Tipps für intelligenzbasiertes Risikomanagement

* Thomas grosse Osterhues ist Senior Manager Produktmanagement bei Beta Systems Software AG Ein Aspekt, der beim Thema Risikomanagement zusehends in den Fokus der Unternehmen rückt, ist das Management der Zugriffsrechte. Denn jede vergebene Zugangsberechtigung stellt prinzipiell ein potentielles Risiko für die Unternehmen dar. Gleichzeitig nimmt die Zahl von Zugangskonten und -berechtigungen in den Datensystemen der Unternehmen weiterhin rasant zu. Wer im Zuge des Risikomanagements die Zugangsberechtigungen mit berücksichtigt, kann dadurch wesentlich zur Verringerung von lT-Risiken beitragen und damit in der Konsequenz auch die strategischen und operativen Risiken senken. Gleichzeitig spielen auch gesetzliche Anforderungen, wie beispielsweise verschärfte Datenschutzrichtlinien, zusätzlich eine wichtige Rolle. Denn die Steuerung und Nachvollziehbarkeit der Berechtigungsvergabe ist eine Grundforderung verschiedenster Compliance-Regularien. Daher sollten interne Zugriffsberechtigungen so eingerichtet sein, dass jeder Mitarbeiter wirklich nur auf diejenigen Systeme zugreifen kann, die seine Arbeit erfordert. Der Zugriff darf nur den Umfang haben, den der jeweilige Mitarbeiter zur Erledigung seiner Tätigkeit zwingend benötigt. Worauf sollten Unternehmen also bei der Planung, Einführung und Umsetzung eines Access Risk Management Systems achten? Der Berliner Softwarespezialist Beta Systems gibt hierfür als langjähriger Experte im Bereich Identity Access Management & Governance sieben Empfehlungen. 1. Nutzen Sie die Möglichkeiten, die moderne Risikomanagement-Lösungen in Verbindung mit Access Intelligence bieten.  Niemand kann garantieren, dass absolut jedes Access-Risiko durch ein Risikomanagement erfasst wird. Auf Business-lntelligence-Technologien aufbauende Access-Intelligence-Lösungen ermöglichen jedoch den Nachweis, dass «Alles» für die Compliance-Erfüllung «Wichtige» erfasst und dokumentiert wurde. Dabei gibt die Technologie Antworten auf die wesentlichen Fragen der Berechtigungsverwaltung, wie etwa: «Wer hat aktuell welche Berechtigung?» oder «Wie waren dessen Rechte in der Vergangenheit?» Die Software zeigt Unternehmen direkt auf, wo Probleme entstehen könnten und liefert detaillierte Anknüpfungspunkte, was getan werden kann, um Risiken zu reduzieren. Auch lassen sich massgeschneiderte Berichte erstellen, die speziell auf die Anforderungen eines Unternehmens zugeschnitten sind. Dank leistungsfähiger Drill-Down- und Drill-Through-Funktionalität kann eine solche Lösung unmittelbar fundierte Antworten auf Ad-hoc-Fragen geben. Lesen Sie auf der nächsten Seite: Think big, start small 2. Think big, start small! Führen Sie Risikomanagement in einem Stufenmodell ein.   Der Business-Intelligence-Ansatz bietet grosses Potential für weitreichende Analysen. Deshalb sollte die Einführung Schritt für Schritt erfolgen und frühzeitig ein System zum Einsatz kommen, das ausbaufähig ist. Die Technik selbst wird dabei erst ganz zum Schluss implementiert. Wichtig ist es vorab die Frage zu klären, wer die Bewertung der Risiken vornimmt.   In einem ersten Schritt werden die allerwichtigsten Risikopotentiale bewertet. Hier sollten erfahrene Consultants jedes Projekt begleiten und fundierte Vorschläge und Handlungsempfehlungen geben. Um den Aufwand in Grenzen zu halten, empfiehlt sich die Konzentration auf alles «Wichtige», also beispielsweise auf hochrisikobehaftete Applikationen und Systeme. Nicht relevante Fragestellungen oder sehr geringe Risiken sind an dieser Stelle nicht zu berücksichtigen. Auf diese Weise ist eine schnelle Einführung und Implementierung des Risikomanagement-Systems möglich. Später kann man die Risikobewertung schrittweise erweitern. 3. Machen Sie es Ihren Kollegen im Unternehmen so einfach wie möglich, schnell und verlässlich Aussagen zum Risikomanagement treffen zu können - innerhalb ihrer Fachabteilung oder für das Top Management. Von der Einführung eines intelligenzbasierten Risikomanagements sollten vier wesentliche Zielgruppen im Unternehmen profitieren: das Auditing & Controlling, die lT bzw. IT-Security, das Management und die Anwender in den Fachabteilungen.   Für Auditoren sollte die Lösung den Aufwand zur Erfüllung von Audit-Anforderungen wesentlich minimieren. Auch spontane (Nach-)Fragen des Auditors zum Access Management sollten über Drag & Drop sowie Visualisierungsoptionen flexibel, schnell und individuell beantwortet werden können. Für IT-Administratoren oder IT-Security-Verantwortliche müssen umfassende Analysen und Informationen verfügbar sein, um das Risiko aus erteilten Zugriffsberechtigungen bewerten zu können. Dazu eignen sich die Drill-down- und Drill-through-Optionen.  