Autor: Firma Imprivata OGiTiX

Im Fokus durch die BSI-Kritisverordnung: Identity & Access Management

Im Fokus durch die BSI-Kritisverordnung: Identity & Access Management

Die fortgeschrittene Durchdringung unserer Infrastrukturen durch digitale Prozesse macht sie effektiver, da besteht kein Zweifel. Sie setzt Unternehmen und Institutionen aber auch unter Druck, digitale Identitäten sicher und gut zu verwalten. Denn die Digitalisierung bedeutet auch, dass keine physische Gewalt mehr nötig ist, um größeren Schaden anzurichten, es genügt ein intelligenter Programmierer und kriminelle Energie. Das Bundesministerium für Inneres hat dieses Gefahrenpotential bereits vor geraumer Zeit erkannt und am 14. August 2009 die mittlerweile mehrfach aktualisierte BSI-Kritisverordnung für kritische, sprich lebenswichtige, Infrastrukturen veröffentlicht.

Relevant für mein Unternehmen?

KRITIS-relevante Bereiche sind vor allem Bereiche des täglichen Lebens die essenziell sind und meist erst geschätzt werden, wenn sie einmal ausfallen. Einen Stromausfall für ein paar Minuten oder auch Stunden kennt jeder, aber stellen Sie sich den einmal im Winter vor, über mehrere Tage. Die zu solchen Szenarien dazugehörigen Infrastrukturen sind sogenannte kritische Infrastrukturen in den Bereichen:

» Energie
» Gesundheit
» Informationstechnik und Telekommunikation
» Transport und Verkehr
» Medien und Kultur
» Wasser
» Finanz- und Versicherungswesen
» Ernährung

Betreiber solcher kritischen Infrastrukturen (KRITIS) müssen gemäß §8a BSIG nachweisen, dass ihre IT-Sicherheit „auf dem Stand der Technik ist“. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nimmt Betreiber in die Pflicht, die Informationstechnik dieser kritischen Infrastrukturen bestmöglich abzusichern. Dazu kann Identity- & Access Management einen guten Teil beitragen und der KRITIS-IT-Schutzbedarf kann vom herkömmlichen IT-Schutzbedarf abweichen. Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit müssen bei der Ermittlung des Schutzbedarfs betrachtet werden, um die gesetzlichen Anforderungen zu erfüllen.

Mehr Sicherheit und Qualität!

Die BSI-Kritisverordnung definiert Bedrohungskategorien zur Orientierung und fordert nicht ohne Grund explizit ein Identity & Access Management:

» Missbrauch Innentäter
» Menschliche Fehlhandlungen, menschliches Versagen
» Sicherer Authentisierung
» Identitäts- und Rechtemanagement
» Rollentrennung / Funktionstrennung

Die Umsetzungsempfehlungen zu diesen Anforderungen variieren branchenspezifisch. Je nach gemeinsamem Nenner einer Branche kann die Ausgestaltung auf sehr unterschiedlichen Abstraktionsgraden erfolgen. Teilweise können konkrete Maßnahmen definiert werden, teilweise können nur Sicherheitsanforderungen oder Vorgehensweisen benannt werden.

Gemeint ist die Nachweisbarkeit der getroffenen Maßnahmen. Die Umsetzung der angemessenen und wirksamen Maßnahmen kann gemäß § 8a (3) BSIG durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen.

Die allgemeingültigen, branchen-unabhängigen Maßnahmen sind:

» Auditierbarkeit der aktuellen Rechtevergabe
» Zyklische Re-Zertifizierung der vergebenen Rechte
» Sichere Vergabe und zeitliche Begrenzung von Administrationsrechten
» Rollentrennung (SoD)
» Risikomanagement (MARisk)

Der Lückenschluss durch Identity & Access Management

Bedrohungskategorien und Handlungsfelder lassen sich in direkte Maßnahmen im User- und Rechte-Management übersetzen. Vorhandene Sicherheitslücken können dadurch geschlossen, oder die Angriffsflächen zumindest verkleinert werden. Erfolgreiches und konformes Umsetzen der regulatorischen Anforderungen bringt neben gewonnener Sicherheit, beispielsweise jederzeit auditierbare digitale Identitäten, und wirtschaftliche Vorteile. Das wird erreicht durch die Standardisierung von Abläufen, die Qualität der Informationen, die kommuniziert werden, und die enorme Beschleunigung der Abläufe. Im Einzelnen wie folgt:

