6 wichtige Funktionen

Was Lösungen für Identity Governance können

16.10.2015
Von Stefan Köhler und Jutta Neudeck

Regularien und Identity Governance

Gesetzliche Vorgaben, Compliance Regularien und interne Sicherheitsrichtlinien sind die wesentlichen Treiber für Identity Governance. Viele dieser Richtlinien fordern den Nachweis, dass die Personen die richtigen Rechte haben und damit, dass die Identity Management-Prozesse funktionieren.

  • ISO 27001 fordert z.B. dass das Management die Zugriffsrechte in den IT-Systemen in regelmäßigen Abständen überprüfen muss (A.11.2.4. Review of user access rights).

  • MaRISK fordert unter anderem Funktionstrennung (BTO 1.1/2.1, AT 4.3.1 (1)) und Vergabe der korrekten Rechte (AT 7.2 (2)).

  • Das Bundesdatenschutzgesetz (BDSG) fordert, dass nur berechtigte Personen auf personenbezogene Daten zugreifen dürfen und auch nur auf die, die sie für die Ausübung Ihrer Tätigkeiten unbedingt benötigen (§9 BDSG + Anlage 3.).

  • Die "Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)" legt fest, dass ein internes Kontrollsystem aufgebaut werden muss, dass sowohl Zugangs- und Zugriffsberechtigungskontrollen sowie Funktionstrennung umfasst (6. Internes Kontrollsystem (IKS), Rz. 100).

Dieser kleine Ausschnitt von Regularien zeigt bereits, dass ein größeres Unternehmen ohne Identity Governance nicht mehr auskommt.

Fazit und Ausblick

Identity Governance ist in größeren Unternehmen aufgrund von Regularien nicht mehr wegzudenken. Identity Governance kann alleine oder in Kombination mit Identity Administration Lösungen eingesetzt werden.

Auch wenn Identity Administration das ältere Konzept ist und logisch gesehen die Basis von Identity Governance bildet, kann es trotzdem Sinn machen den Bereich Governance als einfacheren Schritt zuerst anzugehen, um Compliance-Anforderungen zu erfüllen und erst in einem späteren Schritt auch Identity Administration / Provisioning für Kosteneinsparung und Erleichterung der Administration einzuführen. Identity Governance ist deshalb einfacher einzuführen als Identity Administration, weil keine IDM-Prozesse abgebildet und auch nicht unbedingt alle Berechtigungen mit betrachtet werden müssen.

Zur Startseite