Wegbereiter Identitätsmanagement
Sicherheit braucht Mitarbeiter, die für das Thema brennen. IT-Teams kommt seit Corona und einer remote arbeitenden Belegschaft eine immer geschäftsentscheidendere Rolle zu. Ganz oben auf deren Investitionsliste sollte eine starkes Identitätsmanagement stehen. Es unterstützt das Risikomanagement und kann Effizienz steigern und Kosten senken. Das sind vor allem dann gewichtige Argumente, wenn IT-Verantwortliche beim CEO und den Geschäftsbereichen für ein cloudbasiertes Identitätsmanagement werben.
Spätestens jetzt, wenn die Mitarbeiter in die Büros zurückkehren, Home Office aber weiterhin eine gern genutzte Option bleibt, brauchen IT-Teams schnell umsetzbare Lösungen für das sichere Arbeiten und Verwalten hybrider Zugriffsmöglichkeiten auf Systeme und Anwendungen durch die Belegschaft.
In der neuen Normalität wird die Flexibilität der Arbeit von entscheidender Bedeutung sein. Das dürfte bei vielen Unternehmen einen Wandel in Gang setzen, der jeden Bereich betrifft und der entsprechend zu orchestrieren ist. Hierbei kommt der IT-Abteilung eine neue, strategische Rolle zu. Entscheidende Argumente dafür sind Key Performance Indicators (KPIs), die sich direkt auf das Geschäftsergebnis auswirken und mit denen sich die IT Gehör bei der Geschäftsleitung verschafft: Kostenreduktion, Effizienzsteigerung, bessere Personalauslastung.
Es ist also an der Zeit, Sicherheit nicht mehr als Innovationshemmnis wahrzunehmen, als das sie 42 Prozent der von IDC befragten Unternehmen noch sehen. IT-Teams können sich hierbei als Wegbereiter für eine starke Sicherheitsarchitektur positionieren – zum Schutz der Unternehmensmarke und zur Stärkung der Kundenbindung.
Sicherheit als Business Enabler
IT-Verantwortlichen fällt es bisweilen schwer, als Wegbereiter von Erneuerungsprozessen wie der digitalen Transformation aufzutreten. Denn aus den notwendigen Reformen und der traditionell ebenfalls wichtigen Aufgabe, alle Risiken zu minimieren, ergibt sich ein Konflikt. In den meisten deutschen Unternehmen muss die IT ihren Wert über den Technologieeinsatz und die Bekämpfung von Bedrohungen hinaus demonstrieren – keine leichte Aufgabe.
Unternehmen agieren heutzutage global. Sie kooperieren mit Firmen auf der ganzen Welt und setzen unterschiedliche Technologien ein, um ihre Produktivität und Effizienz zu steigern. Der Einsatz verschiedener Plattformen und der damit einhergehende Wartungsaufwand bewirken aber oft das Gegenteil. Dazu kommen Gefahren durch das Verhalten der eigenen Mitarbeiter. Obwohl immer mehr Fälle von Datenveruntreuung bekannt werden, legen die meisten Arbeitnehmer in Deutschland ein recht fragwürdiges Sicherheitsverhalten an den Tag. Sich etwa mit identischen Passwörtern auf verschiedenen Plattformen anzumelden, ist eine weit verbreitete Praxis. Auch Phishing-Angriffe sind weiterhin im Unternehmensumfeld erfolgreich. Angesichts solcher Probleme konzentriert sich die IT vorrangig auf die alltäglichen Risiken. Langfristige Optimierungsprojekte im Rahmen der Business Transformation kommen meistens zu kurz.
Aber was können IT-Sicherheitsbeauftragte tun, um nicht immer nur den Mahner zu geben und sich andererseits für Lösungen auszusprechen, die Sicherheit bieten und zugleich die Produktivität des Unternehmens steigern?
Fokus auf Risikomanagement
Eine Möglichkeit besteht darin, sich auf die Bereiche zu konzentrieren, die für das C-Level im Unternehmen von besonderer Relevanz sind. Laut der IDC-Studie gehört dazu das optimierte Risikomanagement: 36 Prozent der befragten Führungskräfte in Deutschland erhoffen sich davon den größten Nutzen. Ein umfassendes Identitäts- und Zugriffsmanagement (IAM) mindert das Unternehmensrisiko, ermöglicht der IT-Abteilung die Kontrolle einer sowohl remote als auch im Office arbeitenden Belegschaft und bietet ihr einen reibungslosen Zugang zu Anwendungen, Systemen und Abläufen. Zugleich kann sich die IT als proaktiver Ratgeber in strategischen Bereichen positionieren.
Die Anwender sollten von den IAM-Abläufen so wenig wie möglich merken. Dafür sorgen verschiedene, in die jeweilige Sicherheitsumgebung integrierte Tools. Ein IAM-Werkzeug besteht aus Schlüsselkomponenten wie Single-Sign-on-Fähigkeiten (SSO), Multi-Faktor-Authentifizierung (MFA), Enterprise Password Manager (EPM) sowie Management-Dashboards. Im Zusammenspiel tragen diese Tools dazu bei, den Schaden, der durch ein mangelndes Sicherheitsbewusstsein der Mitarbeiter entstehen kann, zu begrenzen. Mit einer umfassenden Identitätsplattform steigt die Effizienz und der geschäftliche Nutzen, während sich die Wartung im Idealfall einfacher gestaltet.