» Durchgängige Prozesse im Berechtigungsmanagement
» Systemübergreifende Datenbank für Benutzerkonten und Zugriffsrechte
» Automatisiert erstellte, tagesaktuelle Auswertungen
» Automatische, zeitgesteuerte Re-Zertifizierungsprozesse
» zeitbeschränkte, privilegierte Benutzerkonten
» Automatisierte Prozesse im Berechtigungsmanagement
» Softwareseitige Abbildung und Prüfung der SoD-Matrix
» Automation der Benutzerkonten- & Rechte-Administration
» Blockabwesenheit inkl. Reporting

Unser KRITIS-Fazit

Für Unternehmen, die von der BSI-Kritisverordnung als kritische Infrastruktur eingestuft wurden, wird künftig die strategische Planung der Informationssicherheit als Teil ihrer IT-Strategie immer wichtiger werden. Diese Tatsache rückt verhältnismäßig gering verbreitete Lösungen für das Identity & Access Management – zumindest in Europa, in den USA ist man da gewohnheitsmäßig bereits etwas weiter – als wichtige Maßnahme in den Vordergrund. Dieser Umstand mag, je nachdem wie weit ein Unternehmen mit der Implementierung eines automatischen User- und Rechte-Managements fortgeschritten ist, als große Aufgabe angesehen werden.

Wenn man jedoch erst einmal die Einstiegshürden genommen und die Möglichkeiten erkannt hat, wird die Digitalisierung der Identity & Access Management-Prozesse nahezu zum Selbstläufer. Denn die Vorteile liegen so offensichtlich auf der Hand: Digitalisierte Prozesse führen zu erhöhter Produktivität und Mitarbeiterzufriedenheit und sorgen zudem für eine erhebliche Entlastung in der IT-Administration. Durch lückenlose Nachvollziehbarkeit und Reports auf Knopfdruck kommt bei Audits zudem niemand mehr ins Schwitzen. In Summe weist damit die IAM-Lösung einen schnellen und positiven Business Case auf, immer vorausgesetzt, die eingesetzte Software ist eine modulare und agile IAM-Plattform, die einen schlanken Einstieg ermöglicht, um dann schrittweise ausgebaut werden zu können, bis das Zielbild des IAM-Projektes erreicht ist. Diese Voraussetzung erfüllen allerdings nicht alle IAM-Lösungen.

Bei der Auswahl einer IAM-Lösung sollte man auf folgende Faktoren achten:

  • Modulare und mitwachsende Software
    • Schnelle Umsetzung von Quick-wins
    • Agiler Ausbau der Lösung zum Zielbild
  • Prozessorientierung der Software
    • Durchgängige Prozessorientierung (Automation & Workflow)
    • Idealerweise Modellierung und Automation in einem Designer
  • Offene Architektur der IAM-Software
    • Automation beliebiger kundenspezifischer Prozesse
    • Integration beliebiger kundenspezifischer Anwendungen
  • Anpassungen und Ausbau in Eigenregie
    • Unabhängigkeit vom Anbieter für Weiterentwicklungen
    • Schnelle Release-Zyklen und passgenauere Lösungen
  • Usability führt zu Mitarbeiterakzeptanz
    • Geführtes Arbeiten statt komplexe Arbeitsmasken
    • Punktgenaue Informationen pro Aufgabe/Entscheidung

OGiTiX Software AG  | Identity & Access Management Made in Germany

BUs

(Grafik_SolutionStatements)

Unsere agile Plattform für das Identity- und Access Management mit modularen Lösungen und schneller Umsetzbarkeit.

(KRITIS-Leitfaden)

Die OGiTiX Software AG bietet einen umfangreichen Leitfaden zur BSI-Kritisverordnung

(Link)

https://www.ogitix.de/services/kritis/

Über die Imprivata OGiTiX GmbH

Wir, die OGiTiX Software AG, sind ein auf Identity und Access Management spezialisierter deutscher Software-Hersteller, gegründet im Jahr 2008. OGiTiX unimate ist unsere technische Plattform für das Identity und Access Management. Sie wurde von uns modular entwickelt und kann als Punkt-Lösung starten, z.B. für den Helpdesk-Bereich, und je nach Anforderung und Reifegrad ganzheitlich ausgebaut werden. Die Anbindung des HR-Systems, Rights Management, Cloud-Services und vielem mehr ist jederzeit möglich.

