mögliche erfolgreiche Methodik zum adaptiven Schutz besteht im Wesentlichen aus vier Elementen: 1. Kenntnis der Angreifer, von deren Stärken und Schwächen. Analyse der Bedrohung und des relevanten Risikos. 2. Kenntnis der eigenen (inklusive derjenigen von Kunden und Partnern) Systeme und der zulässigen Aktivitäten auf den Applikationen und Daten. Analyse der eigenen Stärken und Schwächen. 14 itnow Attacken und deren Abwehr sind nicht nur Themen im Internet, sondern auch im Sport. Zum Beispiel im Kampfsport: Neben dem Willen zum Sieg, Talent und hartem Training ist es ausschlaggebend, so vielseitig und flexibel wie möglich zu sein, seinen Gegner zu studieren sowie dessen Stärken und Schwächen zu kennen. Ein Sportler, der sich zu stark auf sich selbst konzentriert, kann auf Dauer nicht bestehen. Er wird früher oder später auf einen Gegner treffen, der genau diese Schwäche auszunutzen weiss. Um den Bogen vom Sport wieder zurück zum Thema zu spannen: Die Stärke der Flexibilität ist auch in der IT-Sicherheit von hoher, angesichts der modernen Art von Angriffen vielleicht sogar von entscheidender Bedeutung. 3. Definition von Regeln zur Beurteilung des Missbrauchsrisikos von Abläufen und Aktivitäten auf den Systemen. Bestimmen von Schutzaktionen bei hohem Risiko und damit zur Abwehr von Angriffen. 4. Überwachung des produktiven Betriebs. Echtzeitbeurteilung des Risikogrades und Auslösen von Aktionen bei hohen Risiken. Kenntnis des Angreifers Strategie, Taktik, Stärken und Schwächen des Gegners: Je mehr man darüber erfahren und je besser man sich darauf einstellen kann, desto besser. Moderne Internetattacken haben heute hauptsächlich folgende Ursprünge: Organisiertes Verbrechen: Ziel ist die eigene Bereicherung zum Beispiel durch Kreditkartenbetrug, Wiederverkauf gestohlener Informationen oder verfälschte Banktransaktionen. Private Unternehmen: Ziel ist es, Vorteile gegenüber der Konkurrenz zu erlangen zum Beispiel durch Industriespionage oder Lahmlegung der Infrastruktur eines Konkurrenten. Flexibler Schutz VOR MODERNEN INTERNET- ATTACKEN Andreas J. Pfenninger Oracle Software (Schweiz) GmbH Staatliche Organisationen: Ziel ist es, andere Staaten zu schädigen, der eigenen Wirtschaft zu helfen oder Informationen für Geheimdienste zu erlangen zum Beispiel durch Industriespionage, Lahmlegung oder Datendiebstahl. Terrorismus: Ziel ist es, eine bestimmte Gesellschaft zu verunsichern und zu schwächen zum Beispiel durch Lahmlegung. Das alte Hollywood-Bild des Hackers als eines eher asozialen Computer-Freaks, der umgeben von Dutzenden Bildschirmen und einem Stapel gebrauchter Pizzakartons mal ausprobiert, ob er in den FBI- Computer eindringen kann, ist komplett überholt. Moderne Angreifer sind sehr gut organisiert und verfügen über beträchtliche Ressourcen. Sie gehen gezielt vor und teilen ihre Angriffe in mehrere Phasen auf. Den genannten Computer-Freak gibt es immer noch, er arbeitet typischerweise für einen oder mehrere Provider von Software und Dienstleistungen, die durch Angreifer eingekauft werden. Diesen steht ein wachsendes Arsenal von Methoden, Diensten und Werkzeugen zur Verfügung. Hier einige Besipiele: Malware: Software, die ohne Wissen des Benutzers schädliche Aktionen auf einem Computer ausführt. Spyware: Software, die unbemerkt vom Benutzer Aktionen auf dem Computer ausführt (zum Beispiel Aufbau einer Verbindung zu einem externen Server) und teilweise die Kontrolle über Transaktionen übernehmen kann. Trojans: ein legitim wirkendes Stück Software, das aber feindliche Aktionen ausführt. Zum Beispiel kann ein Trojaner installierte Security-Software deaktivieren und so weitere Phasen eines Angriffs erleichtern. Key Loggers: zeichnet die Tipptätigkeit des Benutzers auf und schickt diese per Funk (Hardware Keylogger) oder Netz (Software Keylogger) an einen Angreifer zur weiteren Verwendung. Malware Phishing Pharming Keylogging MITM... Social Engineering: verschiedene Methoden, die Leute dazu verleiten, vertrauliche Informationen preiszugeben. Kann auch über Telefon erfolgen. Meist gut vorbereitet und gezielt. Phishing: Untergruppe von Social Engineering. Trickt einen Benutzer zur Preisgabe seiner Log-in-Informationen. Erfolgt oft per . Pharming: leitet einen Benutzer auf eine ungewollte Website, die auf den ersten Blick nicht von der gewollten unterschieden werden kann. Die Eingaben des Benutzers werden dann sofort auf der korrekten Website dazu verwendet, Transaktionen zu tätigen. Bots: oder Internet Robots sind automatisierte hocheffiziente Programme zur Informationsgewinnung auf dem Internet. Sie werden im Rahmen einer Attacke z.b. Der Erfolg basiert auf der Qualität der Regeln und der Wirksamkeit der Schutzaktionen. Diese sind individuell und im Gegensatz zu wenig flexiblen Sicherheitssystemen ist daher für den Angreifer die Art und Effektivität des Schutzes nicht abschätzbar. Das erschwert dem Angreifer ein Ausnutzen jedwelcher Schwächen sehr stark, da er diese in der Regel gar nicht kennen kann. Die Beurteilung der Bedrohung und der Risiken für ein Unternehmen, dessen Kunden und Partner bestimmt den Aufwand der in die einzelnen voneinander abhängigen Schritte investiert wird. Ein Start mittels einiger einfacher Grundregeln und Aktionen kann nach geringem Aufwand erfolgen. Danach wird das Regelwerk je nach Bedarf sukzessive verfeinert und verbessert. Geräteprofile Standortprofile Verhaltensprofile... Regeln Risikobeurteilung Schwellwerte Aktionen... zur Identifikation von Zielen verwendet. Session Hijacking: Verwendung einer validierten Session, um ungewollten Zugriff auf Systeme und Daten zu bekommen. Kann zum Beispiel durch Cookie- Diebstahl über eine Malware ermöglicht werden. Drive-by-Infection: Der Benutzer wird ohne sein Wissen beim Besuchen einer harmlosen Website mit einer Malware infiziert. Diese kann dann unbemerkt weitere Schritte auslösen. MITM: «Man in the Middle», ermöglicht einem Angreifer, die Kommunikation zweier vertrauter Parteien zu kontrollieren und zu verfälschen. Zum Beispiel kann er das Ziel einer Geldtransaktion verändern, ohne dass dies zunächst bemerkt wird. Eine spezielle Form ist die «Man in the Browser»-Variante. Kenntnis der Angreifer Kenntnis der Benutzer Abwehrfähigkeit Schutz Illustration 1: Methodik des adaptiven Schutzes Risikograde Alarm Aktionen itnow 15