Die Komponenten einer sicheren Zugriffsverwaltung
SSO verwaltet Zugriffe über ein Protokoll, das den digitalen Identitäten der Anwender Zugriff auf die Ressourcen bietet, die ihnen von der IT-Administration zugewiesen wurden. Diese Zugriffsrechte lassen sich in Echtzeit erteilen und widerrufen. Damit bestimmen IT-Administratoren granular, wer wann und von wo aus auf welche Anwendungen, Systeme oder Informationen zugreifen darf – etwa nur werktags von 9 bis 18 Uhr und allein über den Internetzugang der eigenen Wohnung. Zugriffe außerhalb der Geschäftszeiten oder voraussichtlich nicht autorisierte Einwahlen aus einem Land, in dem das Unternehmen keine Niederlassung unterhält, werden blockiert.
Eine Multi-Faktor-Authentifizierung erhöht die Möglichkeiten, die tatsächliche Identität des Benutzers zu überprüfen. Die erweiterte Verifizierung basiert zum Beispiel auf dem Senden oder Generieren eines zusätzlichen Authentifizierungscodes, oder sie verwendet Fingerabdrücke beziehungsweise andere biometrische Optionen. Auch Identifizierungsparameter wie Zeit und Ort der Anmeldung lassen sich über das persönliche Smartphone anzeigen. Damit ist eine zusätzliche sekundäre Out-of-Band-Authentifizierung gewährleistet.
Identitätsmanagement für umfassende Sicherheit
Ein robustes IAM-Werkzeug unterstützt die IT-Abteilung dabei, Zugriffsberechtigungen zu kombinieren, zu kontrollieren und zu vereinfachen. Dabei spielt es keine Rolle, ob sich die kritischen Anwendungen und Daten on-premises, in entfernten Rechenzentren oder in der Cloud befinden. Das Provisioning und De-Provisioning kann vollständig automatisiert erfolgen. Das IT-Team kontrolliert nicht nur die Zugriffsrechte der Mitarbeiter, sondern auch die von Lieferanten und Auftragnehmern. Strenge Sicherheitsrichtlinien lassen sich so schneller durchsetzen. Dadurch sinkt das Risiko durch menschliches Versagen.
Laut Berechnungen von IDC spart die IT-Abteilung und damit das Unternehmen durch eine integrierte Lösung jährlich 99 Tage an Wartung und Verwaltung ein. Noch stärker wirkt sich eine schnelle Reaktion auf Sicherheitsvorfälle auf die Kosten aus.
Mit solchen Argumenten finden IT-Verantwortliche beim Vorstand Gehör und sorgen zugleich für ein Plus an Sicherheit. Eine integrierte IT-Sicherheitsumgebung automatisiert zudem sich wiederholende Prozesse. Administratoren erhalten so mehr Zeit für strategische Vorhaben. Dabei bleiben Kostenreduzierung und operative Effizienz von zentraler Bedeutung, um die Auswirkungen auf den Geschäftsbetrieb zu belegen. Aber sie sollten nicht die einzigen Argumente sein.
Management mit Geschäftskennzahlen überzeugen
Durch ein Best-of-Breed-Identity-Management steigern Unternehmen die Effizienz ihres Risikomanagements. Dabei kommt es aber nicht nur auf technische KPIs wie das Volumen der transportierten Daten oder die Anzahl der erkannten Schwachstellen in Systemen an. Schlüsselindikatoren für die Leistung müssen immer einen Bezug zu Geschäftsergebnissen aufweisen. Angaben zu Kostenreduktion, Personalauslastung, Risikominderung und Compliance erzielen auf Vorstandsebene die größte Resonanz:
Kostenreduktion: Die Integration unterschiedlicher Identity-Tools in eine Ende-zu-Ende-Plattform erhöht die Kosteneffizienz und verbessert die Personalauslastung.
Risikominderung: Intuitive Zugriffsprozesse tragen zu einem richtlinienkonformen Verhalten bei und erhöhen so kontinuierlich das Sicherheitsniveau.
Compliance: Der Nachweis der Zugriffe auf Anwendungen und Daten trägt dazu bei, gesetzliche Vorschriften einzuhalten.
Fazit
Sobald Mitarbeiter wieder an den Arbeitsplatz kommen, müssen die Verantwortlichen dafür sorgen, dass ihre IT-Infrastruktur auf das hybride Arbeiten ausgerichtet ist. Es gilt Unterbrechungen im Arbeitsablauf zu begrenzen und die Verfügbarkeit von Anwendungen zu gewährleisten. Dafür braucht es eine flexible, aber auf Sicherheit bedachte IT-Landschaft. Sicherheitsverantwortlichen müssen deshalb ihr Image als Geschäftsverhinderer ablegen. Sie haben es in der Hand, Wandel und Innovationen einzuleiten. Ein weiterer wichtiger Schritt besteht darin, die Mitarbeiter zu schulen, um ihr Risikobewusstsein nachhaltig zu stärken. Die neue Rolle der IT-Teams als Sicherheitsstrategen stärkt ihre Glaubwürdigkeit gegenüber dem Vorstand – sie sollten bei der Planung von neuen, geschäftsentscheidenden Initiativen also bereits im ersten Planungsschritt dabei sein.
Autor: Barry McMahon, Senior Manager für Identitäts- und Zugriffsmanagement bei LastPass bei LogMeIn