ArtikelCompliance

Identitätsmanagement ist die Überholspur auf dem Weg zur Compliance

Autor/Redakteur: Thomas Müller-Martin, Lead Architect bei Omada/gg

Um Kreditkartendaten zu schützen, gibt es eine Reihe von Compliance-Vorschriften – von der DSGVO bis hin zu PCI DSS. Diese gelten nicht nur für börsennotierte Unternehmen und hängen von der jeweiligen Branche ab. Der Umfang dieser Compliance-Mandate ist sehr unterschiedlich: einige erfordern Bewertungen, andere wiederum Überwachung.

Bild: Omada

Allen gemeinsam ist, dass die meisten eine strengere IT-Governance oder Passwortsicherheit verlangen, und alle haben mit der Speicherung von Kunden-/Benutzerdaten zu tun. Die Einhaltung dieser Vorschriften ist jedoch herausfordernd und viele Unternehmen haben Mühe, diese Auflagen zu erfüllen – Geldstrafen für derartige Vergehen zeigen das sehr eindeutig. Die gute Nachricht ist aber, dass eine moderne Identity-Governance-Strategie die Bewältigung dieser Herausforderungen erheblich erleichtern kann.

Komplikationen bei der Einhaltung von Vorschriften

Jede neue Vorschrift erhöht wegen ihrer möglichen negativen Auswirkung auf die Effizienz eines Unternehmens die betriebliche Komplexität. Die Verlagerung in die Cloud und das Aufkommen von Remote- und hybriden Arbeitsmodellen haben die Unternehmen außerdem vor große Herausforderungen gestellt. Für diese wird es stetig schwieriger, die Kontrolle zu behalten, Gefahren zu bewerten und die Einhaltung von Vorschriften zu gewährleisten – das alles bei gleichzeitiger Wahrung der organisatorischen Effizienz. Trotz der Tatsache, dass sieben von zehn geschäftskritischen Anwendungen bald in der Cloud angesiedelt sind, stimmen laut einem aktuellen Bericht der Enterprise Strategy Group 68 Prozent der Befragten zu, dass Cloud-Services für diese Anwendungen die Identity-Governance- und Verwaltungsprogramme (IGA) erschwert haben. Dies wiederum hat zu einer größeren regulatorischen Komplexität geführt.

Da Drittanbieter nicht unbedingt die gleichen internen Governance- und Zugriffsregeln befolgen müssen – einschließlich der Art und Weise, wie sie Daten verarbeiten – kann die Nutzung dieser Anbieter und ihrer Governance-Prozesse die Einhaltung von Compliance-Vorgaben erschweren. Unterschiedliche geografische Standorte von Geschäftseinheiten setzen das gesamte Unternehmen des Weiteren aktuellen oder künftigen regionalen Gesetzen aus.

Zudem: Was ist, wenn ein Unternehmen, wie viele andere auch, Mitarbeiter im Außendienst beschäftigt? Die Anwerbung von Talenten auf lokaler und globaler Ebene erfordert die Einhaltung einer Reihe von Datenschutzstandards, denen Unternehmen zuvor womöglich nicht unterlagen.

Absichtliche Nichteinhaltung – ein Tanz auf dem Vulkan

Die absichtliche Nichteinhaltung von Vorschriften ist keine kluge Geschäftsstrategie. Zum einen kann es kostspielig sein. So können die EU-Datenschutzbehörden nach der Datenschutz-Grundverordnung (DSGVO) Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes des vorangegangenen Geschäftsjahres verhängen, je nachdem, welcher Betrag höher ist. Im dritten Quartal 2021 beliefen sich die Bußgelder auf fast eine Milliarde Euro und überstiegen damit bei weitem die Summen des ersten und zweiten Quartals zusammen.

Daneben sind Bußgelder nicht das einzige Problem, das sich aus der Nichteinhaltung von Vorschriften ergeben kann, sondern auch die Schädigung der Marke und des Rufs. Noch entscheidender: Verstöße können darauf hindeuten, dass Unternehmen grundlegende Sicherheitsanforderungen nicht erfüllen, wodurch diese dem Risiko von Datenschutzverletzungen oder Hackern ausgesetzt sind. Die Folgen eines Verstoßes gegen die IT-Sicherheit kosten viel mehr Zeit und bereiten mehr Kopfzerbrechen, als die Einhaltung der Vorschriften von vornherein sicherzustellen.