Das macht OGiTiX unimate zu einer IAM-Software mit hoher Benutzerfreundlichkeit und schneller Anpassung an Ihre spezifischen Bedürfnisse. Per Drag-and-Drop konfigurierbare Services bieten die benötigte Agilität bei der Realisierung von IT-Services.

Unsere Lösung ist einfach und schnell, damit Sie einfach schneller am Ziel sind!

www.ogitx.de

Firmenkontakt und Herausgeber der Meldung:

Imprivata OGiTiX GmbH
Hans-Böckler-Str. 12
40764 Langenfeld
Telefon: +49 (2173) 99385-0
Telefax: +49 (2173) 99385-900
http://www.ogitix.de

Ansprechpartner:
Ingo Buck
OGiTiX Software AG
Telefon: +49 (2173) 99385-140
E-Mail: ingo.buck@ogitix.de
Peter Kieser
Marketing
Telefon: +49 (40) 18042932
E-Mail: peter.kieser@ogitix.de
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel

IAM sichert den Umgang mit Usern und Rechten – und der EU-DSGVO

IAM sichert den Umgang mit Usern und Rechten – und der EU-DSGVO

Die letzte und mittlerweile nicht mehr ganz so neue Ausbaustufe der Datenschutzgrundverordnung, versetzte viele Unternehmen in hektische Betriebsamkeit. Viele Neuerungen verpflichten zu Umsetzung im Bereich Datenschutz und -sicherheit. Verantwortliche stellen sich nach wie vor die Frage, an welcher Stelle die EU-DSGVO konkreten Einfluss auf die Verwaltung von Benutzerkonten hat und was es dafür zu tun gibt. Der Nebel hat sich zwar gelichtet aber so richtig überschaubar wird es erst wenn die ersten Präzedenzfälle auftauchen.

Lassen Sie sich von dem öffentlichen Diskurs über die DSGVO nicht beirren. Die nötigen Tools für die Aufgaben die uns die DSGVO stellt, sind im Identity- und Accesss Management (IAM) schon lange vorhanden. Eine prozesskonforme Verwaltung der Zugriffsrechte im Sinne der neuen Verordnung ist mit dem passenden IAM absolut umsetzbar. Langfristig sind Sie damit auf der sicheren Seite. Diese Umsetzung ist jedoch kein Sprint, sondern dauert seine Zeit.

Rechteverwaltung braucht eine ganzheitliche Lösung

Unternehmen und öffentliche Organisationen müssen sicherstellen, dass nur befugte Personen Zugriff auf personenbezogene Daten haben und damit auch nur dieser Personenkreis die entsprechenden Zugriffsrechte besitzt.

Dies lässt sich allein durch organisatorische Maßnahmen oder Insellösungen nicht ausreichend umsetzen. Grund dafür ist die Komplexität, die durch häufige personelle und organisatorische Veränderungen sowie die Anzahl der Systeme und Applikationen entsteht.

Modulares Identity Access Management

Der Erfolg einer IAM-Lösung besteht in ihrer Modularität. Ungeeignet hierfür sind Einzeltools die nur rudimentär miteinander kommunizieren. Am besten geeignet sind IAM-Plattformen, die als Basis für eine ganzheitliche IAM-Lösung gestartet werden und dann sukzessive ausgebaut werden kann. OGiTiX unimate ist beispielsweise so eine Plattform. Das Konzept wurde konsequent nach dem Prinzip der Agilität entwickelt, besticht durch seine Einfachheit, die individuellen Ausbaumöglichkeiten und die schnelle Umsetzbarkeit. Es kann als Punktlösung gestartet werden und lässt sich je nach Anforderung stufenweise zu einer ganzheitlichen und mehrsprachigen Lösung über alle Bereiche eines Unternehmens hinweg ausbauen. Diese Agilität ermöglichen Unternehmen planbare Kosten und in Milestones unterteilbare Digitalisierungs-Strategien, sogenannte Roadmaps. Was im Zusammenhang mit der EU-DSGVO nur positive Auswirkungen hat.

Weitere Informationen unter www.ogitix.de

Über die Imprivata OGiTiX GmbH

Die OGiTiX Software AG ist ein auf Identity und Access Management spezialisierter deutscher Software-Hersteller, gegründet im Jahr 2008. Deren Produkt OGiTiX unimate, ist eine IAM-Software mit hoher Benutzerfreundlichkeit und Anpassungsfähigkeit an spezifische Anforderungen.

