IT-Risiko-Management vor neuen Herausforderungen

Die Beachtung der Security-Themen wird durch verschiedene Risiken getrieben, die sich im Wesentlichen aus der zunehmenden Digitalisierung und damit verbundenen Integration des Internets ergeben. Reagiert wird auf diese Risiken mit formalen Vorgaben des Gesetzgebers (wie z. B. Cybersecurity Act, IT-Sicherheitsgesetz 2.0, KRITIS, DSGVO), die oft noch durch die Branchenverbände bzw. Aufsichtsbehörden untersetzt werden. In dem hier beschriebenen Security-Paket haben wir einige Security-relevanten Funktionen zusammengefasst und einen attraktiven Paket-Preis definiert. Schwerpunkt des bi-Cube Security-Pakets ist der bi-Cube Access Manager. Folgende Funktionen bzw. Services sind im bi-Cube Access Manager enthalten.

Sicherheit Schlüssel
bi-Cube Access Manager
AD PW-Control

In einigen Unternehmen werden Kennwortänderungen für interaktive Benutzerkonten von Microsoft zu anderen Systemen (SAP) über bi-Cube synchronisiert. Um eine nahtlose Synchronisation der von Windows akzeptierten Kennworte zu angebundenen Zielsystemen zu ermöglichen und somit Fehler beim Kennwortwechsel zu vermeiden, bietet die iSM Secu-Sys AG nun einen erweiterten Service an.

Weitere Informationen

Admin-Control für Admin-Berechtigungen auf Servern

Ein besonderes Risiko stellen die hohen Berechtigungen der Administratoren dar, die üblicherweise direkt auf den Servern definiert werden. Hier bietet sich eine zentrale Steuerung dieser Accounts an. Dieser Service ist direkt mit dem User-Life-Cycle und dem Rollen-Manager von bi-Cube verbunden und sorgt für die passende Verwaltung der Admin-Accounts auf den Servern. Dies trifft für Stand-Alone-Server als auch für Domain-integrierte Server zu. Zwei Besonderheiten sind zu nennen:

  1. In einer parallelen Transaktion werden die Passwörter eines Admins auf allen „seinen“ Servern gewechselt, womit eine zentrale Anforderung der ISO 27009 erfüllt ist.
  2. In die zentrale Verwaltung können sowohl Windows- als auch Unix-Server einbezogen werden.

In einem Systemhaus arbeitet dieser Service z. B. für ca. 1.300 Server (Win und Unix im Mix).

PSA (Privilegierte Shared Accounts)
Administratoren verfügen über weitreichende Zugriffsberechtigungen. Die ständige Verfügbarkeit kritischer Berechtigungen erhöht jedoch das Risiko missbräuchlicher Nutzung. Mit Privileged Shared Accounts bietet bi-Cube die Lösung zur Zuweisung sicherheitsrelevanter Berechtigungen, die in ihrer Nutzung einer besonderen Kontrolle unterliegen. Weitere Informationen
PW Self-Service

Ein Sicherheits- und gleichzeitig Automatisierungs-Service stellt dem User verschiede Möglichkeiten zur Verfügung, seine Kennwörter zu ändern.

  1. Im adaptiven Workplace gibt es diese Funktion für alle Accounts der User, die von bi-Cube verwaltet werden.
  2. In der Windows-Anmeldung selbst ist eine „Kennwort vergessen“-Funktion integriert.
  3. Über eine Funktion in der App bi-Cube GO ist es ebenfalls möglich, alle Kennwörter zu ändern.
Sichere Selbstregistrierung

Im Zuge der Ausweitung von bi-Cube auf C-IAM-Lösungen besteht eine Variante darin, dass sich ein User (Kunde, Interessent, Leser) selbst im System registriert. Hierbei ist es, abhängig von der Risikostufe der bereitgestellten Funktion, eine gesicherte Identifikation des Users bereitzustellen. Hier bietet bi-Cube drei Varianten, je nach Risikostufe.

TFA-Möglichkeiten: SMS-, Soft- und Mobile Token

Für eine gesicherte 2-Faktor-Authentifikation stellt bi-Cube drei Varianten eines Token (OTP) und die Mail-Identifikation mittels eines zugesandten Token zur Verfügung.

Weitere Informationen

ID-Provider
Zahlreiche Anwendungen, zahlreiche Kennwörter – eine zentrale Lösung zur Authentifizierung erspart Mitarbeitern im Unternehmen viel Ärger und dem User Help Desk viel Arbeit. bi-Cube übernimmt mit seinem Identity Provider die sichere Authentifizierung der Nutzer an Webanwendungen und realisiert damit die Funktion der Federation. Eine Anmeldung am bi-Cube Workplace ermöglicht damit den Zugriff auf das Intranet des Unternehmens und zahlreiche externe Webanwendungen. Weitere Informationen
Web SSO
WebSSO

Web SSO ist eine Kombination des bisherigen SSO mit dem ID-Provider. Es ist ein wichtiges Sicherheitsthema, wo die ID-Daten des Users liegen: in einem US-amerikanischen System (Facebook, Google usw.), auf einem eigenen Server oder zumindest auf einem vertrauenswürdigen Server in Deutschland. Eine eigene Kachel auf der Startseite des bi-Cube Workplace erweitert damit das bi-Cube Serviceportal um alle Anmeldungen der anderen Anwendungen des Users

Verfahren des IT-Risiko-Managements

Risiko-Metrik der User/Berechtigungen
Auf Basis der SC kann mithilfe der Risk-Metrik ein Risiko-Maß für jeden User berechnet werden. Über ein mathematisches Aggregationsverfahren wird das Risk-Level eines jeden Users ermittelt und dargestellt. Über eine weitere Aggregations-Stufe kann das Risk-Level eines ganzen Bereiches ermittelt werden. Diese Risiko-Analysen sind dann die Basis geeigneter Maßnahmen zur eventuell erforderlichen Reduzierung des Risikos eines Bereiches und der Analyse von Anhäufungen risikobehafteter Kompetenzen eines Users.
Security Classification (SC)

Die Security Classification (SC) ist die Basis das Risiko-Managements! Jeder User, jedes Objekt und jedes Attribut kann mit einer Security Classification versehen werden. Damit ist die Basis für ein übergreifendes Risiko-Management gelegt. Die SC steuert diverse Prozesse und Reports. Ein Mapping der SC des Users mit der des Objektes, das er beantragt, reduziert den Zugang zu Berechtigungen, die seiner Risiko-Einstufung nicht entsprechen. Dies ist ein Vorteil gegenüber anderen Systemen am Markt, die dem User alles zum Antrag bereitstellen, was es gibt und überlassen die Entscheidung dann dem Freigeber (z. B. ServiceNow). Diese Freizügigkeit öffnet Sicherheitsverstößen Tür und Tor und ist als problematisch zu bewerten.

Dedizierte Admin-Rollen (Job-Family-Admins)

Durch die Rollen der Job-Family ‚IT-Admin‘ sind die einzelnen Admin-Bereiche streng in die Modellierer und Operatoren getrennt, womit sich die auch für diesen Bereich wichtigen SoD-Regeln sicherstellen lassen.

Der Super-Admin steht nur zum Aufsetzen des Systems zur Verfügung. In einem eventuellen Notfall kann der bi-Cube Account dieser Rolle durch den PSA-Prozess in bi-Cube personifiziert und zeitlich limitiert bereitgestellt werden.

Zu beachten ist, dass jede Admin-Rolle mit der Absolvierung des entsprechenden Online-Schulungspaketes und des damit zu erreichenden Zertifikats verbunden ist.

Geregeltes Richtlinien-Management

Die bi-Cube Produktsuite verfügt über einen umfangreichen Satz generischer Prozessmodelle, die im Rahmen der Softwarelösung für das Identity & Access Management in jahrelanger Projekterfahrung entwickelt wurden. Speziell für das Richtlinienmanagement steht der Prozess der Re-Confirmation bereit. Der Prozess zur Bestätigung und Wiederbestätigung von wichtigen Unternehmensrichtlinien und Betriebsinformationen im bi-Cube Web Portal: einfach, automatisiert und nachvollziehbar mit dem Prozess Re-Confirmation.

Weitere Informationen

bi-Cube IAM als DSGVO-Repository (Verfahrensdokumentationen) und -Monitor

Für Unternehmen, die personenbezogene Daten von EU-Bürgern speichern, ergibt sich durch die Anforderungen der EU-DSGVO die Notwendigkeit einer neuerlichen Prüfung von internen Datenverarbeitungsprozessen und die Ergreifung entsprechender Maßnahmen. Um ein DSGVO-konformes Schutzniveau für gespeicherte personenbezogene Daten zu erreichen, müssen die Risiken in Bezug auf Vernichtung, Verlust, Veränderung, unbefugtem Zugriff und unbefugter Offenlegung minimiert werden. bi-Cube unterstützt Sie dabei.

Weitere Informationen

Interesse an dem bi-Cube Access Manager?

Wenden Sie sich gerne direkt telefonisch an uns oder schreiben Sie uns eine Nachricht!