9 Eine erfolgreiche Attacke kombiniert oft mehrere der obigen Elemente und setzt sie in verschiedenen Phasen ein. Verwendete Software wird in immer neuen Versionen an vorhandene Schutzmassnahmen wie zum Beispiel Anti-Spyware-Programme und an die Spezialitäten des Angriffsziels (etwa das E-Banking-System einer bestimmten Bank) angepasst. Das Ziel wird genau studiert und die Erfolgswahrscheinlichkeit der Attacke optimiert. Bei Angriffen auf B2C- (Business to Consumer-) Applikationen wird typischerweise zunächst der PC des Kunden infiziert. Der eigentliche Missbrauch erfolgt dann, indem sich der Angreifer erfolgreich als legitimer Benutzer ausgibt und mit dessen Rechten missbräuchliche Transaktionen ausübt oder Informationen stiehlt. Kenntnis der eigenen Systeme und Aktivitäten Möglichst gute Kenntnisse der eigenen Stärken und Schwächen erlauben eine gezielte Betonung der Stärken und eine Maskierung der Schwächen. Im Falle von E-Business-Applikationen geht es darum, die verwendeten legitimen Systeme und Verhaltensweisen zu kennen. Zum Schutz einer B2C-Applikation werden Users from restricted device list Consecutive failures for a device Users from restricted location list Illustration 2: Beispiele von einfachen Regeln zum Beispiel folgende Profile und Informationen erstellt und gepflegt: Geräteprofil: verwendete Hardware und Software eines Benutzers Standortprofil: typische Standorte und Verbindungskanäle eines Benutzers Verhaltensprofil: typische Arbeitsabläufe, Transaktionen, Verweildauern usw. eines Benutzers Historische Daten: alle Aktivitäten werden historisiert, um die Profile ständig zu verbessern, miteinander zu vergleichen und die Nachvollziehbarkeit der Aktivitäten zu gewährleisten User from a different country within a specified time limit Authentication Security Model Consecutive failures for a user Definition von Grundsätzen, Regeln und Aktionen Allgemeine Sicherheitsgrundsätze und spezifische Regeln werden formuliert, damit sie automatisch angewendet werden können. Sie beruhen stark auf den verfügbaren Informationen über die Angreifer und über die eigenen Systeme sowie Aktivitäten und erlauben, normale Aktivitäten von Attacken zu unterscheiden. Zum Beispiel kann man im Falle einer B2C- Applikation nicht davon ausgehen, dass ein Benutzer nach Eingabe einer korrekten Benutzernamen/Passwort-Kombination auch wirklich der legitime Benutzer ist. Ein Angreifer kann mittels einer erfolgreichen Social-Engineering- oder Pharming-Aktion diese Informationen gestohlen haben. Eine einfache Regel kann nun lauten, dass wenn ein Benutzer ein bisher von ihm nicht verwendetes Gerät benutzt, der Risikograd einer Attacke erhöht wird. Mittels weiterer Regeln (einfache Beispiele: Verwendung eines neuen Providers, eines neuen Browsers usw.) wird der Risikograd weiter angepasst. Versucht besagter Benutzer plötzlich, untypische Aktionen auszulösen, wird das Risiko weiter erhöht und bei Überschreitung definierter Schwellwerte werden automatisch Aktionen ausgelöst. User from multiple locations within a short time Login from restricted IP address Consecutive failures for a user Aktionen können zum Beispiel Transaktionen stoppen und darüber hinaus eine zusätzliche, stärkere Authentisierung verlangen. So kann der Benutzer zur Angabe zusätzlicher Informationen wie Antworten auf vordefinierte Fragen, Eingabe eines One-time-Passworts (das über einen anderen Kanal, zum Beispiel per SMS, übermittelt wird), Rückruf mit einem Kundenberater oder andere aufgefordert werden. Bei noch höheren Risikograden können Sessionen unterbrochen, Konten gesperrt und zusätzliche Regeln, die spezifisch auf das neue Angreiferprofil zugeschnitten sind, erstellt werden. Überwachung des produktiven Betriebs Neben der Analyse der historisierten Daten und der reaktiven Anpassung von Regeln und Aktionen ist natürlich die proaktive Verhinderung von Attacken ausschlaggebend. Für jede Session wird aufgrund der Profile und Regeln laufend ein Risikograd geführt, der sich möglicherweise mit jeder Aktion des Benutzers verändert. Ist das Risiko schon beim Zugangsversuch zu hoch, wird der Angriff bereits dort gestoppt. Hat ein Angreifer sich erfolgreich als legitimer Benutzer ausgeben können, wird insbesondere vor Ausführung von Transaktionen oder vor Einsicht in sensitive Daten der aktualisierte Risikograd mit den Schwellwerten verglichen und es werden allenfalls entsprechende Aktionen ausgelöst. Wird zum Beispiel während einer Session eine zusätzliche Authentisierung verlangt und ist diese erfolgreich, kann der Risikograd herabgesetzt und die vom Benutzer verlangte Transaktion oder Einsicht möglicherweise freigegeben werden. Schlägt die zusätzliche Identifikation fehl, können stärkere Aktionen, im Extremfall die Sperrung des Kontos, die Sperrung des Benutzers und die Benachrichtigung des echten Benutzers über einen anderen Kanal ausgeführt werden. Ermöglichung durch performante Werkzeuge Die beschriebene Methodik ist ohne eine entsprechende Unterstützung durch geeignete Werkzeuge nicht umsetzbar. Die Überwachung des Betriebs muss sehr performant erfolgen, Aktionen müssen mit anderen Systemen, wie etwa einem CRM- System für Rückrufe, integriert werden. Die Analyse der Daten und die Definition und die Pflege der Regeln müssen möglichst einfach verständlich und benutzerfreundlich sein. Über Analysefunktionen und informative Reports sollen die Methodik und deren Umsetzung jederzeit verbesser-, überprüf- und belegbar sein. Eine Umsetzung und die Einführung eines entsprechenden Werkzeugs erfolgt am besten stufenweise. Der Start mit einem raschen Erfolgserlebnis und darauffolgender Realisierung weiterer Erfolgsschritte bietet sich an. Ein guter Einstieg kann durch die Einführung einer virtuellen, starken Authentisierung erfolgen. Diese ist serverbasiert und kommt ohne die aufwendige und teuer zu unterhaltende Verteilung von Software oder Hardware an die Benutzer aus. Pharming-Attacken können zum Beispiel durch die Verwendung individueller Eingabemasken verhindert werden. Der Benutzer er- kennt anhand eines von ihm gewählten Hintergrundbilds sofort, ob er mit dem gewünschten Server verbunden ist oder nicht. Die Eingabe von Benutzernamen, Passwörtern und Antworten auf vordefinierte Fragen kann mittels innovativer Masken erfolgen. Der Benutzer gibt Informationen ohne die Verwendung der Tastatur ein, was den Diebstahl von Log-in-Informationen durch Keylogger unmöglich macht. Zusammen mit der Verwendung von grundlegenden Profildaten des Benutzers kann eine effektive und doch kosteneffiziente Multifaktorauthentisierung verwirklicht werden. Die folgende Faktoren werden verwendet: 1. Wissen: Passwort, Antworten auf Probefragen (klassisch: gleich) 2. Haben: Geräteprofil (klassisch: Token, SmartCard...) 3. Sein: Standortprofil, Verhaltensprofil (klassisch: Fingerabdruck...) Geräte- und Standortprofil können sehr rasch gebildet und verwendet werden. Das Verhaltensprofil wird über die Zeit verfeinert und alle Profile werden dann in späteren Erfolgsschritten für die laufende Risikobeurteilung herangezogen. Falls für bestimmte Applikationen und Benutzer bereits eine starke Authentisierung über Tokens, Smartcards oder andere Methoden vorhanden ist, können diese natürlich integriert und weiterverwendet werden. itnow Illustration 3: Überwachung des Betriebs Illustration 4: Innovative, personalifizierte Eingabemasken Fazit Durch die Anwendung der beschriebenen Methode und deren Unterstützung durch Oracle-Adaptive-Access-Manager kann ein flexibler und wirksamer Schutz gegen moderne Internetattacken realisiert und aufrechterhalten werden. Der Einstieg erfolgt über schnelle Erfolgserlebnisse wie zum Beispiel eine virtuelle, starke Authentisierung und wird dann schrittweise weiterentwickelt bis zum optimierten, adaptiven Schutz. Ähnlich wie im anfangs erwähnten Kampfsport führen auch in der Internet-Security Flexibilität, die Fähigkeit, sich wechselnden Verhältnissen anzupassen, und der Wille, sich ständig zu verbessern, zum Erfolg. 16 itnow itnow 17