Firmenkontakt und Herausgeber der Meldung:

Imprivata OGiTiX GmbH
Hans-Böckler-Str. 12
40764 Langenfeld
Telefon: +49 (2173) 99385-0
Telefax: +49 (2173) 99385-900
http://www.ogitix.de

Ansprechpartner:
Ingo Buck
CEO
Telefon: +49 (2173) 99385-0
E-Mail: ingo.buck@ogitix.de
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel

Wie Identity & Access Management Prozesse digitalisiert

Wie Identity & Access Management Prozesse digitalisiert

Die Kampmann GmbH, Marktführer im Bereich Bodenkanalheizungen, entschied sich im Zuge seiner Digitalisierungs-Strategie dazu, einen Großteil seiner IT-Prozesse zu digitalisieren und damit zu automatisieren. Der Fokus lag dabei zunächst auf Prozessen im Bereich personeller Veränderungen.

Vor dem Einsatz einer IAM-Lösung haben IT-Prozesse meist einige unangenehme Nebenwirkungen: Sie sind fehleranfällig, unsicher, kosten- und zeitintensiv. Das zeigt auch das Beispiel der Kampmann GmbH. Vor der Implementierung von OGiTiX unimate wurden Personalveränderungen und Rechtevergaben manuell mithilfe von E-Mails, Checklisten und Telefonaten koordiniert. Das sorgte nicht nur für enorm zeitintensive Abläufe, sondern auch für Unzufriedenheit bei den Mitarbeitern, falls die Kommunikation nicht wie gewünscht funktionierte.

Ziel war es daher, eine IAM-Software zu implementieren, mit der möglichst einfach und schnell automatisiere Prozesse realisiert werden können. Diese Software sollte zudem wachsenden Anforderungen gerecht werden, und so benutzerfreundlich sein, dass die stufenweise Digitalisierung von Prozessen innerhalb des Unternehmens auf langfristige Sicht in Eigenregie zu realisieren ist.

Erste Projekterfolge und Aussichten

Durch die einfache Handhabung von Services in der OGiTiX unimate konnte Kampmann zunächst den Mitarbeiter-Eintrittsprozess in Eigenregie und ohne vorherige Schulung umsetzen – von zwei in das Thema eingelernten Azubis. In verschiedenen firmen-internen Workshops wurden die Prozesse von der IT- und den Fach-Abteilungen erst definiert und dann umgesetzt. Und der Nutzen war schnell erkennbar: Die zuvor intransparenten und zeitintensiven Vorgänge konnten jetzt direkt und reibungslos von den Antragsstellern selbst in Form eines web-basierten Self-Services abgewickelt werden. Alle Beteiligten wurden dabei stets von der Software auf dem Laufenden gehalten, die Prozesse klar dokumentiert und somit jederzeit nachvollziehbar.

Nach den ersten Erfolgen und einem sehr positiven Feedback der Mitarbeiter hat sich OGiTiX unimate bei Kampmann mittlerweile als Plattform für weitere digitale Prozesse etabliert. Nachdem sich die Automatisierung des Eintrittsprozesses in Deutschland bewährt hat, plant Kampmann, diesen Prozess auch in seinen 16 internationalen Niederlassungen zu implementieren. Zukünftig sollen zusätzlich noch weitere Ausbaustufen wie die Automation des Mitarbeiter-Austrittsprozesses, ein Self-Service zur Verwaltung von Ordnerrechten und AD-Gruppen inklusive des Reportings und ein digitaler Prozess zur Produktmessung und Freigabe realisiert werden.

Weitere Informationen unter www.ogitix.de

Über die Imprivata OGiTiX GmbH

Die OGiTiX Software AG ist ein auf Identity und 
Access Management spezialisierter deutscher Software-Hersteller, gegründet im Jahr 2008. Deren Produkt OGiTiX unimate, ist eine IAM-Software mit hoher Benutzerfreundlichkeit und Anpassungsfähigkeit an spezifische Anforderungen.

Firmenkontakt und Herausgeber der Meldung:

Imprivata OGiTiX GmbH
Hans-Böckler-Str. 12
40764 Langenfeld
Telefon: +49 (2173) 99385-0
Telefax: +49 (2173) 99385-900
http://www.ogitix.de

Ansprechpartner:
Ingo Buck
OGiTiX Software AG
Telefon: +49 (2173) 99385-0
E-Mail: ingo.buck@ogitix.de
Peter Kieser
Marketing
E-Mail: pkieser@betta-splendens.de
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel

Für die oben stehenden Pressemitteilungen, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber verantwortlich. Dieser ist in der Regel auch Urheber der Pressetexte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber.