Dringt jemand unberechtigt in die Kommunikation eines Unternehmens ein, kommt diesem oft weit mehr abhanden als die reine Information: Die Kunden verlieren das Vertrauen. Manipuliert gar ein Mitarbeiter des Unternehmens Daten – sei es nun absichtlich oder aus Versehen –, kann für ihre Integrität nicht mehr garantiert werden. Versagt hier die IT, haftet das Management für den Verlust an Integrität, Authentizität, Verfügbarkeit und Vertraulichkeit. Aus diesem Grund verlangen gesetzliche Anforderungen, beispielsweise der Sarbanes-Oxley Act, dass Unternehmen ein durchgängiges Risikomanagement einführen und kontinuierlich überwachen.
Wie aber können sich Unternehmen wirksam vor Angriffen schützen? Wie regeln sie intern den Zugriff auf ihre Daten? Die Risiken von Angriff und Missbrauch lassen sich durch die Verschlüsselung von Daten und Kommunikation in Verbindung mit einer gut durchdachten Strategie für das Identity- und Access-Management reduzieren. Werden Rollen- und Berechtigungskonzepte, Authentisierung und Single Sign-On sowie die Verschlüsselung von digitalen Dokumenten plus digitale Signatur miteinander kombiniert, bilden sie ein erfolgreiches Trio für die Unternehmenssicherheit.
Jeder Mitarbeiter spielt eine Rolle
Ein Einkäufer muss aktuelle Lagerbestände abfragen, Liefertermine und Bestellungen einsehen sowie Preise kalkulieren. Einem Mitarbeiter im Abhollager hingegen reicht es, Kundendaten nur einzusehen und den jeweiligen Auftrag zu erfassen. Einem Buchhalter wiederum sind andere Daten und Informationen zugänglich als etwa einem Mitarbeiter aus dem Bereich Logistik. Entsprechend wichtig ist es für Unternehmen, über ein Konzept zu verfügen, in dem für jeden Mitarbeiter genau die Rolle und die Berechtigungen ermittelt werden, die seiner Funktion und seinen Aufgaben entsprechen (Segregation of Duties). Auch die Art des Zugriffs lässt sich frei definieren. Die Bandbreite an Rechten reicht dabei vom reinen Lesen bis hin zum Anlegen, Verändern oder Löschen von Daten und Inhalten. Auf diese Weise lassen sich Benutzerrollen und -rechte entsprechend einer unternehmensweiten Security Policy einführen und umsetzen – der erste Schritt zur Unternehmenssicherheit ist getan.
Verwaltungsaufwand reduzieren
Nicht zu unterschätzen ist auch die wechselseitige Abhängigkeit von IT und Geschäftsprozessen: Denn Veränderungen im Geschäftsprozess wirken sich immer auf die IT aus und umgekehrt. Das ist beispielsweise bei der Übernahme eines Unternehmens der Fall. Sämtliche neuen Benutzerprofile und -rechte manuell einzupflegen, wäre viel zu aufwändig. Sind bei der Übernahme Mitarbeiterinformationen etwa im Personalwesen, in Meta-Verzeichnissen, in Lösungen für die Kundenverwaltung oder Verzeichnisdiensten betroffen, lässt sich das im Idealfall auch mit einer Lösung zum Identity Management nachvollziehen.
Natürlich müssen auch im laufenden Betrieb die Benutzerdaten regelmäßig gepflegt werden – etwa wenn ein Mitarbeiter die Abteilung verlässt oder sich Zuständigkeitsbereiche ändern. Diese alltägliche Aufgaben erleichtert das Identity-Management-System ebenfalls. Da es an die Mitarbeiterinformationen im Personalwesen, den Meta-Verzeichnissen und Verzeichnisdiensten angebunden ist, lösen Änderungen dort automatisch auch Veränderungen im Hinblick auf die Zugriffsberechtigungen aus. Im Vergleich zur manuellen Verwaltung von Benutzerrechten, Zugangsdaten und Passwörtern ist der Aufwand spürbar geringer. Die Option, Benutzerrechte manuell zu erstellen und zu verändern, bleibt für Security Manager, Business Manager, Auditoren und Mitarbeiter des Helpdesks jedoch bestehen. Dies bietet sich beispielsweise an, wenn im Rahmen eines zeitlich begrenzten Projekts Arbeitsgruppen mit speziellen Zugriffsberechtigungen gebildet werden.
Zwei Faktoren für Sicherheit
Der zweite Bestandteil des Sicherheits-Trios ist die so genannte starke Authentisierung, die sich mit zahlreichen Identity-Management-Systemen in Verbindung mit einem Single Sign-On umsetzen lässt. Zum einen ist die Anmeldung mit Smartcard oder Security Token plus PIN-Nummer sicherer als das herkömmliche Verfahren mit Benutzername und Passwort, denn im Gegensatz zum schlichten Passwort sind Smartcard oder Sicherheitsschlüssel, weitgehend fälschungssicher. Zum anderen bietet diese so genannte Zwei-Faktoren-Authentisierung dem Anwender ein Mehr an Komfort, denn er muss sich nur noch ein einziges Mal authentisieren.
Über ein digitales Zertifikat und den zugehörigen privaten Schlüssel wird der Benutzer automatisch an allen SAP-Applikationen angemeldet – ohne weitere Authentisierungsdaten eingeben zu müssen. Sowohl die Hardware als auch das dazugehörige Betriebssystem auf dem Security Token sind speziell gehärtet. Für einen Unbefugten ist es daher unmöglich, den privaten Schlüssel oder Teile davon aus dem Token auszulesen.
Digitale Signaturen – keine Chance für Manipulation
Neben einem Rollenkonzept und der Authentisierung ist es zudem sinnvoll, die Daten und Dokumente selbst zu sichern. Dazu dienen Verschlüsselung und digitale Signatur – damit ist das Sicherheitspaket komplett. Die Verschlüsselung verhindert unberechtigte Zugriffe auf Daten – innerhalb des Unternehmens oder über Unternehmensgrenzen hinweg –, die digitale Signatur schützt das Dokument zugleich zuverlässig vor Manipulationen, und auch die Identität des Absenders ist stets nachvollziehbar.
Die digitale Signatur verbessert außerdem die Arbeitsabläufe. Akten, Rechnungen, Urlaubsanträge und ähnliche Dokumente, die eine rechtsgültige Unterschrift benötigen, werden in vielen Abteilungen noch immer in Papierform weitergereicht. Liegen Unterlagen aber teils in elektronischer, teils in Papierform vor, entstehen Medienbrüche. Die lassen sich jedoch mit der rechtsverbindlichen digitalen Unterschrift vermeiden. Gleichzeitig verringern sich dadurch Zeit- und Arbeitsaufwand, denn die Papiere müssen nicht mehr manuell durch die Abteilungen geschickt werden. Stattdessen greifen alle Beteiligten elektronisch auf das Dokument zu.
Daten und Informationen gelten inzwischen zu Recht als Vermögenswert der Unternehmen. Ihr Schutz ist damit eine zentrale Voraussetzung für erfolgreiches wirtschaftliches Handeln und wird nicht zuletzt aufgrund gesetzlicher Anforderungen immer wichtiger. Identity Management ist damit ein zentrales Thema der IT-Sicherheit, das von Analysten und Experten, wie etwa dem Beratungsunternehmen Gartner, als eines der wichtigsten IT-Themen der kommenden Jahre bewertet wird.
