MEHR KONTROLLE WENIGER RISIKO BERECHTIGUNGSRISIKEN IDENTIFIZIEREN, ANALYSIEREN UND STEUERN MIT DEM GARANCY ACCESS INTELLIGENCE MANAGER White Paper VERSION 1.0 STEFANIE PFAU, THOMAS GROSSE OSTERHUES 2013 Beta Systems Software AG
INHALT BERECHTIGUNGSRISIKEN FÜR ALLE PHASEN DES RISIKOMANAGEMENTS... 3 1. Stimmt alles Wichtige? Nutzen für alle Zielgruppen... 3 1.1. Auditing/Controlling... 4 1.2. IT-Administrator... 4 1.3. Management... 5 1.4. Business User/Leiter der Fachabteilungen... 6 2. Risikomanagement mit Garancy Access Intelligence Manager... 7 2.1. Risikoidentifikation mit Garancy Access Intelligence Manager... 7 2.2. Risikobewertung mit Garancy Access Intelligence Manager... 9 2.3. Risikosteuerung mit Garancy Access Intelligence Manager... 11 2.3.1. Wirksame Prävention und IT-Forensik unerlässlich für einen IT-Audit... 11 2.3.2. High-Risk User... 12 2.3.3. Ad-hoc-Analysen... 13 2.3.4. Berechtigungspfadanalyse... 14 2.3.5. Temporäre Berechtigungen... 14 2.4. Risikokontrolle mit Garancy Access Intelligence Manager... 15 3. Stimmt alles Wichtige? schnell, einfach und übersichtlich... 16 3.1. Schrittweise Einführung vom Datenimport zur Risikoeinstufung... 17 3.2. Berücksichtigung relevanter Regulierungen... 18 4. Empfehlungen für ein intelligenzbasiertes RisikoManagement... 19 2
BERECHTIGUNGSRISIKEN FÜR ALLE PHASEN DES RISIKOMANAGEMENTS Ein Risikomanagement, dass die Zugangsberechtigungen berücksichtigt, kann wesentlich zur Verringerung von lt-risiken beitragen und damit in der Konsequenz zur Verringerung von strategischen und operativen Risiken. Jede vergebene Zugangsberechtigung stellt ein potentielles Risiko für die Unternehmen dar. Und die Zahl von Zugangskonten und -berechtigungen in den Datensystemen der Unternehmen nimmt weiterhin rasant zu. Dies ist der primäre Grund, warum sich das Risikomanagement aus den Unternehmen heraus jetzt verstärkt dem Management der Zugriffsrechte widmet, da sich Fehler innerhalb des Berechtigungsmanagements auf alle anderen Risiken auswirken können. Gleichzeitig spielen hierbei auch zusätzlich gesetzliche Anforderungen, wie beispielsweise verschärfte Datenschutzrichtlinien, eine wichtige Rolle, denn die Steuerung und Nachvollziehbarkeit der Berechtigungsvergabe ist eine Grundforderung verschiedener Compliance-Regularien. Daher sollten interne Zugriffsberechtigungen so eingerichtet sein, dass jeder Mitarbeiter wirklich nur auf diejenigen Systeme zugreifen kann, die er für seine Arbeit benötigt. Der Zugriff darf nur den Umfang haben, den der jeweilige Mitarbeiter zur Erledigung seiner Tätigkeit zwingend benötigt. UNTERSTÜTZUNG IN ALLEN PHASEN DES RISIKOMANAGEMENTS VON BERECHTIGUNGEN Access Risk Management & Analytics mit dem Garancy Access lntelligence Manager bietet für alle Phasen des Risikomanagements von Zugangsberechtigungen bestmögliche Unterstützung. Von der Identifikation, der Bewertung, der Steuerung bis hin zur ständigen Kontrolle bzw. Monitoring von Berechtigungsrisiken. Nachfolgend wird aufgezeigt, wie Unternehmen durch den Garancy Access Intelligence Manager unterstützt werden und wie die jeweiligen Zielgruppen im Unternehmen profitieren durch die Bereitstellung von Ready-To-Use-Analysen, Standard-Analysen für ausgewählte Use Cases, Hohe Interaktivität aufgrund von Verlinkungen zwischen den Reports (Drill-Down, Drill-Through,...) und die Verwendung aufgedeckter Schwachstellen als Basis für Ad-hoc-Analysen zur Erstellung zielgerichteter und problembezogener Reports. 1. STIMMT ALLES WICHTIGE? NUTZEN FÜR ALLE ZIELGRUPPEN Grundsätzlich sollte beim Aufbau eines Risikomanagements dafür Sorge getragen werden, dass die Adressaten wie etwa das Top Management, Abteilungsleiter, Auditoren und viele andere nur mit genau den Informationen versorgt werden, die einen tatsächlichen Mehrwert bieten. Entscheidend ist hier weniger die Quantität, sondern vielmehr die Qualität der Aussagen. Die Basis für qualitative Aussagen bilden Key Indikatoren, in denen große Datenmengen auf eine qualitative Aussage aggregiert werden. Damit ist es möglich, die wichtigen Daten sofort zu erkennen und den Fokus auf Hochrisikobereiche zu lenken. NUTZNIESSER VON ACCESS RISK MANAGEMENT Letztendlich lassen sich die Nutznießer von Access Risk Management in vier wesentliche Zielgruppen zusammenfassen. Dieses sind zum einen der Bereich Auditing & Controlling, der Bereich lt bzw. IT-Security, das Management und die Anwender in den Fachabteilungen. Die folgende Abbildung verdeutlicht, welche Vorteile diese vier Bereiche durch die Einführung von Access Risk Management & Analytics erhalten: 3