Im Sinne der Compliance: IGA gehört in jeden IT-Werkzeugkasten

Unternehmen können die komplizierten und sich ständig erweiternden internationalen Standards nur dann bewältigen, wenn sie eine handfeste Personalstrategie entwickelt haben, die durch solide Technologie und Sicherheit unterstützt wird. Mit der fortschreitenden Digitalisierung und der Aufgabe, mit weniger Ressourcen mehr zu leisten, werden die IT-Abteilungen immer stärker belastet. Das macht es noch schwieriger, die Einhaltung von Vorschriften zu gewährleisten und mit den Sicherheitsstandards Schritt zu halten.

IGA kann helfen, die gesetzlichen Vorschriften einzuhalten, Geldstrafen zu vermeiden und Datenschutzverletzungen zu verhindern. Sie unterstützt Unternehmen, um festzulegen, wer auf welche Daten zugreifen darf, sodass bewährte Verfahren durchgesetzt werden. Dies bedeutet, dass Firmen und Behörden auf diese Weise zahlreiche wichtige Compliance-Anforderungen erfüllen können.

Diese IGA-Funktionen unterstützen Unternehmen bei der Erfüllung ihrer Compliance-Ziele:

  • Identity Lifecycle Management verhindert, dass Identitäten Zugriff erhalten, den sie nicht benötigen, wenn sich ihre Rollen und Verantwortlichkeiten ändern.
  • Die Zertifizierung von Zugriffsrechten bestätigt, dass die richtigen Privilegien für die richtigen Personen und die richtigen Rollen noch vorhanden sind, damit keine verwaisten Konten entstehen (Benutzerkonten, die unter dem Radar der Sicherheitsabteilung fliegen, weil, zum Beispiel, ein Mitarbeiter die Firma verlassen hat, und mit vielen Privilegien ausgestattet sind).
  • Kontinuierliche und automatisierte Berichterstattung und Überwachung ermöglichen es, Daten abzurufen und die Einhaltung der Zugriffsregeln nachzuweisen.
  • Die Aufgabentrennung (Separation of Duties, SoD) gewährleistet die Beseitigung schädlicher Kombinationen von Zugriffsrechten.

Wichtige Schritte auf dem Weg zur Compliance-Treue

Um den Prozess hin zu besserer Compliance zu beginnen, sollten IT-Security-Teams zunächst ein Framework wählen, das den Anforderungen Ihres Unternehmens entspricht. Es ist wichtig, sich zu vergewissern, wo Ausnahmen oder Ausschlüsse in Bezug auf den Zugang erforderlich sind. Unternehmen müssen in der Lage sein, Protokolle automatisch zu erfassen und zu verfolgen, wer welchen Zugriff genehmigt hat. Außerdem sollte ein System für die regelmäßige Zertifizierung und Rezertifizierung eingeführt werden.

Entscheidungsträger des Unternehmens sollten in den Prozess einbezogen werden. Die IGA sollte nicht nur in der Verantwortung der IT-Abteilung liegen, sondern auch andere Interessengruppen aus dem Unternehmen müssen informiert werden. Risiken und Hindernisse Ihrer Identitäts- und Zugriffsstrategie sollte man klar ansprechen und es muss sichergestellt werden, dass der gesamte Prozess den Branchenstandards entspricht.

Anpassungsfähige Compliance

Unternehmen sind heute nicht mehr nur statischen Prüfungen und Compliance-Anforderungen unterworfen; diese Vorschriften ändern sich ständig. Da die Welt außerdem immer vernetzter wird, ist ein langfristiger Plan, der skaliert werden kann, um das ständig wachsende Netz von Compliance-Vorschriften zu erfüllen, unerlässlich. Unternehmen mit einer potenten IGA sind in der Lage, Zugriffsrechte festzulegen, bewährte Identitätsverfahren anzuwenden und so gleichzeitig zahlreiche wichtige Compliance-Anforderungen zu erfüllen. Das bedeutet schlussendlich, dass keine Abstriche bei der Effizienz gemacht werden müssen, um diese Anforderungen zu erfüllen. Stattdessen läuft der Betrieb rund, weil abgesichert.