10 itnow Wünschen Sie auch in Zukunft itnow? Hier abtrennen und durchfaxen Ja Nein Ich wünsche, regelmässige Informationen via zu erhalten. Ich plane in nächster Zukunft ein IT-Projekt. im Zeitraum 0 3 Monate 3 6 Monate 6 12 Monate Thema Ich wünsche ein Beratungsgespräch mit einem Spezialisten. itnow Konzept Identity- und Access-Management die heutige Sicht S. 3 Architektur und Integration IT-Lösungen Bitte ausfüllen und faxen oder senden (Fax ) Firma Vorname / Name Funktion Strasse / Nr. Ausgabe: Juni 2008 PLZ / Ort S P E C I A L Identity- & Access-Management LC Systems-Engineering AG, Kohlenberggasse 1, CH-4051 Basel HAUPTSITZ LC Systems-Engineering AG Postfach 40, Seestrasse 24 CH-9326 Horn Telefon Telefax NIEDERLASSUNG BASEL LC Systems-Engineering AG Kohlenberggasse 1 CH-4051 Basel Telefon Telefax NIEDERLASSUNG BERN LC Systems-Engineering AG Talweg 17 CH-3063 Ittigen BE Telefon Telefax LC Systems-Engineering AG, Ausgabe 6/08

P R E S S E M I T T E I L U N G

P R E S S E M I T T E I L U N G PRESSEMITTEILUNG KuppingerCole und Beta Systems ermitteln in gemeinsamer Studie die technische Reife von Identity Access Management und Governance in der Finanzindustrie Identity Provisioning als Basistechnologie

Mehr

Identity-Management flexible und sichere Berechtigungsverwaltung

Identity-Management flexible und sichere Berechtigungsverwaltung Identity-Management flexible und sichere Berechtigungsverwaltung Neue Herausforderungen im nationalen und internationalen Einsatz erfordern dynamische IT- Prozesse Bonn, 06. November 2009 Herausforderungen

Mehr

IDENTITY & ACCESS MANAGEMENT. Marc Burkhard CEO

IDENTITY & ACCESS MANAGEMENT. Marc Burkhard CEO IDENTITY & ACCESS MANAGEMENT Marc Burkhard CEO Die drei wichtigsten Eckpfeiler Access Management Identity Management IAM Prozesse ACCESS MANAGEMENT Die Ebenen Identity & Access Management Applikation Directories,

Mehr

Identity Maturity Assessment

Identity Maturity Assessment Identity Maturity Assessment Case Study Atos Fachtagung zum Thema Identity Management & Cyber Security München, 24 Juni 2014 Wer ist Bay31 Bay31 ist Software-Hersteller im Bereich Identity Governance:

Mehr

Identity Management in der Praxis. Roman Brandl Sun Microsystems, Austria

Identity Management in der Praxis. Roman Brandl Sun Microsystems, Austria Identity Management in der Praxis Roman Brandl Sun Microsystems, Austria Agenda Was (alles) ist IdM? Sun Identity Management Portfolio Fallbeispiele / Denkanstöße Q&A Identity Grid Audit Dienste Richtlinien

Mehr

Sichere Authentifizierung SSO, Password Management, Biometrie. 21.06.2007 Dr. Horst Walther, KCP hw@kuppingercole.de

Sichere Authentifizierung SSO, Password Management, Biometrie. 21.06.2007 Dr. Horst Walther, KCP hw@kuppingercole.de Sichere Authentifizierung SSO, Password Management, Biometrie 21.06.2007 Dr. Horst Walther, KCP hw@kuppingercole.de Single Sign-On, Password Management, Biometrie Single Sign-On: Anmeldung an mehreren

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

Quick-Wins identifizieren!