Abb. 1: Risikominimierung durch bedarfsgerechte Informationen bietet allen Beteiligten Vorteile 1.1. AUDITING/CONTROLLING Der Audit-Aufwand ist in den Unternehmen gestiegen. Fast alle Unternehmen haben einen signifikanten Anteil an manuellem Aufwand für die Erfüllung von Audit-Anforderungen. Hier bietet der Garancy Access Intelligence Manager viele Vorteile. Spontane Fragen des Auditors an das Access Management können nun mit einer bisher unerreichten Flexibilität beantwortet werden. Die sichere und regelkonforme Umsetzung neuer regulatorischer Anforderungen erfordert zudem eine strukturierte Vorgehensweise im Bereich ldentity & Access Governance (lag). Gerade durch den wachsenden Compliance-Druck sind auch die administrativen Anforderungen, insbesondere bezüglich der Erstellung von Audit-Berichten, nicht auf die leichte Schulter zu nehmen, da diese vielfach einen maßgeblichen Teil der Arbeitszeit in lt-abteilungen beanspruchen: Welcher User hat Zugriff auf welche Ressource? Wie erkenne ich genau die Fälle, in denen ein hohes Risiko gegeben ist? So können auch Aussagen zum Berechtigungsprofil des Users innerhalb seines Business-Kontexts wie beispielsweise seiner Abteilung bzw. Job Funktion in die Analysen eingebunden werden. Diese lassen sich in Form eines umfassenden und detaillierten Reports exportieren, zusammen mit den entsprechenden Handlungsempfehlungen des Auditors. 1.2. IT-ADMINISTRATOR Der lt-administrator bzw. der IT-Security-Verantwortliche erhält umfassende Analysen und Informationen zur Bewertung des Risikos der Zugriffsberechtigungen und den aktuellen Status der Zugriffsberechtigungen. Zudem stehen umfangreiche Drill Down- und Drill Through-Möglichkeiten zur Verfügung, die eine Analyse der Zugriffsberechtigungen in nahezu beliebiger Form ermöglichen. 4
Der Garancy Access Intelligence Manager stellt die Verbindung von der technischen Sicht zur Business-Sicht her. Er verknüpft Berechtigungsdaten mit dem organisatorischen Blick auf jeden einzelnen Benutzer, und dies kombiniert mit einer intuitiven Benutzeroberfläche, die konsequent für Nicht-Techniker entwickelt wurde. Dadurch lassen sich mit unserer Lösung leistungsfähige Risikoanalysen durch die Fachabteilungen nicht nur erstellen, sondern auch entsprechend nutzen. Dies führt zu einer Entlastung der lt-administration. Risikomanagement hat insbesondere auch in Initiativen für eine strukturierte und sichere Gestaltung der lt eine hohe Bedeutung, Mit einem auf dem Garancy Access Intelligence Manager aufbauenden Risikomanagement lassen sich Schwachstellen in der Organisation unmittelbar aufzeigen und Handlungsempfehlungen zur Reduktion des Zugriffsrisikos formulieren. 1.3. MANAGEMENT Das Management gewinnt durch die Einführung von Risikomanagement-Systemen in vielfacher Hinsicht. So steigt die Transparenz in der Berechtigungsvergabe, während gleichzeitig sichergestellt ist, dass sämtliche Veränderungen nachvollziehbar und erklärbar bleiben, um auf diese Weise die Einhaltung der regulatorischen Vorgaben hinsichtlich der IT-Compliance sicherzustellen. Über Dashboards mit gewichteten Aussagen und durch die Verwendung von Key-Risk-Indikatoren erhält das Management einfach und schnell Anstöße für Follow-up-Aktivitäten, um das Risiko zu minimieren. Das Zugriffsrisiko wird für das Management messbar und in Zahlen ausgedrückt. NACHWEIS DER EINHALTUNG VON COMPLIANCE-ANFORDERUNGEN Hierbei ist die hohe Relevanz eines wirksamen internen Kontrollsystems (IKS) zur Prävention und Aufdeckung von Compliance-Fallen offensichtlich. Die Verknüpfung zwischen Compliance-Management-System und IKS konzentriert sich auf die folgenden Fragestellungen: Verfügt das bestehende IKS über ausreichende und angemessene Kontrollen, um die festgestellten und bewerteten Compliance-Risiken abzudecken (Control Design)? Ist sichergestellt, dass die bestehenden Kontrollen zur Vermeidung oder Aufdeckung von Compliance- Verstößen im gesamten Unternehmen wirksam durchgeführt werden (Control Effectiveness)? Das Compliance-Management-System bewirkt somit eine stetige Beurteilung und Überwachung der Bestandteile des IKS, soweit sie dem Kontrollzweck Compliance dienen. Hierzu gehört insbesondere auch die Implementierung von Kontrollen in Geschäftsprozessen, z.b. durch Berücksichtigung in Arbeits- und Verfahrensanweisungen, Prozessdokumentationen sowie den vorgegebenen Freigabeprozessen. Wesentlich ist, dass die Kontrollen in den Systemen selbst abgebildet werden. Hier kommt Garancy mit dem Compliance-Indikator ins Spiel. Dieser zeigt Kennzahlen wie z.b. Benutzer ohne Berechtigungen oder verwaiste Konten, die zur Einhaltung der Compliance von Bedeutung sind (siehe Abbildung 2). Die Analyse hilft Unternehmen, Ausnahmefälle schnell zu finden, um diese tiefer untersuchen zu können. Die Analyse gibt es in den Varianten Benutzer, Konten, Rollen und Gruppen. Auf einem Blick werden in dieser Analyse die ausgewählten wichtigsten Indikatoren angezeigt. 5
