Basic HTML-Version
CM Controller magazin 3 / 06
KonTVaG:
Im Gegensatz zum Sarbanes-
Oxley-Act gibt es beim deutschen Pen–
dant keine Mindestanforderungen, es
werden lediglich erweiterte Pflichten der
Unternehmensleitungen bzgl. des Risiko–
management s und der Risikosteuerung
definiert. Demzufolge leiten sich auch
hier Maßnahmen zur Absicherung der IT
Infrastruktur hinsichtl ich Audits und
Nachweispflichten über Berechtigungs-
stmkturen ab.
Basel II:
Aus den Eigenkapitalrichtlinien
leiten sich für die IT im Wesentlichen zwei
Fordemngen ab:
X
ein aussagekräft:iges und jederzeit
aktuelles FTAsset- und Lizenzmanage–
men t als Beitrag zum Bes tands –
management des Unternehmens;
X
ein gee i gne t e s Benutzer-Manage–
ment , welches insbesondere die Ge–
fahren durch „Unangemessenhei t"
ode r „Versagen v on Pr o z e s s en ,
Menschen und Maschinen" reduziert.
Branchenspezifische Richtlinien
Das
Kreditwesengesetz definiert im
Bankenbereich Anforderungen
fiir die
Auslagerung von Aufgaben an Dienst–
leister Dabei wird zwar erlaubt, die tech–
nische Durchfijhrung auszulagern, die
Verantwortung für die Durchfijhrung liegt
jedoch immer beim betreffenden Auft:rag-
geber Eine Möglichkeit zur Überwachung
und Nachverfolgung der Tätigkeiten ei–
nes Dienstleisters ist also notwendig.
Im
Pharmabereich
gibt es schon seit vie–
len jähren die
Anforderungen der Food &
Drug Association, FDA
(insbesondere
Chapter
21
Part
11
). Hier werden sehr de–
tailliert Nachweispflichten über Prozesse,
zugehörige Systeme und der damit ver–
bundenen Berechtigungen gefordert, ohne
die ein Medikament nicht fiir den amerika–
nischen Markt zugelassen werden kann.
Die
beiden genannten Branchen stehen
nur stellvertretend fiir sicherlich weitere,
in denen bereits ähnliche Richtlinien de–
finiert sind oder derzeit in der Planung
stehen.
Welche speziellen Anforderungen
leiten sich daraus ab?
Aus den regulatorischen Best immungen
leiten sich einige Anforderungen an eine
Benutzer-Management-Lösung ab.
Vermeiden unnötiger Berechtigungs–
vergabe:
Durch e inen webbas i er t en
Employee Seif Service
für
die Beantra–
gung und Freigabe wird den Antragstel–
lern ein
Formular zur Verfügung ge–
stellt, welches nur die Berechtigungen
beinhaltet,
die der entsprechende Mitar–
beiter aufgrund seiner Stellenbeschrei–
bung theoretisch benöt igen könnte. Für
die
Mitarbeiter, die eine Freigabe ertei–
len müssen,
stehen Informationen über
den Ist-Stand der Berechtigungen eines
Mitarbeiters zur Verfügung, um auf einfa–
che Art eine Entscheidung treffen zu kön–
nen. Anträge wie „Ich hätte gerne die
selben Rechte wie Kollege A" oder die
Hey-joe-Administration wie „Gib mir doch
mal bitte schnell die Berechtigung Y", die
zu unnötigen oder unzulässigen Berech–
tigungen fiJhren, werden bereits im Vor–
feld vermieden.
Sicherstellen eines Freigabeprozesses:
Durch die Einfijhrung von Genehmigungs-
workflows wird sichergestellt, dass die
Freigabe von Berechtigungen auch wirk–
lich durch dazu autorisierte Mitarbeiter
oder Mitarbeitergruppen erfolgt. Die Kor–
rektheit des Prozesses der Berechtigungs–
vergabe wird somi t sichergestellt.