Quick-Wins identifizieren! Identity-Management im Fokus: Quick-Wins identifizieren! Michael Watzl Leiter Vertrieb TESIS SYSware GmbH Stand A50/2 http://www.tesis.de/sysware TESIS SYSware Kernkompetenz und Portfolio Portfolio: Identity-Management

Mehr

Seminar "Smarte Objekte und smarte Umgebungen" Identity Management

Seminar Smarte Objekte und smarte Umgebungen Identity Management Seminar "Smarte Objekte und smarte Umgebungen" Identity Management Teil1: Einführung und die ideale Sicht Systeme aus der Forschung (Bettina Polasek) Teil2: Die angewandte Sicht - Industrielle Systeme

Mehr

CLOUD APPS IM UNTERNEHMEN VERWALTEN. So meistern Sie die Herausforderungen. Whitepaper

CLOUD APPS IM UNTERNEHMEN VERWALTEN. So meistern Sie die Herausforderungen. Whitepaper CLOUD APPS IM UNTERNEHMEN VERWALTEN So meistern Sie die Herausforderungen Whitepaper 2 Die Herausforderungen bei der Verwaltung mehrerer Cloud Identitäten In den letzten zehn Jahren haben cloudbasierte

Mehr

Ganzheitliches Identity & Access Management (IAM)

Ganzheitliches Identity & Access Management (IAM) Ganzheitliches Identity & Access Management (IAM) Inhalt 1. Einführung 2 2. Aufgabe des Business 4 3. Die Technologie 5 3.1. Zugriff 5 3.2. Zugang 5 3.3. Identität 6 4. Abrundung 7 Ganzheitliches IAM Bericht

Mehr

Identity und Access Management im Kontext der Cloud. Horst Bratfisch Raiffeisen Informatik GmbH

Identity und Access Management im Kontext der Cloud. Horst Bratfisch Raiffeisen Informatik GmbH Identity und Access Management im Kontext der Cloud Horst Bratfisch Raiffeisen Informatik GmbH Raiffeisen Informatik Konzern Länder: 29 Standorte: 100 Mitarbeiter: 2.800 Umsatz 2011: 1,4 Mrd. Raiffeisen

Mehr

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie P R E S S E M I T T E I L U N G KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie KWG und MaRisk sind die mit

Mehr

Informationssicherheit und Compliance-Erfüllung econet Der Weg zum sicheren Umgang mit Informationen und Zugriffsrechten Wohl nirgends in der IT sind gewachsene Strukturen riskanter, als in Dateisystemen

Mehr

Was ist Identity Management?

Was ist Identity Management? DECUS IT - Symposium 2005 Andreas Zickner HP Deutschland 2004 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Problem IT Admin Mitarbeiter

Mehr

SAP BusinessObjects Solutions for Governance, Risk and Compliance

SAP BusinessObjects Solutions for Governance, Risk and Compliance SAP BusinessObjects Solutions for Governance, Risk and Compliance B4: Berechtigungsvergabe datenschutz- und compliancekonform gestalten mit SAP BusinessObjects Access Control und SAP Netweaver Identity

Mehr

Vereinfachtes Identity Management bei der Henkel KGaA

Vereinfachtes Identity Management bei der Henkel KGaA Vereinfachtes Identity Management bei der Henkel KGaA Computacenter führt Projekt zur Einrichtung eines konsolidierten Directory-Datenbestandes durch Die Henkel KGaA ist als führender Anbieter von Klebstoffen

Mehr

Transaktionskosten senken mit dem Wirtschaftsportalverbund

Transaktionskosten senken mit dem Wirtschaftsportalverbund Transaktionskosten senken mit dem Wirtschaftsportalverbund Rainer Hörbe Leiter Arbeitskreis WPV 8. März 2013 1 1 Identifikation + Berechtigung + Sicherheitsmaßnahmen Problemstellung: Vertrauen im Internet?

Mehr

Sicher ins E-Business. E-Security Lösungen

Sicher ins E-Business. E-Security Lösungen Sicher ins E-Business E-Security Lösungen Die E-Security Services Sicherheit erreicht man nicht, indem man Zäune errichtet, Sicherheit gewinnt man, indem man Tore öffnet. Urho Kekkonen (1900-86), finn.

Mehr

SUN IDENTITY MANAGEMENT

SUN IDENTITY MANAGEMENT SUN IDENTITY MANAGEMENT OCG - 12. Competence Circle DI Bernhard Isemann Geschäftsführer Sun Microsystems Austria Fachliche Anforderungen Identity Management Lösungen adressieren konkurrierende Ziele Corporate

Mehr

Berechtigungsmanagement für Fileserver

Berechtigungsmanagement für Fileserver Berechtigungsmanagement für Fileserver Sicherer Self-Service mit DIVA Access Manager Peter Bück Vertriebsleiter inspiring security TESIS Unternehmensgruppe Gegründet: 1992 Stammsitz: München Weltweiter

Mehr

Fileserver Berechtigungen und Active Directory im Griff. protecting companies from the inside out

Fileserver Berechtigungen und Active Directory im Griff. protecting companies from the inside out Fileserver Berechtigungen und Active Directory im Griff 8MAN - Berechtigungen auf einen Blick Ihre Situation Große Datenmengen mit den unterschiedlichsten Inhalten und Formaten türmen sich auf Unternehmensservern

Mehr

eg e s c h ä f t s p r o z e s s MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services

eg e s c h ä f t s p r o z e s s MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services eg e s c h ä f t s p r o z e s s erfahrung service kompetenz it-gestützte MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services erfolgssicherung durch laufende optimierung Als langjährig erfahrenes IT-Unternehmen

Mehr

Federated Identity Management

Federated Identity Management Federated Identity Management Verwendung von SAML, Liberty und XACML in einem Inter Campus Szenario d.marinescu@gmx.de 1 Fachbereich Informatik Inhalt Grundlagen Analyse Design Implementierung Demo Zusammenfassung

Mehr

White Paper. 1. GRC und ISMS - Warum Einsatz von Software-Lösungen?