Abb. 2: Compliance-Indikator Übersicht 1.4. BUSINESS USER/LEITER DER FACHABTEILUNGEN Die Risikoanalyse stellt unterschiedliche Aggregats- und Detailebenen dar und bedient damit die Sicht vom Top Management bis hinunter zum Abteilungsleiter. Abteilungsleiter können auf einen Blick Abweichungen bei den Berechtigungen innerhalb einer Peer Group erkennen. Dies macht somit ein umfassendes Monitoring der Risiken möglich und bildet die Basis für die Umsetzung von Maßnahmen zur Risikoreduktion. Die Business User, also die Anwender in den jeweiligen Fachabteilungen, profitieren zudem von der Einfachheit und Übersichtlichkeit des Systems. Die Garancy Access Intelligence Manager-Lösung ist intuitiv und selbsterklärend, so dass sich die Anwender in ihrer gewohnten Umgebung sofort zurechtfinden. Sie können umgehend vorgefertigte Analysen verwenden, die ihren individuellen Bedürfnissen entsprechen, wie z.b. Peer Group-Vergleiche. Diese Analysen können als Push Information regelmäßig und automatisiert versendet werden. Zusätzlich sind die Analysen so aufbereitet, dass sich daraus eine Prioritätenliste hinsichtlich des weiteren Handlings der Risiken ergibt wie z.b. für High-Risk User. Dies gestattet dann z.b. eine effektivere Rezertifizierung auf Basis eines Risiko-Rankings. 6
2. RISIKOMANAGEMENT MIT GARANCY ACCESS INTELLIGENCE MANAGER Definition: Unter Risikomanagement ist der der planvolle Umgang mit Risiken zu verstehen. Dieses beinhaltet die Phasen der Identifikation, der Bewertung, der Steuerung und der Kontrolle des Risikos. Ursachenbezogene Strategien Diese zielen darauf ab, die Höhe möglicher Verluste bzw. ihre Wahrscheinlichkeitsverteilung positiv zu beeinflussen. Zu den ursachenbezogene Strategien gehören die Risikovermeidung und die Risikominderung. Wirkungsbezogene Strategien Diese haben die Minderung der voraussichtlichen durch den Missbrauch der Berechtigungen entstehenden Schäden als Ziel. Strategien hierfür sind der Risikotransfer und die Risikovorsorge. Der Garancy Access Intelligence Manager zielt schwerpunktmäßig auf die ursachenbezogenen Strategien ab (präventiver Ansatz) Mit ihm lässt sich das Risiko auf unterschiedliche Arten reduzieren. Um die Höhe der Risiken und den zeitlichen Verlauf der Risikoveränderung abzubilden, können zahlreiche aussagekräftige Indikatoren verwendet werden. In Form von Standard- und auch als Ad-hoc-Analysen werden die Risiken exakt gemäß der Kundenanforderungen abgebildet. 2.1. RISIKOIDENTIFIKATION MIT GARANCY ACCESS INTELLIGENCE MANAGER Bevor sich Risiken vermeiden, vermindern oder in Kauf nehmen lassen, sind sie zuerst einmal als solche zu erkennen. Diese vermeintliche Trivialität stellt sich im Hinblick auf das Berechtigungsmanagement als komplexe Aufgabe heraus: Die Erfassung und Bewertung von Risiken in der riesigen Datenmenge, die sich im Umfeld des Access Managements beständig ansammeln, gleicht der berühmten Suche nach der Nadel im Heuhaufen. Mit wachsender Anzahl an Benutzern, Rollen und lt-systemen, für die Berechtigungen vergeben werden, steigt die Anzahl an einzelnen Gefahrenpunkten exponentiell an. So verfügt ein Unternehmen mit 5.000 Mitarbeitern und nur 50 lt-systemen, in denen jeweils zehn Berechtigungsgruppen angelegt sind, bereits über 2,5 Millionen Berechtigungsmöglichkeiten, die jede für sich eine individuelle hohe oder geringe Gefahr für das Unternehmen darstellen. Der Versuch, alle aus den bestehenden Berechtigungen resultierenden Gefahren zu identifizieren, ihre Auswirkungen zu beurteilen und entsprechende Maßnahmen zu definieren, wirkt vor diesem Hintergrund aussichtslos. Tatsächlich lassen sich mit vernünftigem und vertretbarem Aufwand nicht alle Gefahren des Berechtigungsmanagements erfassen und bewerten. Es geht daher darum, die stark risikobehafteten Berechtigungen zu identifizieren, zu bewerten und im Nachgang mit geeigneten Maßnahmen zu belegen. Um zu einer Einschätzung zu gelangen, welche Berechtigungen welches Risiko besitzen, bietet der Garancy Access Intelligence Manager leistungsfähige Werkzeuge, die z.b. bereits mit Standard-Analysen in kurzer Zeit Aussagen zu den Auswirkungen individueller Risikobewertungen auf die einzelnen Berechtigungen und ihre Besitzer ermöglichen. 7
BENUTZER-RISIKO-ANALYSE Die Benutzer-Risiko-Analyse beinhaltet eine Risikoanalyse von Benutzern auf Basis ihrer zugewiesenen Gruppen. Sie zeigt auf einen Blick die Anzahl der Benutzer einer Abteilung gruppiert nach Risikotyp (ohne, gering, mittel, hoch) mit den dazugehörigen direkten Rollen und Unterrollen oder die Zahl der direkten Gruppen und Untergruppen der Benutzer sowie die Anzahl der Konten und der verwendeten lt-applikationen je Benutzer (siehe Abbildung 3). Abteilungen mit einem hohen Risiko werden direkt und unmittelbar identifiziert. Die Benutzer-Risiko-Analyse ermöglicht es Unternehmen, die Benutzer und die Rollen mit hohen Risiken innerhalb einer Organisationseinheit schnell zu identifizieren und zu prüfen, woher diese Risiken stammen. Abb.3: Beispiel einer Benutzer-Risiko-Analyse 8
