Identity Management: Der Schlüssel zur effektiven Datensicherheit

Transkript

1 Identity Management: Der Schlüssel zur effektiven Datensicherheit

2 Referenten. Kontakte. Name: Funktion: Fachgebiet: Florian Probst Senior Consultant TÜV Rheinland Identity und Access Management Public Key Infrastrukturen Risikomanagement Kontakt: Tel: Mail: Name: Funktion: Fachgebiet: Günter Thiel Senior Consultant TÜV Rheinland Identity und Access Management Information Rights Management Public Key Infrastrukturen Kontakt: Tel: Mail: 2

3 Agenda Begriffsbestimmung Herausforderungen Warum Identity Management? Prozesse Projektvorgehen 3

4 Identity Management. Definition. Identity Management ist eine möglichst zentrale, plattformunabhängige und automatisierte Verwaltung von Identitäten und den damit verbundenen Rechten, Rollen und Accounts in einem Computersystem oder Computernetz. Aber: Es gibt viele andere Definitionen... 4

5 Umfeld IAM. Begrifflichkeiten. Begriffe im Umfeld IAM werden nicht immer gleichbedeutend verwendet. Ein Versuch der Abgrenzung: Identity Management (IDM): Verwaltung von Identitäten, Rollen und Berechtigungen von in der Regel natürlichen Personen Privileged Identity Management (PIM): Verwaltung von privilegierten Benutzeraccounts, häufig nicht-personalisiert (Administrator-Accounts) Access Management: Befasst sich mit der Authentisierung (z.b. per Passwort) und der Autorisierung (anhand von Rollen/Berechtigungen) von Benutzern. Identity und Access Management (IAM): Alle obigen Themen zusammen und noch viel mehr Alle Themen umfassen nicht nur die Technik, sondern vor allem die zugehörigen Prozesse! 5

6 Das Jahr Herausforderungen. Aktuelle Herausforderungen mit Bezug zum Identity und Access Management IT-Landschaften wurden in den letzten Jahren noch komplexer und heterogener Einbindung von Cloud Services und Diensten verschiedener Dienstleister Mobile Devices (Smartphones, Tablets,...) Berechtigungen müssen immer dynamischer gepflegt werden hohe Fluktuation, insbesondere bei externen Mitarbeitern Berechtigungen müssen effektiver / in kürzerer Zeit vergeben werden Benutzer werden mit immer mehr Identitäten / Accounts belastet es werden häufig identische / fast identische Passwörter verwendet abweichende Passwort-Policies zwischen den unterschiedlichen Systemen Kosten für Passwort-Rücksetzungen steigen Single Sign-On und Federation 6

7 Unternehmen. Häufige Schmerzpunkte. Basierend auf unserer Erfahrung kommt es häufig vor, dass... die Verwaltung externer Mitarbeiter, insbesondere bei Änderungen (Vertragsverlängerung, Abteilungswechsel,...), häufig nicht oder nur nach manuellem Eingriff (Help Desk!) funktioniert. Die Besonderheiten der verschiedenen Benutzertypen (z.b. Intern, Extern, Auszubildende) werden häufig nicht ausreichend berücksichtigt. die Accounts von nicht zentral verwalteten Systemen nach Austritt des Benutzers häufig nicht gelöscht / deaktiviert werden. Sicherheitsrisiko! Lizenzkosten! Daten zwischen verschiedenen Systemen inkonsistent sind (Tippfehler, Namensänderungen werden nicht nachvollzogen, unterschiedliche Gültigkeitszeiträume der Accounts,...). zu viele Mitarbeiter im Unternehmen umfangreiche privilegierte Zugriffsrechte besitzen. 7

8 Effektives Identity Management. Argumente. Gutes Identity Management wird zum Business Enabler! Erst wenn die Identity und Access Management Prozesse qualitativ hochwertig und schnell funktionieren, kann man Projekte und Geschäftsprozesse guten Gewissens auf diesen aufsetzen und schnell an sich verändernde Anforderungen anpassen. Effizientes und flexibles IAM ist nicht nur ein IT-Sicherheitsthema, sondern auch ein Wettbewerbsvorteil! Zweitwichtigstes Argument für IAM: Compliance Anforderungen Compliance Anforderung sind z.b.: Bundesdatenschutzgesetz, KWG / MaRisk, GoBS, PCI-DSS,... Wichtigste Themen: Nachvollziehbarkeit der Berechtigungsvergabe Rezertifizierung von Berechtigungen Gefahr: IAM wird nur als Kostenfaktor gesehen, wenn die Einführung nur mit Compliance begründet wird! 8

9 Identity Management System. Prozesse optimieren. Prozesse sind das A und O Lebenszyklus von Benutzern Eintritt Änderung / Wechsel (Namensänderung, Abteilungswechsel) Austritt Lebenszyklus von Rollen Anlage Änderung (Anpassung an Geschäftsanforderungen) Deaktivierung Genehmigungsworkflows Verwaltung von privilegierten Benutzern Passwort-Verwaltung Regelmäßige Rezertifizierung von Benutzern und Berechtigungen Auditierung/Reporting von Berechtigungen 9

10 Beispielprozess. Benutzeranlage. 10

11 Beispielprozess. Berechtigungsworkflow mit Genehmigungen. 11

12 Rezertifizierung. Beispiel. Beispiel: Rollen eines Benutzers 12

13 Reporting. Berechtigungen. Die wichtigsten Reports Nachvollziehbarkeit der Berechtigungsvergabe Report über alle vorhandenen Benutzer Report der Berechtigungen eines Benutzers (inkl. Historie) Report der Mitglieder einer Gruppe / Rolle (inkl. Historie) Report über Grund und Genehmiger einer Berechtigungsvergabe Rezertifizierung von Berechtigungen Nachweis (Report) über eine ordnungsgemäß durchgeführte Prüfung der Berechtigungen aller Benutzer im Sinne des Need to Know (oft mind. jährlich) 13

14 Projekt. Unser Vorgehensmodell. Analyse Konzeption Implementierung Testing Rollout Anforderungsanalyse: Fachliche u. technische Anforderungen Ist-Stand Richtlinien Gesetze Rahmenbedingungen Identitätenund Rollenkonzept Prozesse Architektur Testplan Umsetzung des Konzeptes Implementierung Infrastruktur Etablierung Prozesse Testen des/der Konzeptes Infrastruktur Prozesse Pilot Flächenrollout Betriebsunterstützung Schulungen 14

15 Projektrisiken. Typische Fehler. Schwache Anforderungsanalyse Zu große erste Projektphase Übersehen von Stakeholdern Fehlende Prozesse & fehlendes Datenmodell Fehlendes Rollenkonzept Fehlendes technisches Know-How Datenqualität 15

16 Vermeidung von Projektrisiken. Empfehlungen. Erfolgreiche Projekte gehen iterativ und inkrementell vor. Projekte, die alles auf einmal erreichen wollen, scheitern häufig. Große IAM Projekte dauern: Technik, Prozesse, Akzeptanz. machen Nutzen durch Quick-Wins sichtbar. haben klar definierte Etappenziele. verlieren das Fernziel nicht aus den Augen. berücksichtigen Menschen, Prozesse und Technik! 16

17 VIELEN DANK FÜR IHRE AUFMERKSAMKEIT! Regelmäßig aktuelle Informationen im Newsletter und unter Fotos shutterstock.com; fotolia.com 17