White Paper. 1. GRC und ISMS - Warum Einsatz von Software-Lösungen? e:digital media GmbH software distribution White Paper Information Security Management System Inhalt: 1. GRC und ISMS - Warum Einsatz von Software-Lösungen? 2. Was sind die QSEC-Suiten? 3. Warum ein Information

Mehr

Nevis Sichere Web-Interaktion

Nevis Sichere Web-Interaktion Nevis Sichere Web-Interaktion Enterprise Security: Wachsende Gefahren und Anforderungen Moderne Unternehmen sehen sich immer neuen Gefahren durch Online- und In-House-Angriffe ausgesetzt. Gleichzeitig

Mehr

Identity Management Service-Orientierung. 27.03.2007 Martin Kuppinger, KCP mk@kuppingercole.de

Identity Management Service-Orientierung. 27.03.2007 Martin Kuppinger, KCP mk@kuppingercole.de Identity Management Service-Orientierung 27.03.2007 Martin Kuppinger, KCP mk@kuppingercole.de Das Extended Enterprise verändert den Umgang mit Identitäten und Sicherheit Mitarbeiter Kunden Lieferanten

Mehr

Pass-the-Hash. Lösungsprofil

Pass-the-Hash. Lösungsprofil Lösungsprofil Inhalt Was ist Pass-the-Hash?...3 Schwachstellen aufdecken...5 DNA-Report...6 Gefahren reduzieren...7 CyberArk...8 Cyber-Ark Software Ltd. cyberark.com 2 Was ist Pass-the-Hash? Die von Hackern

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut

Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut TWINSOF T Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut 05.06.2013 GI Themenabend BIG DATA: Matthias Hesse, Twinsoft Ablauf 1. Wer ist denn

Mehr

Live Demo Sun Identity Manager

Live Demo Sun Identity Manager Xionet empowering technologies AG Massenbergstraße 15-17 D-44787 Bochum Germany Phone Fax e-mail Internet +49 (0)2 34 3 24 86-0 +49 (0)2 34 3 24 86-111 info@xionet.de http://www.xionet.de Live Demo Sun

Mehr

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn Sie einen

Mehr

E-Mail Software AD-Account Domain Gruppen Stammdaten Organisation Dateiablagen Computer Location Effiziente und sichere Verwaltung von Identitäten, Rechten und IT-Diensten Der und für Einsteiger Identitäten,

Mehr

wikima4 mesaforte firefighter for SAP Applications

wikima4 mesaforte firefighter for SAP Applications 1 wikima4 mesaforte firefighter for SAP Applications Zusammenfassung: Effizienz, Sicherheit und Compliance auch bei temporären Berechtigungen Temporäre Berechtigungen in SAP Systemen optimieren die Verfügbarkeit,

Mehr

Liste der Handbücher. Liste der Benutzerhandbücher von MEGA

Liste der Handbücher. Liste der Benutzerhandbücher von MEGA Liste der Handbücher Liste der Benutzerhandbücher von MEGA MEGA 2009 SP4 1. Ausgabe (Juni 2010) Die in diesem Dokument enthaltenen Informationen können jederzeit ohne vorherige Ankündigung geändert werden

Mehr

IAM Area Wer darf was? - Lösungsstrategien für ein erfolgreiches Identity & Access Management

IAM Area Wer darf was? - Lösungsstrategien für ein erfolgreiches Identity & Access Management IAM Area Wer darf was? - Lösungsstrategien für ein erfolgreiches Identity & Access Management Ga-Lam Chang, Peak Solution GmbH, Geschäftsführung und Organisator der IAM Area Ausgangssituation Business

Mehr

Die Ziele der SAP mit dem Identity Management

Die Ziele der SAP mit dem Identity Management Die Ziele der SAP mit dem Identity Management Dr. Peter Gergen Presales Specialist Identity Management NW Platform Solutions SAP Deutschland AG & Co. KG T +49/6227/770544 F +49/811/55-45-188 peter.gergen@sap.com

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Authentication as a Service (AaaS)

Authentication as a Service (AaaS) Authentication as a Service (AaaS) Abendseminar «Innovative Alternativen zum Passwort» 26.10.2010, Hotel Novotel, Zürich Anton Virtic CEO, Clavid AG Information Security Society Switzerland 1 Agenda Cloud

Mehr

Whitepaper bi-cube SSO Synergien durch die Anbindung eines externen SSO an bi-cube IPM

Whitepaper bi-cube SSO Synergien durch die Anbindung eines externen SSO an bi-cube IPM Whitepaper bi-cube SSO Synergien durch die Anbindung eines externen SSO T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g Inhalt 1 ZIEL...3 2 FUNKTIONS-KONZEPT...3 2.1 Struktur...3

Mehr

Objektkultur Software GmbH. Identity Management Lösungen

Objektkultur Software GmbH. Identity Management Lösungen Objektkultur Software GmbH Identity Management Lösungen Übersicht Lösungsangebot Identity Management Collaboration Process Management Integration Einführung Identity Management Identity Lifecycle Management

Mehr

Gliederung. Konzeption und Umsetzung von Identity Management an der FH-Osnabrück und der Vergleich zu anderen Hochschulen

Gliederung. Konzeption und Umsetzung von Identity Management an der FH-Osnabrück und der Vergleich zu anderen Hochschulen ZKI Tagung e 08/09.02.10 Konzeption und Umsetzung von Identity Management an der FH-Osnabrück und der Vergleich zu anderen Hochschulen Dipl.-Ing IT (FH) Jürgen Kuper FH Osnabrück Management und Technik

Mehr

ACT Gruppe. www.actgruppe.de. Effizienz. Innovation. Sicherheit.