2.2. RISIKOBEWERTUNG MIT GARANCY ACCESS INTELLIGENCE MANAGER Die große Herausforderung einer Risiko-Analyse ist, dass diese Systeme zwar von der lt bereitgestellt werden, sie dann jedoch zu großen Teilen von den Fachabteilungen bedient und genutzt werden müssen. Selbstverständlich muss eine Risikoanalyse von Zugangsberechtigungen auch mit der lt-problematik der großen Datenmengen, also mit dem sehr aktuellen Thema Big Data, umgehen. Aber die größte Aufgabe sehen wir darin, wie dies alles fachlich bewertet und dargestellt wird: Ob und aus welchem Grund ein Mitarbeiter eine Zugangsberechtigung besitzt und welches Risiko aus dieser Berechtigung entsteht. Diese Bewertung kann die lt alleine nicht sinnvoll leisten. Die Metriken für ldentity Risk Management müssen zahlreiche wichtige Aufgaben erfüllen. Zum einen sollen sie die Verteilung der Zugangsberechtigungen verdeutlichen und Aussagen zur Qualität, der Einbindung in die Organisation und der Handhabung der Identitäten ermöglichen. Zum anderen sollen sie Auskünfte über die Entscheidungsprozesse innerhalb der Berechtigungsvergabe auf Basis einer Herkunftsanalyse ermöglichen. Die Problembereiche sollten dabei idealerweise in Form von Dashboards ersichtlich sein. Will man jetzt Risk Management tatsächlich zu einer messbaren, objektiven Bewertungsgröße machen, so wird man mit der Schwierigkeit konfrontiert, eine einzige Aussage ( Wie hoch ist das Risiko eines Users, einer Rolle oder einer Gruppe ) aus einer Vielzahl an Einflussgrößen zu ermitteln. Zu berücksichtigen sind: Risikobewertungen: auf Rollen-, Gruppen-, Ressourcen- und Autorisierungsebene Risikobetrachtung: auf Benutzer-, Organisations- oder Jobfunktionsebene RISK TYPE UND RISK RATE Garancy verwendet einen klassifizierten Ansatz, mit dem Rollen, Gruppen und Ressourcen und Autorisierungen über einen Risikotyp (low, medium, high risk) und einer Risikorate bewertet werden können. Beim Risk Rating handelt es sich um die numerische Einstufung einzelner Berechtigungsobjekte, wobei die Risikobewertung grundsätzlich auf Basis von Bedrohungspotential, Wahrscheinlichkeit für das Eintreten des Schadensfalls und den erwarteten Auswirkungen basiert. Alle weiteren Risikoparameter ergeben sich automatisch. RISIKOKLASSEN Auf Basis der Risikorate und des Riskikotyps werden in den Analysen Risikoklassen gebildet, die pro Typ drei Stufen vorsehen. Die Konfiguration der Klassen ist kundenindividuell möglich. Als Standard werden folgende Klassendefinitionen verwendet (siehe Abbildung 4): Abb. 4: Standard-Klassendefinitionen 9
Die Aggregation oder die Aufsummierung der Risikoraten findet immer innerhalb eines Risikotyps statt. Es werden Schwellwerte definiert, die festlegen, welcher Summenwert als high, medium oder low eingeordnet wird. Das System zeigt deutlich die Summen innerhalb der Typen oder Klassen. Im Gegensatz zu einem rein numerischen Wert wird bei diesem Ansatz sofort deutlich, über welches Risiko der Mitarbeiter verfügt. RISK SCORING Das Risk Scoring beinhaltet die Aufsummierung aller zugeordneten Risiken (siehe Abbildung 5). Diese können auf unterschiedlichen mathematischen Ansätzen basieren (Summierungen, Algorithmen,...). Abb. 5: Risk Score Der Vorteil dieser Vorgehensweise zur Risikobewertung liegt in der Aggregation der Einzelrisiken pro Berechtigung auf den einzelnen Benutzer. Hier unterstützt der Garancy Access Intelligence Manager dadurch, dass die Einzelrisiken pro Entitlement-Typ (Rolle, Gruppe, Ressource, Autorisierung) aggregiert werden. Um die Risiken nicht einfach zu addieren, bietet Garancy eine klassifizierte Methode, in der die Aggregation ausschlieglich innerhalb einer Klasse stattfindet. In der Detailsicht gibt der Garancy Access Intelligence Manager die dem Benutzer zugeordneten Berechtigungen sowie die einzelnen Risikoklassen und -bewertungen an (siehe Abbildung 6): Abb. 6: Risikoklassen und Risikobewertungen 10
Das Risk Grading gibt nun das Risikopotential des einzelnen Benutzers an. Dieses wird auf Basis der vorliegenden Informationen automatisch erstellt. Das zugrundeliegende Modell zur Risikobewertung verschafft Unternehmen einen detaillierten Überblick über das Gesamtrisiko des einzelnen Benutzers, die Zusammensetzung des Risikos und die Herkunft des Risikos. VERWENDUNG VON RISIKOLIMITS Zur Vermeidung oder zur Kontrolle von Risikopotential wird die Konfiguration von Risikolimits benötigt. Diese Risikolimits beziehen sich auf ein einzelnes Objekt (z.b. Rolle) und können pro Benutzer oder pro Organisationseinheit hinterlegt werden. Sobald es zur Überschreitung dieser Limits bei der Beantragung von Berechtigungen kommt, wird der Risikomanager eingeschaltet. Der Risikomanager entscheidet dann, ob er den Antrag freigibt oder nicht. Hierbei wird er durch die Analysen der Access Intelligence unterstützt. 