cMatrix für rechtliche Konformität

Dietmar Mueller,

Lediglich ein Drittel der deutschen Firmen haben ein Risikomanagement für IT-Sicherheit eingerichtet.

Das belegt eine aktuelle Studie von Steria Mummert Consulting. Dabei sind die Gefahren nicht zu unterschätzen: Laut Experton Group kennt jedes zehnte deutsche Unternehmen mindestens ein Unternehmen der eigenen Branche, das durch einen Verstoß gegen relevante Regelungen mit Sanktionen oder Strafen belegt wurde.

Doch das Thema Compliance wird gerade 2008 entscheidend sein. Spätestens mit der Verabschiedung der 8. EU-Richtlinie (EuroSOX) werden börsennotierte Firmen und Unternehmen interne Kontroll-, Revisions- und Managementsysteme aufsetzen müssen. Wichtiger Schritt dahin und Basis von IT-Compliance zugleich ist die Beherrschung der Prozesse bei der Vergabe und Verwaltung von Zugriffsrechten. Der IT-Service-Management-Experte econet gibt Unternehmen Tipps, wie sie mit einer automatisierten Identity-Provisioning-Lösung die internen und externen Compliance-Vorgaben einhalten können.

econet bietet Unternehmen auf dem schwierigen Weg zu einer Compliance-konformen IT einen methodischen Ansatz: Der Knackpunkt ist der schrittweise Aufbau einer Management-Lösung für Benutzer, Identitätsdaten, Rechte und Ressourcen. Das Produkt cMatrix baue ein automatisiertes System auf, das die Basis für regulatorische Konformitätsmaßnahmen auf dem Gebiet unternehmensweiter Zugriffsrechte bildet und sowohl deren Erteilung und Entzug als auch Nachweis und Kontrolle umfasst.

Als erstes werde ein Berechtigungs-Audit durchgeführt, das heißt, die bestehenden Berechtigungen werden aus den historisch gewachsenen Dateistrukturen ausgelesen. Damit sollen IT-Verantwortliche mit Sicherheit sagen können, wer Rechte auf eine bestimmte Dateiablage im Unternehmen hat oder welche Berechtigungen auf Dateiablagen sich bei einem bestimmten Mitarbeiter angesammelt haben. In einem zweiten Schritt werde die Datei- und Rechtestruktur hochautomatisiert in eine neue, frei wählbare Zielstruktur überführt. Das Ergebnis soll ein genormtes Dateisystem mit genormten Zugriffsregeln sein. Drittens sorge eine regelbasierte Verwaltung von Dateistrukturen und Berechtigungen für die dauerhafte Erhaltung der sauberen Datenbasis und aller logischen Abhängigkeiten.

Der vierte und letzte Schritt ist die Einführung einer Identity-Provisioning-Lösung für die Verwaltung von Benutzern und Identitäten: Dies ermögliche beispielsweise, dass sich Mitarbeiter mit Anwendungen, Ressourcen und Informationen selbstständig durch kontrollierte Self-Service-Funktionen versorgen können.