ACT Gruppe. www.actgruppe.de. Effizienz. Innovation. Sicherheit. www.actgruppe.de ACT Gruppe Effizienz. Innovation. Sicherheit. ACT Gruppe, Rudolf-Diesel-Straße 18, 53859 Niederkassel Telefon: +49 228 97125-0, Fax: +49 228 97125-40 E-Mail: info@actgruppe.de, Internet:

Mehr

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover. sandner@iwi.uni-hannover.de

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover. sandner@iwi.uni-hannover.de 09. Juni 2009 Dipl.-Ök. Thorben Sandner sandner@iwi.uni-hannover.de Definition Sicherheit Sicherheit bezeichnet den Zustand des Sicherseins vor Gefahr oder Schaden bzw. einen Zustand, in dem Schutz vor

Mehr

Compliant Identity Management bei Daimler

Compliant Identity Management bei Daimler ITM/TSS 14.04.2015 Andreas Dietrich Julian Harfmann Überblick 1. Vorstellung Daimler TSS 2. SAP Identity Management bei Daimler 3. Service Level Stufen 4. Compliant Identity Management 5. Zahlen & Fakten

Mehr

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism INSTITUT FÜR SYSTEM- MANAGEMENT Compliance Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism ism GmbH 2010 Definition: Compliance Compliance die Bedeutung allgemein:

Mehr

E-Mail Software AD-Account Domain Gruppen? Stammdaten Organisation Dateiablagen Computer Location Effiziente und sichere Verwaltung von Identitäten, Rechten und IT-Diensten cmatrix Identitäten, Rechte

Mehr

Kolloquium. von Vadim Wolter. Matrikelnr.: 11027870 Erstprüfer: Prof. Dr. Horst Stenzel Zweitprüferin: Prof. Dr. Heide Faeskorn-Woyke.

Kolloquium. von Vadim Wolter. Matrikelnr.: 11027870 Erstprüfer: Prof. Dr. Horst Stenzel Zweitprüferin: Prof. Dr. Heide Faeskorn-Woyke. Fachhochschule Köln, Campus Gummersbach Fachbereich Informatik Studiengang Allgemeine Informatik Kolloquium Analyse und Vergleich von Identity Management-Technologien und Implementierung eines Resource

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Rollen- und Rechtekonzept

Rollen- und Rechtekonzept Inhaltsverzeichnis Rollen- und Rechtekonzept 1. Ziele...1 2. Konzeption zur Realisierung durch Access Control List und im Management-Interface...2 2.1. Ansatz...2 2.2. Safety oder Security...2 2.3. User-

Mehr

Unternehmensdaten rundum sicher mobil bereitstellen

Unternehmensdaten rundum sicher mobil bereitstellen im Überblick SAP-Technologie SAP Mobile Documents Herausforderungen Unternehmensdaten rundum sicher mobil bereitstellen Geschäftsdokumente sicher auf mobilen Geräten verfügbar machen Geschäftsdokumente

Mehr

Technische Produktinformation: Active Directory- Management in bi-cube

Technische Produktinformation: Active Directory- Management in bi-cube Inhalt: 1 bi-cube -FEATURES ACTIVE DIRECTORY... 2 2 DAS SYSTEMKONZEPT... 3 3 WAS SIND ADOC UND ECDOC?... 3 4 DIE WICHTIGSTEN FUNKTIONEN IM ÜBERBLICK... 5 4.1 Verwaltung der Strukturdaten... 5 4.2 Verwaltung

Mehr

MSP SSO. Portalübergreifendes Single Sign-on. Von MSP SSO unterstützte Standards:

MSP SSO. Portalübergreifendes Single Sign-on. Von MSP SSO unterstützte Standards: MSP SSO Portalübergreifendes Single Sign-on Für das Abwickeln von Online- Geschäftsprozessen ist es wichtig, sein Gegenüber zu kennen. Das gilt sowohl für den Kunden als auch den Betreiber des Online-

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

LC Systems. Christian Günther Head of Data Analytics

LC Systems. Christian Günther Head of Data Analytics LC Systems Christian Günther Head of Data Analytics Agenda» Kurzvorstellung LC Systems» Verständnis «Big Data» aus der Sicht LC Systems» Best Practice Ansätze Do s and dont s» Projektbeispiele 2 Über LC

Mehr

Kosten senken und Innovation finanzieren.

Kosten senken und Innovation finanzieren. Business Value Consulting Kosten senken und Innovation finanzieren. In drei Schritten und mit geringem Aufwand erhalten Sie eine faktenbasierte IST-Analyse Ihrer IT-Landschaft, Vorschläge für Alternativen

Mehr

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte UNTERNEHMENSVORSTELLUNG Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Wer sind wir? Die wurde 1996 als klassisches IT-Systemhaus gegründet. 15 qualifizierte Mitarbeiter, Informatiker,

Mehr

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn

Mehr

Vom Intranet zum Knowledge Management

Vom Intranet zum Knowledge Management Vom Intranet zum Knowledge Management Die Veränderung der Informationskultur in Organisationen von Martin Kuppinger, Michael Woywode 1. Auflage Hanser München 2000 Verlag C.H. Beck im Internet: www.beck.de

Mehr

SAM Rolmine. Rollenbasierte Benutzerverwaltung

SAM Rolmine. Rollenbasierte Benutzerverwaltung SAM Rolmine Rollenbasierte Benutzerverwaltung Analyse und Optimierung von Identitäts- und Berechtigungsdaten Einfache Definition businessorientierter Rollen in komplexen Unternehmensstrukturen Schnelle

Mehr

Zentrale Loganalyse als wichtiges Element für eine sichere IT-Infrastruktur

Zentrale Loganalyse als wichtiges Element für eine sichere IT-Infrastruktur Zentrale Loganalyse als wichtiges Element für eine sichere IT-Infrastruktur Rainer Schneemayer Zentrale Loganalyse als wichtiges Element für eine sichere IT-Infrastruktur Unzählige Logfiles befinden sich

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR.

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. Hans Joachim von Zieten DATEN DAS WICHTIGSTE GUT Daten und Informationen sind ein wichtiges, ja sogar

Mehr

Hochschule Harz (FH) optimiert Benutzerverwaltung mit Comtarsia

Hochschule Harz (FH) optimiert Benutzerverwaltung mit Comtarsia Ressorts: Netzwerke, Sicherheit, Identity-Management, IT-Infrastruktur, Single Sign On, Open Source Text- und Bildmaterial: http://signon.comtarsia.com/main/de/presse PRESSEMITTEILUNG Hochschule Harz (FH)

Mehr

DriveLock in Terminalserver Umgebungen

DriveLock in Terminalserver Umgebungen DriveLock in Terminalserver Umgebungen Technischer Artikel CenterTools Software GmbH 2011 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen auf

Mehr

Experience. nr.52. ERNI Erfahrungsberichte rund um Management-, Prozess- und Technologiethemen. märz 2012

Experience. nr.52. ERNI Erfahrungsberichte rund um Management-, Prozess- und Technologiethemen. märz 2012 ERNI Erfahrungsberichte rund um Management-, Prozess- und Technologiethemen Experience nr.52 märz 2012 RequIREMENTs EngINEERINg Ins Schwarze treffen Ins SchwARze treffen Requirements Engineering: die Grundlagen

Mehr

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Senior Sales Engineer 1 Das Szenario 2 Früher Auf USB-Sticks Auf Netzlaufwerken Auf CDs/DVDs Auf Laptops & PCs 3 Jetzt Im Cloud Storage

Mehr

protecting companies from the inside out

protecting companies from the inside out protecting companies from the inside out 1 Integriertes Berechtigungsmanagement Futuredat IT Forum 15. Mai 2014 80% der Daten liegen unstrukturiert als ppt, doc und excel vor Quelle: Meryll Lynch 80% der

Mehr

Integration von SAP Netweaver mit Identity und Access Management

Integration von SAP Netweaver mit Identity und Access Management Integration von SAP Netweaver mit Identity und Access Management Integration von SAP Netweaver mit Identity und Access Management Unternehmenslösungen für sicheres und skalierbares Identity und Access

Mehr

IAM in the Cloud - Guidance der Cloud Security Alliance

IAM in the Cloud - Guidance der Cloud Security Alliance Klaus Gribi United Security Providers IAM in the Cloud - Guidance der Cloud Security Alliance MEET SWISS INFOSEC, 26. Juni 2013 Agenda Vorstellung der Cloud Security Alliance (CSA) Vorstellung CSA Switzerland

Mehr

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Seit Microsoft Exchange Server 2010 bieten sich für Unternehmen gleich zwei mögliche Szenarien an, um eine rechtskonforme Archivierung

Mehr

Auf kürzestem Weg ans Ziel!

Auf kürzestem Weg ans Ziel! Identity Processes Auf kürzestem Weg ans Ziel! Mit unseren vier Identity Processes (IdP)-Paketen Schritt für Schritt zur optimalen Identity Management Lösung. Wie man Identity Management effektiver einführt?

Mehr

1 ZIEL: ENGE INTEGRATION EINER PKI MIT EINEM IDENTITY & PROVISIONING MANAGEMENT SYSTEM (IPM)...2 3 PKI-PROZESSE...3. 3.1 Tokenverwaltung...

1 ZIEL: ENGE INTEGRATION EINER PKI MIT EINEM IDENTITY & PROVISIONING MANAGEMENT SYSTEM (IPM)...2 3 PKI-PROZESSE...3. 3.1 Tokenverwaltung... IPM mit integrierter PKI Inhalt 1 ZIEL: ENGE INTEGRATION EINER PKI MIT EINEM IDENTITY & PROVISIONING SYSTEM (IPM)...2 2 BI-CUBE PKI...3 3 PKI-PROZESSE...3 3.1 Tokenverwaltung...3 3.2 Tokenzuweisung...4

Mehr

inxire Enterprise Content Management White Paper

inxire Enterprise Content Management White Paper inxire Enterprise Content Management White Paper inxire Enterprise Content Management Einleitung Die Informationstechnologie spielt eine zentrale Rolle für den Informationsaustausch und die Zusammenarbeit

Mehr

Fileserver Berechtigungen und Active Directory im Griff

Fileserver Berechtigungen und Active Directory im Griff Fileserver Berechtigungen und Active Directory im Griff Ihre Situation Steigende Datenflut Das explosionsartige Anwachsen der Datenmengen stellt die IT- Abteilungen der Unternehmen heute vor völlig neue

Mehr

Wir zeigen Wege, Sie Sie entscheiden.

Wir zeigen Wege, Sie Sie entscheiden. Identity und Access Management egovernment in Wolfsburg: sichere und einfache Zugangsberechtigungen per Mausklick Häufige Wechsel der internen Arbeitsstellen verursachten bei der Stadt Wolfsburg erheblichen

Mehr

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

WENDIA ITSM EXPERT TALK

WENDIA ITSM EXPERT TALK WENDIA ITSM EXPERT TALK WENDIA ITSM WHITEPAPER IT SERVICE MANAGEMENT BASISWISSEN: IN EINFACHEN SCHRITTEN ZUR CMDB Wer, Wie, Was: Die CMDB als Herzstück eines funktionierenden IT Service Management Die

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Informationssicherheit richtlinienkonform umgesetzt - wie Identity Management die Geschäftsprozesse unterstützt

Informationssicherheit richtlinienkonform umgesetzt - wie Identity Management die Geschäftsprozesse unterstützt it-sa 2012 Identity und Access Management Area Informationssicherheit richtlinienkonform umgesetzt - wie Identity Management die Geschäftsprozesse unterstützt Ga-Lam Chang Leiter ISM Solutions g.chang@peak-solution.de

Mehr

Network Access Control für Remote Access: Best Practice Technical Paper

Network Access Control für Remote Access: Best Practice Technical Paper Network Access Control für Remote Access: Best Practice Technical Paper Stand Mai 2010 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und

Mehr

Identity Management an der Freien Universität Berlin

Identity Management an der Freien Universität Berlin Elektronische Administration und Services Identity Management an der Freien Universität Berlin Transparenz und Effizienz für Exzellenz Dr. Christoph Wall Leiter elektronische Administration und Services

Mehr

Positionspapier: Portalverbund und ehealth

Positionspapier: Portalverbund und ehealth Positionspapier: Portalverbund und ehealth e-government Arbeitsgruppe Integration und Zugänge (AG-IZ) Dr. Wilfried Connert Franz Hoheiser-Pförtner, MSc Rainer Hörbe Peter Pfläging Juli 2009 Inhalt Zielsetzung