2.3. RISIKOSTEUERUNG MIT GARANCY ACCESS INTELLIGENCE MANAGER Welche Auswirkungen hat nun die Risikosteuerung auf das Berechtigungsmanagement? Warum sollte man nicht bei bisher unbewusst risikogesteuerten Entscheidungen qualifizierte und quantifizierbare Risikobewertungen nutzen? Wie wirkt sich ein Risk Scoring auf eine Strategie zur Risikominderung aus, was bedeutet dies für organisatorische Prozesse und was kann getan werden, um die Eintrittswahrscheinlichkeit des Risikos, also den Schadensfall, weiter zu reduzieren? Durch übersichtliche Dashboards und komprimierte Aussagen zeigt der Garancy Access Intelligence Manager in stark verdichteter und gut verständlicher Weise auf, wie sich das Risiko im Berechtigungsmanagement reduzieren lässt Zur Steuerung der Risiken werden Key-Risk-Indikatoren verwendet. Diese basieren sowohl auf Standardanalysen und -reports wie der Benutzer-Risikoanalyse und dem Compliance-Indikatorreport als auch auf Ad-hoc-Analysen. Aus den Risikoanalysen ergeben sich darüber hinaus weitere wichtige Nutzungsmöglichkeiten. Sie lassen sich verwenden um Prozesse zu verbessern um die Effizienz der Organisation zu überprüfen für die Einführung präventiver Kontrollen als Risk Score Cards in Form von Dashboards für das Management und die Fachabteilungen als Risk Reporting des Identity Access Management Systems (als Zuarbeit zum allgemeinen Risk Management) zur individuellen Priorisierung von IAG-Aufgaben (z.b. Rezertifizierung zuerst für High-Risk User) zur Definition von Freigabeprozessen und deren Freigabestufen in Abhängigkeit von Risk Scores als KRI ("Key Risk Indicator") zur Kontrolle der aktuellen "Risikolage" zur Qualitätskontrolle der aktuellen Berechtigungsstrukturen aus Risikosicht 2.3.1. WIRKSAME PRÄVENTION UND IT-FORENSIK UNERLÄSSLICH FÜR EINEN IT-AUDIT 11
Ein auf Access Intelligence basierendes Risikomanagement ist wesentlich mehr als ein reines Reporting nämlich die wirksame Prävention und lt-forensik durch intelligente Analysen. Im Sinne einer IT-Forensik sollten verdächtige bzw. auffällige Berechtigungen festgestellt und umfassend analysiert und digitale Spuren ausgewertet werden können. Zu den Aufgaben einer wirksamen Prävention und IT-Forensik gehören: Risikoeinstufung von Benutzern aufgrund der zugewiesenen Berechtigungen entsprechend der kundenspezifischen Anforderungen bzw. Datenbereitstellung auf Basis von Rollen, Gruppen, Autorisierungen oder Ressourcen Soll-lst-Vergleiche: Entspricht die Risikoeinstufung dem Risiko-Level des Benutzers? (Top-Ten)-Liste der High Risk User : Gruppiert nach verschiedenen Kriterien (Organisation, Jobfunktion, Quellsysteme...) Filterung von Objekten: Fokussierung auf die kritischen Benutzer oder auf die kritischen Berechtigungsobjekte Identifikation von Orphan Accounts, also verwaisten Accounts, die in keiner Beziehung zu einem Benutzer stehen, aber immer noch aktiv sind und illegal verwendet werden könnten. Laut lso 27002 sind diese zu löschen. Generierung von Key-Risk-Indikatoren und Trendanalysen: Zeitliche Betrachtung von Risikoverläufen Die nachfolgenden Beispiele zeigen deutlich den präventiven und den forensischen Nutzen eines auf BI- Technologien basierenden Risikomanagements. 2.3.2. HIGH-RISK USER Unter Berücksichtigung des zeitlichen Aufwandes lassen sich selten alle Gefahren des Berechtigungsmanagements erfassen und bewerten. Es geht daher darum, vor allem die stark risikobehafteten Berechtigungen zu identifizieren, zu bewerten und im Nachgang mit geeigneten Maßnahmen zu belegen. Jedes Unternehmen sollte in der Lage sein, im Zusammenhang mit High Risk Users, Privileged Users oder Administratoren die folgenden Fragen beantworten zu können: Gibt es im Unternehmen User, die im täglichen Geschäft Zugriff auf sensible Daten haben? Verfügt das Unternehmen über geeignete Werkzeuge, um die Zugriffsberechtigungen auf ein Minimum zu reduzieren? Kann das Unternehmen durch Änderungen an den Zugriffs-Berechtigungen z.b. durch Rollenkonzepte das Risiko weiter reduzieren? Besteht die Möglichkeit, die Aktivitäten der privilegierten Benutzer aufzuzeichnen? Unter Berücksichtigung der steigenden Anzahlen von Benutzern und IT-Systemen sowie den steigenden Compliance-Anforderungen benötigen die Unternehmen Systeme, die ihnen helfen, Transparenz in die sehr komplexe IT-Landschaft zu bringen. Für Benutzer mit Sonderrechten bedeutet dies im Risikomanagement: Regelmäßige Überprüfung der Rechte im Hinblick auf die Zuordnung und Nutzung dieser übergeordneten Gruppen oder Rollen Welche Aktivitäten führen diese berechtigten Benutzer aus? 12
Mit der Identifizierung der privilegierten Benutzer bzw. der Hochrisiko-Berechtigung oder -Autorisierung können sich die Unternehmen auf diese Gruppen konzentrieren. Dadurch ergibt sich eine fokussierte und schnelle Analyse, aus der entsprechende Maßnahmen abgeleitet werden können. 