Gesetze rufen nach Identity Managment

Ein Identity-Managment-System im Unternehmen wird durch neue gesetzliche Regelung beinahe unablässig.

Das erklärt die Nationale Initiative für Internetsicherheit (NIFIS) in einer Mitteilung. Die Initiative rät Unternehmen zur Einführung eines Identity-Management-Systems (IMS), das zudem Organisationen dabei helfen könne, Kosten einzusparen.

Basel II und die 8. EU-Richtlinie, die ihre Entsprechung im amerikanischen Sarbanes-Oxley-Act hat, sind zwei Gründe, die laut NIFIS für eine Einführung sprechen. “Zwar verlangt keine Vorschrift direkt die Einführung eines Identity-Management-Systems, doch müssen Unternehmen in der Lage sein, zu jeder Zeit Auskunft darüber zu geben, welche Mitarbeiter Zugriff auf geschäftskritische Daten, zum Beispiel im Zusammenhang mit einer Bilanzierung, hatten”, so Thomas Lapp, Vorstand von NIFIS.

Historische Daten müssen zudem die Zugangsprivilegien offen legen und es müssen dabei interne Kontrollmechanismen nachgewiesen werden können. Diesen Forderungen könne ein Unternehmen über ein IMS ohne großen Aufwand nachkommen, folgert Lapp.

Zudem könne ein Unternehmen über ein IMS kosten einsparen. Bei einer hohen Mitarbeiterzahl, vielen verschiedenen Anwendungen oder weltweit verteilten Filialen zahle sich ein IMS schnell aus. So existierten oft in den Unternehmen keine einheitlichen Regelungen für die Zugangsberechtigungen der einzelnen Mitarbeiter auf die Unternehmensapplikationen, die eigentlich vom Betriebseintritt bis zum Ausscheiden aus dem Unternehmen reichen müssten.

Oft genug werde dieser Missstand ausgenutzt, warnt NIFIS. Oft seien die Rollen und Rechte derart komplex, dass sich ohne ein entsprechendes System die Aufgabe nicht mehr stemmen lasse, warnt Lapp: “Es sind viele Fälle bekannt, in denen der Entzug der Berechtigung schlichtweg vergessen wurde und der ehemalige Mitarbeiter diese Sicherheitslücke ausgenutzt und dem Unternehmen erheblichen Schaden zugefügt hat”, warnt Lapp.