Vermeiden von fehlerhafter Administra–
tion:
Durch die Automation des Vorgan–
ges der Rechtevergabe werden manuel le
Tätigkeiten vermieden und damit die Feh–
lerquote, die auch aus der immer größer
werdenden Anzahl und Komplexität der
eingesetzten IT Sys teme resultiert, ver–
mieden.
Nachweis der Berechtigungsvergabe:
Durch eine geeignete Lösung kann jeder–
zeit festgestellt werden, welchem Mitar–
beiter zu welchem Zeitpunkt (von - bis)
welche Berechtigungen zugeordnet wa–
ren. Eine optimale Lösung erteik darüber
hinaus auch Auskunft darüber, warum und
durch wen eine Berechtigung vergeben
wurde. Mit dem Einsatz eines herkömmli–
chen Verzeichnisdienstes kann diese An–
forderung nicht erftjlk werden, da ein sol–
cher keine historischen Daten hält.
Vermeidung von Sicherheitslücken:
Eine Benutzer-Management-Lösung stellt
auch Mechani smen bereit, we l che dafiir
Sorge tragen, dass alle Zugänge und Be–
rechtigungen automat isch gesperrt wer–
den, wenn ein Mitarbeiter das Unterneh–
men verlässt oder in einen anderen Un–
temehmensbereich wechselt. Nur so wird
eine unbefijgte Nutzung von Berechti–
gungen vermieden.
Der praktische Ansatz: Anwendungs–
lösung für automatische Identifika–
tion, Berechtigungszuweisung, Kon–
trolle und Dokumentation
Als langjähriger
Spezialist für die Auto–
matisierung des IT-Service Manage–
ments hat Völcker Informatik AG, Ber–
lin in Zusammenarbeit mit der Gärtner
Group
die Kontrollmechanismen seiner
Automat i s iemngs lösung ActiveEntry in
Bezug auf Regul i erungskonformi tät
(„Regulatory Compliance") spezifiziert.
Mit demEinsatz des Moduls Identity Ma–
nagement und User Provisioning in Ver–
bindung mit dem Employee Seif Service
und seinen Genehmigungsregeln kann je–
derzeit nachvollziehbar und nachprüflsar
sichergestellt werden, welcher Mitarbei–
ter, zu welchem Zeitpunkt, welche Berech–
tigungen, in welchem System besessen
hat sowie wer diese Berechtigung wann
und warum bestellt und vergeben hat.
Sicherheit der Berechtigungsvergabe:
Die äußerst flexiblen Genehmigungs–
regeln des Employee Seif Service sorgen
dabeifiJrdie notwendige Sicherheit, das s
auch jede Entscheidung über eine Be–
rechtigung immer von den richtigen
Mit–
arbeitern getroffen wird. Über Ausschluss–
regeln kann dabei ein Ausschluss der
gleichzei t igen Verfügbarkeit von sich
ausschl ießenden Berechtigungen in ei–
nem System sichergestellt werden.
Sicherheit gegen unerlaubte Berech–
tigungsvergabe:
Der Abgleich der Be–
rechtigungen von ActiveEntry und den
ang e s ch l o s s enen Zi e l sys t emen stellt
sicher, das s auch „unedaubte Berechti–
gungsvergabe" in einem Zielsystem
auf–
gedeckt und rückgängig gemacht wird.
Ebenso wi cht i g ist di e Mögl ichkei t ,
Ausschlusskriterien fiir Berechtigungen
zu definieren. Ein Beispiel könnte die Be–
rechtigung im ERP-System sein. Mitar–
beiter A besitzt die Berechtigungen, Kre–
ditoren anzulegen. Demzufolge sollte eine
Richtlinie existieren, das s Mitarbeiter A
keine Rechnungen eingeben darf. Diese
Richtlinie kann mit ActiveEntry imple–
mentiert werden.
Archivierung und Reporting:
Alle Infor
ma t i o n e n und Ve rände rungen v on
Benutzerkonten und ihren Berechtigun–
gen werden in einer History Datenbank
abgelegt. Diese History Datenbank kann
als Archiv und als Basis eines Sicher-
heitsreportings
eingesetzt
werden.
•
2 6 5