Horizontale Linie

IAM – Identity & Access Management

Wir helfen, das optimale IAM zu gestalten.

Horizontale Linie

Unsere Leistungen

  • Wir zeigen Wege auf, dass Identity & Access Management in bestehende Prozesse zu integrieren.
  • Wir helfen, die Balance zwischen Sicherheitszielen und Handhabbarkeit bei der Modellierung von Rollen und Berechtigungen zu finden.
  • Wir konzipieren Governance-Modelle so, dass IAM-Prozesse und IAM-Rollen effektiv und effizient sind, von allen Beteiligten verstanden werden und sich in das Unternehmen einfach integrieren lassen.
  • Wir analysieren die vorhandene Anwendungslandschaft und erstellen Pläne zu deren Integration in ein IAM.
  • Wir beraten bei der Einführung und Implementierung von IAM-Tools.
  • Wir unterstützen bei der Konzeption und Durchführung von Kontrollprozessen (IKS) und bei der Verzahnung mit dem Security Information & Event Management (IAM).
  • Wir helfen, kritische Berechtigungen zu definieren, zu identifizieren und zu überwachen.

Unsere Philosophie

Die Verwaltung und Steuerung von Zugriffsberechtigungen wird als Identity & Access Management (IAM) bezeichnet. IAM ist ein sehr wirksames aber auch ein sehr komplexes Instrument zur Steuerung der Informationssicherheit. Die Rechte von Mitarbeitern spiegeln sich durch viele Benutzerkonten sowohl auf der Geschäftsprozessebene als auch auf der Anwendungs- und Betriebssystemebene wider. Zur Vergabe und auch zum Entzug von Rechten bedarf es passender und auf das Umfeld abgestimmter Prozesse mit klar zugewiesenen Verantwortlichkeiten.

Rollen fassen Benutzerkonten zusammen und erlauben es, das Berechtigungsmanagement zu vereinfachen. Im Idealfall spiegeln sie die Geschäftsprozesse und Funktionstrennungen genau wider. Gleichzeitig besteht immer die Gefahr, dass das Rollenmodell zu komplex und nicht mehr handhabbar wird.

In Deutschland verlangen die Mindestanforderungen an das Risikomanagement (MaRisk) einen hohen Reifegrad vom Identity & Access Management bei Banken und Finanzdienstleistungsunternehmen. Berechtigungen und Rollen können und dürfen nicht isoliert an IT-Anwendungen festgemacht werden, sondern müssen einen klaren Bezug zur internen Aufbau- und Ablauforganisation haben. Die Einhaltung des Need to know-Prinzips ist dabei ebenso wichtig wie die Identifizierung unzulässiger Kombinationen von Rollenzuordnungen. Die Überwachung kritischer Berechtigungen kann beispielsweise durch SIEM-Systeme erfolgen.