2.3.3. AD-HOC-ANALYSEN Die Einschätzung, ob und wie hoch die Gefahr einer vergebenen Berechtigung ist, hängt von vielen nichtstandardisierbaren Faktoren ab: Toxische Berechtigungskombinationen lassen sich mit SoD-Regeln definieren, wobei die Frage zu beantworten ist, wie stark das Gefahrenpotential eines Benutzers auch durch die Kombination zulässiger Berechtigungen wächst. Ob ein erhöhtes Risiko durch die Vergabe von mehreren an sich harmlosen Einzelberechtigungen entsteht, kann nur mit Kenntnis der betroffenen Systeme und der betroffenen Organisationseinheiten mit ihren Aufgaben beurteilt werden. Rollenmodelle im Access Management, die sich an der Stellenbeschreibung der einzelnen Mitarbeiter orientieren, bieten generell eine leistungsfähige und nachvollziehbare Verbindung von Business- und IT- Sicht. Aber auch hier ist die Bewertung, welche Risiken einem Unternehmen aus der gemeinsamen Vergabe verschiedener Rollen an einen Anwender erwachsen, höchst individuell. Vielfach lassen sich gemeinsame Berechtigungsmuster an den einzelnen Organisationseinheiten ableiten. Benutzer gleicher Abteilungen erhalten häufig identische oder ähnliche Berechtigungen. Der Vergleich über Organisationseinheiten hinweg (z.b. in verschiedenen Tochterunternehmen) verlangt aber detaillierte Kenntnisse über die Aufgaben/Prozesse, Gleichheiten und Abweichungen zwischen den Bereichen. Eine Aufgabe, die mit Standard-Reports nur schwer zu lösen ist. Für derartige spezialisierte Fragestellungen bietet Garancy Access Intelligence Manager Ad-hoc-Analysen. Ein Access Intelligence basiertes Risikomanagement dient als Werkzeug, in dem Unternehmen und Organisationen alle Daten des Access Managements mit dem leistungsfähigsten und weltweit führenden Ad hoc Reporting System verarbeiten kann: Microsoft Excel. Microsoft Excel steht sprichwörtlich für die flexibelste Form der Endanwender-Datenverarbeitung und -visualisierung. Millionen von Anwendern kennen und schätzen die Funktionen und Arbeitsweise dieses Systems. SEMANTISCHES INTERFACE Grundlage ist das Datenmodell des Garancy Access Intelligence Manager. Erst dadurch wird ein businessverständliches Modell möglich. Dieses steht für die Auswertungen in Excel zur Verfügung. Im Gegensatz zu Datenbank-/Data-Warehouse-orientierten Systemen bietet Garancy Access Intelligence Manager ein vollumfängliches semantisches Interface, in dem die Objekte der Access Intelligence (User, System, Gruppe, Rolle etc.) mit seinen Attributen (Name, Typ, Kategorie uvm.) und seinen bestehenden Verbindungen für Adhoc-Reports genutzt werden können. Dieses Interface ist die Grundlage (in Excel) für den Drag&Drop-Ansatz. Der User benötigt kein technisches Wissen über Tabellenstrukturen und interne Datenbankverknüpfungen, um sich individuelle Aussagen und Reports zu seinem Access Management-Universum zu generieren. Mit dem Garancy Access Intelligence Manager formuliert der Anwender über Excel Pivot-Tabellen und -Charts seine Fragestellungen auf dem hohen Abstraktionsniveau des Business Intelligence (BI) Cubes. Durch die Verbindung beliebiger Objekte des Datenmodells und ihrer Verbindungen untereinander liefert Garancy Access Intelligence die gewünschten Aussagen: Von Detailauflistungen einzelner Berechtigungsbereiche bis hin zur Aggregation von Kennzahlen sind dabei der Verarbeitung in Microsoft Excel keine Grenzen gesetzt. 13
2.3.4. BERECHTIGUNGSPFADANALYSE Neben der typischen Frage Wer hat welche Berechtigung auf welche Ressource? entsteht aufgrund der weitverzweigten Berechtigungsstrukturen eine weitere wichtige Frage Über welche Zuweisungen (Rollen, Gruppen, Authorisierungsobjekte,...) wurden dem Benutzer die Berechtigungen vergeben?. Dazu hat Beta Systems eine Methode entwickelt, welche die gesamte Berechtigungsstruktur in einzelne Pfade aufgliedert, die die Grundlage für leistungsfähige Analysemöglichkeiten bilden. Die vorangestellte zweite Frage wird somit zu einer wesentlich nachvollziehbareren Fragestellung: Über welche Berechtigungspfade hat der Benutzer Zugriff auf die Ressourcen? Mit diesem Pfad-orientierten Ansatz sind eine Vielzahl von neuartigen Auswertungen möglich, die Beta Systems unter den Namen Berechtigungspfadanalyse zusammenfasst. Das Konzept der Berechtigungspfade ermöglicht Untersuchungen mit hohem Mehrwert für die Security eines Unternehmens, wie beispielsweise die Redundanzanalyse und die Pfadlängenanalyse. REDUNDANZANALYSE Die Redundanzanalyse untersucht die Berechtigungsstrukturen hinsichtlich redundanter Pfade. Als redundante Pfade werden doppelte Berechtigungszuweisungen bezeichnet, die durch die Zuweisung von verschiedenen Security-Objekten und dessen Beziehungen untereinander entstehen können. Eine typische Ursache dafür sind beispielsweise überlappende Rollen- oder Gruppenmodelle. Die Bewertung, ob Redundanzen positive oder negative Auswirkungen auf die Verwendung und Pflege von Berechtigungsstrukturen haben, ist sehr kundenindividuell und hängt von der Zielstellung der jeweiligen Modelle ab. PFADLÄNGENANALYSE Die Pfadlängenanalyse dagegen untersucht die einzelnen Zuweisungen hinsichtlich ihrer Pfadlänge. Häufig haben Rollenmodelle eine definierte Anzahl von Hierarchieebenen, z.b. IT-Rollen und zwei Ebenen von Business-Rollen. Mit der Analyse können dann abweichende Pfadlängen ermittelt werden. Diese Fälle stellen potenzielle Risiken dar, da sie nicht dem vorgegebenen Rollenmodell entsprechen und können dann geprüft und ggf. angepasst werden. 2.3.5. TEMPORÄRE BERECHTIGUNGEN Ein typischer Anwendungsfall, bei dem das Thema Transparenz und Monitoring extreme Bedeutung gewinnt, sind die klassischen temporären Wartungs- und Supportberechtigungen, die häufig für einen Sonderfall erteilt werden und im Anschluss automatisiert entzogen werden sollen (siehe Abbildung 7). 14