Mehr

Active Directory unter Linux

Active Directory unter Linux CeBIT 2015 Active Directory unter Linux Prof- Dr.-Ing. Kai-Oliver Detken DECOIT GmbH Fahrenheitstraße 9 D-28359 Bremen http://www.decoit.de detken@decoit.de DECOIT GmbH Kurzvorstellung der DECOIT GmbH

Mehr

2012 Quest Software Inc. All rights reserved.

2012 Quest Software Inc. All rights reserved. Identity & Access Management neu interpretiert Stefan Vielhauer, Channel Sales Specialist Identity & Access Management André Lutermann, Senior Solutions Architect CISA/CHFI Rechtliche Rahmenbedingungen

Mehr

IA&DT Sharepoint Extranet mit IA&DT Single Sign On (SSO) Authentifizierung

IA&DT Sharepoint Extranet mit IA&DT Single Sign On (SSO) Authentifizierung IA&DT Sharepoint Extranet mit IA&DT Single Sign On (SSO) Authentifizierung Inhalt SSO Account... 1 Erstkontakt mit dem System (Internet / Kundensicht)... 2 Erstkontakt mit dem System (Intranet)... 3 Funktionen

Mehr

IDC Studie: Deutsche Unternehmen wollen mit Cloud Services Geschäftsprozesse optimieren

IDC Studie: Deutsche Unternehmen wollen mit Cloud Services Geschäftsprozesse optimieren Pressemeldung Frankfurt, 26. Juli 2013 IDC Studie: Deutsche Unternehmen wollen mit Cloud Services Geschäftsprozesse optimieren Die Fachbereiche deutscher Unternehmen fordern von der IT eine bessere Unterstützung

Mehr

Penetration Test Zielsetzung & Methodik

Penetration Test Zielsetzung & Methodik Zielsetzung & Methodik : Ausgangslage Hacker und Cracker haben vielfältige Möglichkeiten, über öffentliche Netze unbefugt auf die IT-Systeme eines Unternehmens zuzugreifen Sie können vertrauliche Informationen

Mehr

Einführung von. SAP Netweaver Identity Management. bei der. Öffentlichen Versicherung Braunschweig

Einführung von. SAP Netweaver Identity Management. bei der. Öffentlichen Versicherung Braunschweig Einführung von SAP Netweaver Identity Management bei der Öffentlichen Versicherung Braunschweig Axel Vetter (Braunschweig IT), Jörn Kaplan (Acando) Seite 1 Agenda Die Öffentliche Versicherung / Braunschweig

Mehr

Ihr Partner für das Management der IT. von der Strategie bis zur Lösung

Ihr Partner für das Management der IT. von der Strategie bis zur Lösung Ihr Partner für das der IT von der Strategie bis zur Lösung Agenda In aller Kürze 1. Tätigkeitsfelder 2. Leistungen 3. Referenzen 4. Unternehmen 2015 2 Lieferanten 1. Tätigkeitsfelder Gestalten Sie die

Mehr

IT-Sicherheit weltweit Praxisbeispiel Single Sign-On

IT-Sicherheit weltweit Praxisbeispiel Single Sign-On IT-Sicherheit weltweit Praxisbeispiel Single Sign-On Sebastian Glandien - Hamburg - 22.09.2014 1 2 Gründe für Single Sign-On Gründe für Single Sign-On Ausgangslage Der Zugriff auf Applikationen bei Hapag-Lloyd

Mehr

Integrierte IT-Service-Management- Lösungen anhand von Fallstudien. Identity Management

Integrierte IT-Service-Management- Lösungen anhand von Fallstudien. Identity Management Seite 1 Integrierte IT-Service-Management- Lösungen anhand von Fallstudien Identity Management Dr. Kirsten Bönisch et al., Prof. Dr. Heinz-Gerd Hegering Institut für Informatik Ludwig-Maximilians-Universität

Mehr

SOA Governance Konzepte und Best Practices

SOA Governance Konzepte und Best Practices SOA Governance Konzepte und Best Practices Gerd Schneider Senior Director SOA Marketing Software AG 2/27/2007 Agenda Überblick SOA Governance Warum SOA Governance? Kundenbeispiel SAS Airlines Technische

Mehr

Adlerblick So gewinnen Sie einen Überblick über ein DWH Dr. Andrea Kennel InfoPunkt Kennel GmbH CH-8600 Dübendorf Schlüsselworte Einleitung

Adlerblick So gewinnen Sie einen Überblick über ein DWH Dr. Andrea Kennel InfoPunkt Kennel GmbH CH-8600 Dübendorf Schlüsselworte Einleitung Adlerblick So gewinnen Sie einen Überblick über ein DWH Dr. Andrea Kennel InfoPunkt Kennel GmbH CH-8600 Dübendorf Schlüsselworte DWH Projekt, Methodik, Stärken und Schwächen, Übersicht, Weg der Daten,

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

BOE Security Standard Anwendergruppen-zentrierte Administration in BOE XI 3.1

BOE Security Standard Anwendergruppen-zentrierte Administration in BOE XI 3.1 areto consulting BOE Security Standard Seite 1 von 10 WHITE-PAPER BOE Security Standard Anwendergruppen-zentrierte Administration in BOE XI 3.1 Autoren: Christian Ruschak, Business Intelligence Consultant

Mehr

Compliance mit Identity & Access Management. ISACA After Hours Seminar - Compliance mit Identity & Access Management - Herr Marco Rohrer

Compliance mit Identity & Access Management. ISACA After Hours Seminar - Compliance mit Identity & Access Management - Herr Marco Rohrer Seite 1 Compliance mit Identity & Access Referent: Marco Rohrer VP Pre-Sales & Partner Betriebsökonom FH ipg ag Seite 2 ipg ag fokussiert sich auf Konzeption, Planung und Umsetzung von Identity & Access

Mehr

Die FUTUREDAT GmbH. Unsere Partner. Die FUTUREDAT GMBH UNTERSTÜTZT SIE BEI

Die FUTUREDAT GmbH. Unsere Partner. Die FUTUREDAT GMBH UNTERSTÜTZT SIE BEI FIT FOR FUTURE BERATUNG * LÖSUNGSFINDUNG * UMSETZUNG * WEITERBILDUNG * BETREUUNG Die FUTUREDAT GMBH UNTERSTÜTZT SIE BEI der PLANUNG Ihrer Client- Management-, IT- und Datenbank-Projekte der schrittweisen

Mehr