Auch das Management profitiert durch die Einführung von Risikomanagement-Systemen in vielfacher Hinsicht. So steigt die Transparenz in der Berechtigungsvergabe, während gleichzeitig sichergestellt ist, dass sämtliche Veränderungen nachvollziehbar und erklärbar bleiben, um auf diese Weise die Einhaltung der regulatorischen Vorgaben hinsichtlich der IT-Compliance sicherzustellen. Deshalb sollte das Management über Dashboards mit gewichteten Aussagen und durch die Verwendung von Key-Risk-Indikatoren einfach und schnell Anstösse für Follow-up-Aktivitäten erhalten, um Risiken unmittelbar zu minimieren. Auf diese Weise wird das Access-Risiko für das Management messbar und in Zahlen ausgedrückt.   Schliesslich zählen auch die Anwender in den Fachabteilungen zu den Nutzniessern, vorausgesetzt die Wahl fällt auf eine einfach zu bedienende und übersichtliche Access Risk Management Lösung. Ein intuitiv aufgebautes Tool ist hier für die Business User von Vorteil, das über vorgefertigte Reports sowie Analyseoptionen verfügt und optional regelmässige Push-Informationen versenden kann. Lesen Sie auf der nächsten Seite: verzetteln Sie sich nicht 4.  Verzetteln Sie sich nicht in einfachen quantitativen Risikoeinschätzungen, sondern nutzen Sie qualitative, auf Inhalte basierende Bewertungen. Grundsätzlich sollte beim Aufbau eines Risikomanagements dafür Sorge getragen werden, dass die Adressaten - wie etwa das Top Management, Abteilungsleiter, Auditoren und viele andere - nur mit genau den Informationen versorgt werden, die diesen auch einen tatsächlichen Mehrwert bieten. Entscheidend ist hier weniger die Quantität, sondern vielmehr die Qualität der Aussagen. Die Basis für qualitative Aussagen bilden «Key Indikatoren», in denen grosse Datenmengen auf eine qualitative Aussage aggregiert werden. Damit ist es möglich, die wichtigen Daten sofort zu erkennen und den Fokus auf Hochrisikobereiche zu lenken. 5. Identifizieren Sie High Risk User: Sie müssen nicht auf alles eine Antwort haben, aber stellen Sie sicher, dass alles «Wichtige» stimmt. Unter Berücksichtigung des zeitlichen Aufwandes lassen sich selten alle Gefahren des Berechtigungsmanagements erfassen und bewerten. Es geht daher darum, vor allem die stark risikobehafteten Berechtigungen zu identifizieren, zu bewerten und im Nachgang mit geeigneten Massnahmen zu belegen. Jedes Unternehmen sollte in der Lage sein, im Zusammenhang mit High Risk Usern, Privileged Usern oder Administratoren die folgenden Fragen beantworten zu können: Gibt es im Unternehmen User, die im täglichen Geschäft Zugriff auf sensible Daten haben? Verfügt das Unternehmen über geeignete Werkzeuge, um die Zugriffsberechtigungen auf ein Minimum zu reduzieren? Kann das Unternehmen durch Änderungen an den Zugriffsberechtigungen, z. B. durch Rollenkonzepte, das Risiko weiter reduzieren? Besteht die Möglichkeit, die Aktivitäten der privilegierten Benutzer aufzuzeichnen? Benutzer mit Sonderrechten müssen regelmässig auf folgende Fragen hin überprüft werden: Wem sind sie zugeordnet und welche übergeordneten Gruppen oder Rollen nutzen sie? Welche Aktivitäten führen die zu Sonderrechten befugten Benutzer aus? Mit der Identifizierung der privilegierten Benutzer bzw. der Hochrisiko-Berechtigung oder -Autorisierung können sich Unternehmen auf diese Gruppen konzentrieren. Dies ermöglicht eine fokussierte und schnelle Analyse, aus der entsprechende Massnahmen abgeleitet werden können. Lesen Sie auf der nächsten Seite: Berechtigungspfadanalysen verwenden 6. Verwenden Sie Berechtigungspfadanalysen um festzustellen, wer welche Berechtigung wann erteilt hat und ob er dies überhaupt durfte. Mit der typischen Frage «Wer hat welche Berechtigung auf welche Ressource?» geht aufgrund der weitverzweigten Berechtigungsstrukturen eine zweite wichtige Frage einher: «Über welche Zuweisungen (Rollen, Gruppen, Authorisierungsobjekte etc.) wurden dem Benutzer die Berechtigungen vergeben?» Hierfür hat beispielsweise Beta Systems eine Methode entwickelt, welche die gesamte Berechtigungsstruktur in einzelne Pfade aufgliedert, die die Grundlage für leistungsfähige Analysemöglichkeiten bildet. Die zweite Frage gestaltet sich damit zu einer wesentlich nachvollziehbareren Fragestellung: «Über welche Berechtigungspfade hat der Benutzer Zugriff auf die Ressourcen?» Mit diesem pfad-orientierten Ansatz sind eine Vielzahl von neuartigen Auswertungen  möglich, die Beta Systems unter den Namen «Berechtigungspfadanalyse» zusammenfasst. 7. Nutzen Sie Ad-hoc-Analysen und damit den Vorteil, eigene Analysen auf einfache Art und Weise erstellen zu können - individuell, entsprechend Ihrer Bedürfnisse.

Die Einschätzung, ob und wie hoch die Gefahr einer vergebenen Berechtigung ist, hängt von vielen nicht-standardisierbaren Faktoren ab. Für derartige spezialisierte Fragestellungen können Ad-hoc-Analysen umfassende Unterstützung bieten. Ein auf Access-Intelligence-basiertes Risikomanagement sollte als Werkzeug dienen, mit Hilfe dessen Unternehmen und Organisationen alle Daten ihres Access Managements mit einem leistungsfähigen Ad-hoc-Reporting-System, wie Microsoft Excel, verarbeiten können. Eine flexible Form der Endanwender-Datenverarbeitung und -visualisierung sollte hier im Vordergrund stehen, die Millionen von Anwendern bereits kennen und mit deren Funktionen und Arbeitsweisen sie vertraut sind.