Compliance und Identity Management

30.10.2006

Compliance Richtlinien sind sicher ein wichtiger Treiber für IAM-Projekte. Dennoch ist vielen nicht ganz klar, welche Gesetze letztenendes Auswirkungen im Bereich IAM nach sich ziehen. Nahezu alle Gesetze, die in Zusammenhang mit dem Begriff Compliance genannt werden richten sich nicht ausdrücklich an die IT. Gesetze wie der Sarbanes Oxley Act (SOX), Basel II, KontraG, das Bundes Datenschutz Gesetz (BDSG) und weitere bilden einen relativ strikten Rahmen für Unternehmen. Beim SOX geht es beispielsweise hauptsächlich um widerspruchsfreie, wahrheitsgetreue und aktuelle Finanzberichte. Es richtet sich also an den CFO eines Unternehmens. Trotzdem kann ein Finanzbericht, wie er von SOX gefordert wird, nur erstellt werden, wenn alle Aktivitäten, die in Zusammenhang mit dem Finanzbericht stehen, nachvollziehbar und prüfbar sind. Genau an dieser Stelle ist die IT eines Unternehmens in besonderer Weise gefordert. Sämtliche Buchungen und Abrechnungen werden von EDV Systemen erfasst und verwaltet. Nur ein durchdachtes IAM kann diesen Anforderungen gerecht werden. Schaut man sich die ganzen Gesetze in Summe an, so sind die Konsequenzen für die IT häufig ähnlich.

Sie fordern unter anderem

  • transparente Berichte, die nachvollziehbar, aktuell und widerspruchsfrei sind,
  • eine Zugangskontrolle in Form einer Authentifizierung gegenüber den Systemen,
  • das Logging von Aktivitäten und den Schutz vor nachträglicher Änderung der Log-Protokolle,
  • eine Rechteverwaltung für IT-Ressourcen,
  • Sicherheitsstandards bzw. Schutz vor Diebstahl durch Verschlüsselungsalgorithmen,
  • sowie klar definierte Verantwortlichkeiten für Abläufe in Unternehmen.

 

Viele der Forderungen sind in irgendeiner Form bereits in den Unternehmen umgesetzt. Meist handelt es sich um Insellösungen, die nicht in ein Gesamtkonzept integriert sind. Unter diesem Hintergrund sieht das Management von Unternehmen IAM-Projekte zur Sicherstellung von Compliance Richtlinien als reinen Kostenfaktor an. Das IAM konzentriert sich auf eine einheitliche und durchgängige Implementierung. Der Benefit solcher Projekte ist nicht direkt sichtbar aber dennoch vorhanden: Das durchgängig höhere Sicherheitsniveau aufgrund einer einheitlichen IAM-Strategie führt direkt zu einer besseren Risikoeinschätzung, da Prozesse nachvollzogen werden können. Die definierten Verantwortlichkeiten für Prozesse führen zu erhöhter Transparenz und Flexibilität im Unternehmen. Nicht zuletzt kann ein Unternehmen auch schneller auf Veränderungen von Außen reagieren, da flexibel implementierte Prozesse vorhanden sind. Die Installation einer großen IAM-Suite reicht leider nicht aus. Den beschriebenen Benefit kann nur ein durchdachtes und prozessorientiertes IAM liefern.

Zurück zur Übersicht

Ein Kommentar zur “Compliance und Identity Management

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*Pflichtfelder

*