Abb. 7: Rollendetails Oft kann der automatisierte Entzug der Berechtigungen nicht durchgeführt werden, weil die lt-systeme z.b. zu diesem Zeitpunkt nicht verfügbar sind. Abhängig davon, wie häufig der automatisierte Entzug durchgeführt wird, kann es passieren, dass den Mitarbeitern die Berechtigungen deutlich länger zur Verfügung stehen als eigentlich geplant. In diesem Zeitraum besteht ein erhöhtes Risikopotential. 2.4. RISIKOKONTROLLE MIT GARANCY ACCESS INTELLIGENCE MANAGER Veränderung in den Bedrohungen, in der Organisation selbst und auch der technische Fortschritt erfordern eine laufende Neubewertung und Kontrolle der Risiken, um die lt-infrastruktur und kritische Daten dauerhaft zu sichern. Hierfür bietet der Garancy Access Intelligence Manager ein kontinuierliches Monitoring, das vorhandene Standardanalysen durch kundenindividuelle oder situativ erforderliche Ad-hoc-Analysen ergänzt. Fehler und Auffälligkeiten bei Berechtigungen werden sofort identifiziert. Dabei ist es von besonderer Bedeutung, eine sofortige Nachvollziehbarkeit über die Berechtigungen und die Vergabe der Berechtigungen zu ermöglichen. Die intelligente Analyse und das Monitoring der Berechtigungen werden in Verbindung mit Access-lntelligence- Lösungen auf ein neues Qualitätsniveau gehoben, so dass jederzeit Risiken transparent pro Mitarbeiter, Rolle und Gruppe dargestellt werden können. 15
Dies wird durch die Verwendung analytischer Funktionen ermöglicht, bei denen Technologien aus dem Bereich Business Intelligence/Data Warehouse zum Einsatz kommen. Da das Monitoring des Risikos auf unterschiedlichen Ebenen erfolgt, müssen viele Fragestellungen beantwortet werden können, wie die folgende Abbildung verdeutlicht: Abb. 9: Auswahl von Fragestellungen im Access Risk Management Durch das umfassende Risikomonitoring kann der Garancy Access lntelligence Manager Schwächen im IAM- System aufzeigen, weil beispielsweise entweder Benutzer mehr Zugriffsberechtigungen als erforderlich hatten oder privilegierte Benutzer (d.h. Benutzergruppen mit privilegierten Konten, z.b. mit erhöhten Rechten oder gemeinsam genutzten Konten) Aktivitäten ausführen konnten, die sie nie hätten ausführen dürfen. SOD MONITORING Als Konsequenz der MaRisk (Mindestanforderungen an das Risikomanagement) werden explizit Regeln für die Funktionstrennung (Segregation of Duties) mit technischen Systemen gefordert, die auch technisch umzusetzen sind und deren Einhaltung /Compliance nachzuweisen ist. Mit dem Garancy Access lntelligence Manager können Verletzungen dieser SoD aufgedeckt werden. 3. STIMMT ALLES WICHTIGE? SCHNELL, EINFACH UND ÜBERSICHTLICH Niemand kann garantieren, dass absolut jedes Access-Risiko durch ein Risikomanagement erfasst wird. Jedoch ermöglicht unsere auf auf Bl-Technologien aufbauende Access-Intelligence-Lösung den Nachweis, dass Alles für die Compliance-Erfüllung Wichtige erfasst und dokumentiert wurde. Access Intelligence zeigt darüber hinaus direkt auf, wo Probleme entstehen könnten und liefert detaillierte Anknüpfungspunkte, was getan werden kann, um Risiken zu reduzieren. Dafür stellt der Garancy Access Intelligence Manager Best-of-Breed-Analysetechniken, Vergleichsmöglichkeiten und Dashboards zur Visualisierung zur Verfügung (siehe Abbildung 10). 16
Abb. 10: Beispiel für Management Dashboards 3.1. SCHRITTWEISE EINFÜHRUNG VOM DATENIMPORT ZUR RISIKOEINSTUFUNG Grundsätzlich sollte es für die Einführung eines Risiko-Management-Systems im Berechtigungsmanagement ein klar formuliertes und verständliches Einführungsmodell geben. Die Einführung muss Schritt für Schritt erfolgen, wobei die Technik selbst erst ganz zum Schluss implementiert wird. Ganz wichtig ist die Beantwortung der Frage, wer die Bewertung der Risiken vornimmt. In einem ersten Schritt werden ausschließlich die allerwichtigsten Risikopotentiale bewertet. Hierfür geben die erfahrenen Consultants der Beta Systems Software AG fundierte Vorschläge und Handlungsempfehlungen. Um den Aufwand in Grenzen zu halten, empfiehlt sich die Konzentration auf alles Wichtige, also beispielsweise auf hochrisikobehaftete Applikationen und Systeme. Nicht relevante Fragestellungen oder sehr geringe Risiken werden an dieser Stelle nicht weiterverfolgt. Auf diese Weise ist eine schnelle Einführung und Implementierung des Risikomanagement-Systems möglich. Der Garancy Access Intelligence Manager verfügt über eine definierte Datenimportschnittstelle, die aus unterschiedlichsten Systemen die Daten importieren kann. Klassische Systeme dafür sind lag-systeme, aber es sind auch andere Quellsysteme möglich. In einem weiteren Schritt kann später eine schrittweise Erweiterung der Risikobewertung erfolgen. Zusätzlich können dann beispielsweise Risk Limits eingegeben oder businessorientierte Workflows integriert werden, die viele Aktionen automatisiert anstoßen können. 17
