Identity Management und Governance
Ganz gleich, ob es sich um internationale Beziehungen zwischen Staaten handelt oder Wohnungen vor Einbrüchen und Unternehmensnetzwerke vor Cyberkriminellen geschützt werden sollen, Sicherheit spielt im alltäglichen Leben eine herausragende Rolle.
Dabei gilt für Unternehmensnetzwerke sogar eine ähnliche Prämisse wie für die eigene Haustür: Eine Garantie gibt es nicht und wer sich nicht konsequent mit der eigenen Sicherheit beschäftigt, der hat im schlimmsten Fall am Schluss das Nachsehen. Während die Folgen eines Einbruchs in die eigene Wohnung allerdings weitestgehend absehbar sind – und zumeist auch von der Versicherung gezahlt werden –, können eine nachlässige Planung und Durchführung der eigenen Cybersecurity bei Unternehmen schnell zu einem immensen Schaden und weitreichenden Reputationsverlusten führen.
Dadurch, dass viele Unternehmen aktuell im Rahmen ihrer digitalen Transformation daran arbeiten, neue Konzepte für die eigene IT-Architektur zu implementieren, rücken Cybersecurity-Fragen immer mehr in den Fokus der Verantwortlichen und Entscheider.
Wird beispielsweise im Rahmen eines Umzugs von bisher genutzten SAP-Systemen und Landschaften auf S/4 Hana ein Teil der Applikationen und Datenbanken auf herkömmliche Cloud-Anbieter umgestellt, entstehen auf natürliche Weise potenzielle Schwachstellen innerhalb der geplanten Architektur.
Waren in der Vergangenheit beispielsweise alle Datenbanken und Applikationen im Rahmen von On-premises-Lösungen innerhalb des eigenen Netzwerks durch eine eigene Firewall geschützt, ergeben sich durch die Auslagerung und den Ausbau diverse Schwierigkeiten, die im Rahmen von Cybersecurity-Assessments geklärt werden müssen. Eine besonders kritische Situation ergibt sich, wenn im Unternehmen auch fremde Daten und personenbezogene Informationen verarbeitet werden.
[adrotate banner=”284″]
Die drei Säulen der Cybersecurity in hybriden Umgebungen
Um unerlaubte Zugriffe auf die eigene IT-Architektur und Infrastruktur zu vermeiden, sollten sich die Verantwortlichen vor allem auf drei Säulen konzentrieren und entsprechende Strategien für die Einbindung in den Prozess der digitalen Transformation erarbeiten.
Da vonseiten der Cyberkriminellen alle verfügbaren Möglichkeiten zum Kompromittieren eines Netzwerks genutzt werden, gilt es klare Authentifizierungs-richtlinien zu erarbeiten. Diese regeln die Kommunikation innerhalb und außerhalb der eigenen Infrastruktur und machen schlussendlich auch die Mitarbeiter durch regelmäßige Schulungen mit den Cybersecurity-Richtlinien vertraut.
Um sicherzustellen, dass nur berechtigte Personen Zugriff auf die Daten und Applikationen innerhalb einer Organisation haben, muss ein Ansatz gefunden werden, der einerseits die Arbeit der Angestellten so wenig wie möglich durch wiederholte Anmeldevorgänge aufhält, andererseits sicher genug ist, dass eine tatsächliche Zugehörigkeit zum Unternehmen sichergestellt bleibt. Hier können beispielsweise Single-Sign-on-Lösungen ein adäquater Ansatz sein.
Hinsichtlich des Datenstroms, der auch außerhalb des eigenen Unternehmensnetzwerks stattfinden können muss, gestaltet sich die Auswahl an möglichen Lösungen teilweise schwieriger. Fest steht allerdings, dass der Datenstrom jederzeit abgesichert sein muss und über eine Ende-zu-Ende-Verschlüsselung verfügt.
Ist etwa der Einsatz eines großen Cloud- Dienstleisters geplant, sind redundante WAN-Strukturen eine gute Lösung. Für Mitarbeiter, die dezentral arbeiten, können hingegen auch Ende-zu-Ende-verschlüsselte VPN-Tunnel eine passende Lösung darstellen.
