Titelbild Referenz IAM Kritikalität

Kritikalität im IAM

Bewertung und Handhabung von kritischen Zugriffen

Jede Person im Unternehmen, mit Zugriff auf ein IT-System, stellt ein mögliches Sicherheitsrisiko dar. Für einen Zugriff auf ein IT-System benötigt es Systemberechtigungen, die unterschiedlich zu betrachten sind. Dabei werden alle (privilegierten und nicht privilegierten) Systemberechtigungen von IT-Systemen oder Applikationen berücksichtigt, die an das IAM-System angebunden sind. Je höher diese Kritikalität von Systemberechtigungen ist, desto empfindlicher ist es gegenüber Ausfällen oder Störungen und es besteht ein erhöhtes Risiko für Datenverlust bzw. deren Integrität.

Kritikalität von Systemberechtigung (Risk-Score)

In Abhängigkeit vom Funktionsumfang und den damit verbunden Daten findet eine Einstufung der Systemberechtigung in Hinblick auf deren Kritikalität statt. Die Kritikalität einer Systemberechtigung, auch «Risk-Score» genannt, wird mit einem festen Wert im IAM-System hinterlegt und bildet einen Teil der Grundlage zur Berechnung. Dabei werden Systemberechtigungen mit besonders hohem Funktionsumfang oder mit Zugriff auf schützenswerte Daten – man spricht hier auch von privilegierten Zugriffen – einen hohen Wert zugeordnet. 

Funktionstrennung (Segregation of Duties)

Unter dem Begriff Funktionstrennung (SOD) versteht man die organisatorische Trennung von Teilaufgaben in einem Geschäftsprozess, die zueinander im Konflikt stehen. Dies muss bei der Bildung von Geschäftsrollen oder bei anderen Methoden der Berechtigungsvergabe mitberücksichtigt werden. Bei der Ausführung dieser Aufgaben ist darauf zu achten, dass diese nicht dem gleichen Aufgabenträger zugewiesen werden. Ein Beispiel aus dem Finanzsektor ist das 4-Augen Prinzip bei grossen Konto-Transaktionen, um Missbrauch und Fehler vorzubeugen. Es gibt jedoch Schlüsselpersonen im Unternehmen, die eine Ausnahmegenehmigung für SOD-Konflikte erhalten und somit für diese Personen ein höheres Risiko durch das Unternehmen bewusst und kontrolliert eingegangen werden muss. Damit die Kritikalität vollständig bestimmt werden kann, müssen genehmigte Ausnahmegenehmigungen ebenfalls in die Berechnung einer Kritikalität einfliessen. 

Risiko-Index erheben

Für die Bestimmung der Kritikalität von Berechtigungen einer Identität werden alle privilegierten Zugriffe (system- und applikationsübergreifend) ermittelt und mit dessen genehmigten SOD-Verletzungen kumuliert. Der berechnete Wert bildet einen «Risiko-Index» pro Identität.
Welches Verfahren (Min, Max, Durchschnitt) bei der Ermittlung zum Einsatz kommt, hängt ganz vom Unternehmen ab. In der Praxis wird häufig nachstehender Ansatz angewendet:

Max(Risk-Score) + genehmigte SOD Verletzung = Risk-Index

Hierbei werden von allen Benutzerkonten (persönliche und unpersönliche) der Identität die zugewiesen Systemberechtigungen ausgewertet und deren maximaler Risk-Score berechnet. Hat die Person zusätzlich noch genehmigte SOD-Verletzungen, dann wird der zuvor berechnete Maximalwert um jede weitere Verletzung erhöht. Es können auch weitere Faktoren in die Berechnung mit einbezogen werden, z.B. ob diese Identität ein externer Mitarbeitender ist oder eine Funktion als Vorgesetzter ausübt.

Risiko-Einstufung pro Identität

Damit die ermittelten Werte ins Verhältnis gesetzt und von den IAM-Prozessen "verwertet" werden können, benötigt es eine Definition, die festlegt, ab wann eine Identität mit der Risikostufe «High» oder «Low» gekennzeichnet wird. Die Einstufung hilft, die relevanten Identitäten und deren Zugriffe im Blick zu behalten. Reports halten Veränderungen in dieser Identitätsmenge transparent und unterstützen adäquate und zeitnahe Reaktionen.