3.2. BERÜCKSICHTIGUNG RELEVANTER REGULIERUNGEN Bei den Regulierungen nennen Unternehmen aus der Finanzbranche das Kreditwesengesetz KWG und die MaRisk mit Abstand am häufigsten, womit das Thema Risikomanagement die Unternehmen am stärksten beschäftigt. KWG UND MARISK 25a des KWG (Kreditwesengesetz) sieht für die organisatorische Sicherstellung der gesetzlichen Anforderungen die Einführung eines Risikomanagements vor. Wörtlich heißt es: Ein Institut muss über eine ordnungsgemäße Geschäftsorganisation verfügen, die die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten gewährleistet. Die in 1 Abs. 2 Satz 1 bezeichneten Personen sind für die ordnungsgemäße Geschäftsorganisation des Instituts verantwortlich. Eine ordnungsgemäße Geschäftsorganisation muss insbesondere ein angemessenes und wirksames Risikomanagement umfassen, auf dessen Basis ein Institut die Risikotragfähigkeit laufend sicherzustellen hat; Die MaRisk umfasst für die IT wichtige Vorschriften zum Risikomanagement bzw. den internen Kontrollverfahren (AT 4), zu den Anforderungen an die Innenrevision (AT 4.4) und zur technisch / organisatorischen Ausstattung (AT 7). Die MaRisk fordert unter der Rubrik Funktionstrennung: AT 4.3.1: Bei der Ausgestaltung der Aufbau- und Ablauforganisation ist sicherzustellen, dass miteinander unvereinbare Tätigkeiten durch unterschiedliche Mitarbeiter durchgeführt werden. BT O 1.1.: Maßgeblicher Grundsatz für die Ausgestaltung der Prozesse im Kreditgeschäft ist die klare aufbauorganisatorische Trennung der Bereiche Markt und Marktfolge bis einschließlich der Ebene der Geschäftsleitung. Bei kleinen Instituten sind unter bestimmten Voraussetzungen Ausnahmen hinsichtlich der Funktionstrennung möglich. Was bedeutet dies für die IT? In der lt wird Funktionstrennung im Kontext der Benutzerrechteverwaltung verwendet. Unterschiedliche technische Funktionen sind unterschiedlichen Rollen zugeordnet. Dies dient dazu, kriminelle Handlungen der Mitarbeiter zu vermeiden. Wenn zum Beispiel ein Mitarbeiter Lieferanten im lt- System pflegen und anlegen kann und gleichzeitig Zahlungen initiieren kann, so hätte dieser die Möglichkeit, Finanzmittel zu unterschlagen (z. B. fiktiven Lieferanten anlegen und Zahlung an diesen durchführen). Die MaRisk fordert sehr eindeutig die Einrichtung eines organisatorischen und technischen Berechtigungsmanagements. Neben den Anforderungen an die Trennung fordert die MaRisk AT 7.2 : Die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen, insbesondere sind Prozesse für eine angemessene IT- Berechtigungsvergabe einzurichten, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt; die Zusammenfassung von Berechtigungen in einem Rollenmodell ist möglich. Die Eignung der IT-Systeme und der zugehörigen Prozesse ist regelmäßig von den fachlich und technisch zuständigen Mitarbeitern zu überprüfen. 18
4. EMPFEHLUNGEN FÜR EIN INTELLIGENZBASIERTES RISIKOMANAGEMENT Worauf sollten Unternehmen vor allem achten bei der Planung, der Einführung und Umsetzung eines Access Risk Management Systems? Nutzen Sie die Möglichkeiten, die moderne Risikomanagement-Lösungen in Verbindung mit Access Intelligence bieten. Think big, start small!. Der Business Intelligence-Ansatz bietet ein enormes Potential für weitreichende Analysen. Setzen Sie frühzeitig ein System ein, dass ausbaufähig ist. Führen Sie Risikomanagement in einem Stufenmodell ein. Machen Sie es Ihren Kollegen im Unternehmen so einfach wie möglich, schnell und verlässlich Aussagen treffen zu können zum Risikomanagement innerhalb ihrer Fachabteilung oder für das Top Management. Verzetteln Sie sich nicht in einfachen quantitativen Risikoeinschätzungen, sondern nutzen Sie qualitative, auf Inhalten basierende Bewertungen. Identifizieren Sie High Risk User: Sie müssen nicht auf alles eine Antwort haben, aber stellen Sie sicher, dass alles Wichtige stimmt. Verwenden Sie Berechtigungspfadanalysen um festzustellen, wer diese Berechtigung wann erteilt hat und ob er dies überhaupt durfte. Nutzen Sie Ad-hoc-Analysen: Bestehen Sie auf der Möglichkeit, eigene Analysen auf einfache Art und Weise erstellen zu können, individuell, entsprechend Ihrer Bedürfnisse. 19
Beta Systems Software AG, 2013. Alle Rechte vorbehalten. Alle im Text erwähnten Produktnamen der Beta Systems Software AG sowie die entsprechenden Logos sind Marken des Unternehmens in Deutschland und anderen Ländern weltweit. Namen von Produkten und Dienstleistungen anderer Unternehmen sind Marken dieser Unternehmen. Dies gilt auch für die jeweilige Firmenbezeichnung. Die Angaben im Text sind unverbindlich und dienen lediglich zu Informationszwecken. Produkte können länderspezifische Unterschiede aufweisen. In dieser Publikation enthaltene Aussagen stellen keine Zusicherungen, Gewährleistungen oder in sonstiger Weise bindende Aussagen dar. Die Beta Systems Software AG übernimmt keinerlei Haftung oder Garantie für Fehler oder Unvollständigkeiten in dieser Publikation. 20