Risiko-Index bewerten und Massnahmen ableiten

Ist die Identitätsmenge evaluiert, dann können die System-Zugriffe dieser Identitäten genauer analysiert werden. Hat nur eine Identität mehrere kritische Systemberechtigungen zugewiesen, kann das ein Indikator sein eine Massnahme einzuleiten. Sind diese Systemberechtigungen kritischen Geschäftsprozessen zugewiesen, die Einfluss auf das Kerngeschäft eines Unternehmens haben, stellt das ein erhöhtes Risiko dar und benötigt Handlungsbedarf. Eine mögliche Massnahme wäre, eine Vertretung dieser Identität mit deren Aufgaben vertraut zu machen. Eine weitere Massnahme könnte sein, das hoch risikobehaftete Systemberechtigungen nur in Verwendung mit einem administrativen Account verwendet werden können, bei dem erhöhte Sicherheitsanforderungen notwendig sind (z.B. 2 Faktor Authentifizierung, stärkeres Passwort, Audit-Log).
Ein weiteres Instrument, um diese Risiken transparent zu halten, ist die Rezertifizierung (zeit- oder eventgesteuerte regelmässige Prüfungen von Berechtigungszuweisungen) von privilegierten Systemberechtigungen. Durchläuft eine Identität einen Abteilungs- und Funktionswechsel, können unter Umständen noch Zugriffe bestehen, die nicht mehr benötigt werden. Diese Situation stellt ebenfalls ein Risiko für das Unternehmen dar und könnte zudem die Werte des Risiko-Index verfälschen.
Rezertifizierungsprozesse sind aufwendig für die Genehmiger, aber die Ausrichtung der Rezertifizierung auf die kritischen Berechtigungszuweisungen und dafür eine häufigere Durchführung derselben führt zu höherer Sicherheit bei reduzierten administrativen Aufwänden. Die Kritikalität in solchen Prozessen zu berücksichtigen, führt zu einer höheren Effizienz und Effektivität.

Compliance-Prozess

Jedes Unternehmen, das sich mit dem Thema Compliance auseinandersetzt und regulatorische Anforderungen in diesem Bereich erfüllen muss, benötigt einen Prozess, der den Ablauf bestimmt. Die einzelnen Bestandteile zeigen einen roten Faden auf, von der Festlegung von privilegierten Zugriffen bis hin zu den abgeleiteten Massnahmen.

Die Qualität einer Risko-Analyse auf dieser Basis steht und fällt natürlich mit den hinterlegten Daten und setzt initial einen gewissen Aufwand voraus. Dafür benötigt es nicht nur Systemkenntnis, welche Systemberechtigungen vorliegen, sondern auch wie diese im Business-Kontext zusammenhängen. So kann ein IAM-Prozess gestaltet und in Workflows abgebildet werden, welcher die Aufmerksamkeit auf die kritischen Berechtigungen und ein wirkungsvolles Instrument für die Compliance schafft.

Sprechen Sie uns an!

Als Business Partner bietet die IPG-Gruppe IAM-Leistungen aus einer Hand und stellt jederzeit eine Sicht aufs Ganze sicher. Wir begleiten Sie bei Ihrem Identity & Access Management Projekt von der ersten Planung, über die Implementierung bis zum Betrieb.

Wissen

Standortoptimierung als Teil des Supply Chain Managements

Das Supply Chain Management umfasst viele einzelne Aspekte der strategischen und operativen Arbeitsweise von Unternehmen. Einen möglichen Ansatz stellt die Standortoptimierung dar, die dieser Blogartikel vorstellt.

Titelbild zum Expertenbericht IAM Legacy
Blog 13.12.21

IAM Legacy - Ist mein IAM noch zukunftsfähig?

Sollten Sie sich diese Frage stellen, hilft dieser Fachbericht mit Überlegungen und Denkanstössen zu entscheiden, ob ihre IAM Lösung eine Verjüngungskur benötigt oder ob ein Ersatz ebenfalls eine diskutierbare Möglichkeit darstellt.

Bild zum Expertenbericht Customer IAM
Blog 30.06.21

Customer IAM - die praktische Einordnung ins IAM

Wie sieht das CIAM von der konkret, praktischen Seiten aus? Was ist dabei zu berücksichtigen und vor welche Herausforderungen steht man dabei? Wir beleuchten das Thema basierend auf konkreten Erfahrungen.

Übersicht

IAM Implementierung

Erfolgreiche IAM-Implementierung mit IPG: Sicher, effizient und maßgeschneidert für Ihre Anforderungen

Titelbild zum Expertenbericht IAM im Spital - Gesundheitswesen
Blog 23.06.20

Brauchen wir ein "Patient-IAM"?

Die Dynamik einer Pandemie kollidiert mit der Schwerfälligkeit der Institutionen bei der Einführung Elektronischer Patientenakten.

Customer IAM Azure
Blog

Customer IAM mit Azure

Das Customer IAM von Azure ermöglicht die Verwaltung von Identitätsinformationen und die Zugriffsteuerung für verschiedene Kunden-Identitäten.

Bild zum Blogbeitrag 20 Jahre IPG - IAM Experte im Wandel der Zeit
Blog 27.10.21

IAM im Wandel der Zeit.

Die IPG Group feiert 20 Jahre Firmenbestehen. Als Pionier für Identity & Access Management haben wir den Wandel des IAM nicht nur miterlebt, sondern aktiv mitgestaltet. Das Thema «IAM» mag wohl oberflächlich nicht geändert haben, inhaltlich hat sich aber viel gewandelt.

Teaserbild Expertenbericht IAMcloud Journey von IPG
Blog 30.03.23

Der Weg in die Cloud: Optimierung Ihres IAM

Identity Management aus der Wolke - vom On-Prem IAM zum «Cloud IAM». Erfahren Sie, welche Best Practices für eine erfolgreiche Migration angewendet werden sollten und welche Herausforderungen es zu meistern gilt.

Übersicht

IAM Schulungen von IPG

Wissen ist der Schlüssel zur Sicherheit – mit unseren IAM-Schulungen bleiben Sie immer einen Schritt voraus.

Übersicht

IAM Managed Service

Vereinfachen Sie Ihr IAM-Management mit den Managed Services von IPG. Maximale Sicherheit, Compliance und Effizienz – ohne zusätzlichen Aufwand

die bayerische
Referenz 22.02.24

PAM und IAM für «die Bayerische»

Das Versicherungsunternehmen «die Bayerische» schützt die sensiblen Daten seiner Kunden mit IAM und PAM. Damit werden alle regulatorischen Anforderungen erfüllt sowie die Cybersicherheit unterstützt.

Blogbeitrag, wie Sie One Identity Safeguard und One Identity Manager verkuppeln
Blog 22.12.20

Administrationstiefe von IAM-Systemen

In unseren IAM-Projekten haben wir regelmäßig mit Prüferinnen und Prüfern der internen Revision zu tun. Insbesondere während der ersten Projektschritte ereilen uns immer wieder die Fragen: Woran erkenne ich denn jetzt im IAM-System, ob Herr Meier auf das Share XYZ Zugriff hat? Was sind aktuell seine wirksamen Berechtigungen?

Blog 14.03.25

Die Bedeutung des Anforderungsmanagements im IAM

Ein effektives Anforderungsmanagement ist entscheidend für den Erfolg von IAM-Projekten. Entdecken Sie in unserem Blog, wie es klare Ziele setzt, Missverständnisse vermeidet und Compliance sichert.

GARANCY ist ein IAM Produkt mit vielfältigen Möglichkeiten
Blog 09.09.20

GARANCY – vielfältigen IAM-Möglichkeiten

Die GARANCY IAM Suite stellt eine dynamische Lösung zur Verfügung, um Datendiebstählen vorzubeugen.

Titelbild zum Expertenbericht Securitity - Remote arbeiten im Homeoffice
Blog 01.06.20

Corona Lessons Learnt für IAM?

Für die «virtuelle Weiterführung» von IAM Projekten war die IPG in den meisten Fällen in der Lage remote weiterzuarbeiten. Das sind unsere Learnings aus dieser Zeit.

Titelbild zum Expertenbericht IAM im Spital - Gesundheitswesen
Blog 08.03.21

Wieviel IAM braucht ein Krankenhaus?

Das Patientendatenschutzgesetzes vom Oktober 2020 verpflichtet faktisch alle Krankenhäuser, auch saubere Identity- und Accessmanagement Prozesse zu etablieren. Mehr dazu im Blog.

Titelbild zum Expertenbericht IAM Schliesssysteme
Blog 15.12.21

Zutrittsberechtigungen zu Gebäuden über IAM verwalten

Was haben Zutrittsberechtigungen zu Gebäuden und Räumen mit Identity & Access Management (IAM) zu tun? Prozesse für das Management von physischen Zutritten gehören zu einem ganzheitlichen IAM.

Titelbild zum Expertenbericht IAM im Spital - Gesundheitswesen
Blog 15.02.21

IAM und moderne Apps im Spital

Mithilfe eines IAMs in Kombination mit einer KIS App werden Behandlungsprozesse verbessert, der Zugriff auf Patientendaten erfolgt schnell und sicher.

Teaserbild IAM Prozess Expertenbericht
Blog 12.12.22

IAM-Prozesse – Betrachtungswinkel und Prozesssichtweisen

Die Einführung einer IAM-Lösung verändert Arbeitsabläufe. Die Erhebung und Modellierung der Prozesse sind entscheidend für Verständnis und Akzeptanz. Mehr dazu in unserem Blog!

Teaserbild Expertenbericht IAM zu FINMA Rundschreiben
Blog 23.10.23

IAM für Banken & Finanzinstitute in der Schweiz

Verlieren Sie keine Zeit: ✓Compliance ✓Sicherheit ✓Effizienz ✓Vertrauen! Jetzt handeln und mit der Einführung einer IAM-Software die Anforderungen des FINMA Rundschreiben 2023/1 erfüllen. ✅ Mehr dazu in unserem Blog.

Bleiben Sie mit dem TIMETOACT GROUP Newsletter auf dem Laufenden!