Bereits während diese beiden zentralen Säulen der Cybersecurity durch passende Strategien implementiert werden, sollten die Mitarbeiter fit für die neue technologische Infrastruktur gemacht werden. Neben regelmäßigen Mitarbeiterschulungen zum Thema Cybersecurity ist hier auch ein spezielles Augenmerk darauf zu legen, dass alle Angestellten die Vorteile der neuen Applikationen kennen und deren Funktionsweisen verstehen.
Genau wie bei allen anderen Geschäftsfeldern gilt auch für die IT, dass die Mitarbeiter der Dreh- und Angelpunkt des geschäftlichen Erfolgs sind. Dementsprechend sind sie auch hinsichtlich der Cybersecurity-Strategie eines Unternehmens ein essenzielles Asset und dürfen bei den Planungen nicht außer Acht gelassen werden. Schlussendlich lassen sich auch nur durch die Mitarbeiter, die erfolgreich mit den entsprechenden Lösungen und Applikationen arbeiten, die gewünschten Produktivitätssteigerungen erzielen.
Durch den Prozess der digitalen Transformation können Unternehmen einen immensen Mehrwert für die eigenen Mitarbeiter und Prozesse schaffen. Viele Verantwortliche nehmen die Planung einer funktionierenden Cybersecurity-Strategie allerdings auf die leichte Schulter und sind sich der möglichen Bedrohungen nicht bewusst.
Im schlimmsten Fall werden dadurch die gewonnenen Vorteile direkt zunichtegemacht und über Jahre aufgebautes Markenvertrauen verspielt. Abhilfe schaffen kann hier die Konzentration auf die drei wichtigsten Säulen der Cybersecurity. Daneben müssen sich Verantwortliche auch immer darüber bewusst sein, dass eine einmal aufgestellte Strategie in wenigen Jahren schon nutzlos gegenüber neuen Angriffsformen sein kann, wenn diese nicht konsequent weiterentwickelt wird. Sich auf vermeintliche Errungenschaften der Vergangenheit zu verlassen ist also im Zweifel genauso gefährlich, wie die eigene Haustür weit offen stehen zu lassen.
Interview: Cybersecurity aus Anwendersicht
Herr Lindackers, seit einiger Zeit setzt die Barmer ein zentrales Identity Management System ein. Wie kam es zur Kooperation und welche Projekte wurden bereits gemeinsam umgesetzt?
Lindackers: Wir setzen auf eine umfassende SAP-On-premises-Systemlandschaft, in der mehrere Tausend Rollen und Mitarbeitende hinterlegt sind.
Ein naheliegender Schritt war es daher, diese Systemlandschaft auch dazu zu nutzen, die Zugriffsrechte und allgemeinen Berechtigungen mittels SAP Identity Management zu verwalten, um zentrale Cybersecurity-Aspekte abzudecken.
Im Zuge einer Ausschreibung kam es dann zu der Zusammenarbeit mit Angestellten der Devoteam. Seit 2016 haben wir sukzessiv die Rollen und Berechtigungsvergabe für alle Mitarbeitenden auf das zentrale SAP Identity Management portiert.
Auf welche Schwierigkeiten sind Sie im Rahmen der Umstellung gestoßen?
Lindackers: In jedem Fall musste gewährleistet sein, dass wir ein hohes Maß an Sicherheit beim Umgang mit relevanten Daten erreichen. Über das Organisationsmanagement leitet sich ein Großteil der Berechtigungen (z. B. Laufwerkszuweisungen und SAP-Rollen) automatisiert ab, dennoch mussten wir auch auf manuelle mehrstufige Genehmigungen durch Linienvorgesetzte und spezielle Funktionsträger bauen.
Interview mit Benjamin Lindackers, Teamleiter SAP Competence Center bei Barmer
Welche Vorteile haben sich durch die Implementierung von SAP Identity Management für Sie ergeben?
Lindackers: Wo zuvor noch schriftliche Anträge in physischer Form bearbeitet wurden, können wir heute auf automatisierte digitale Workflows setzen, mit denen Genehmigungen schneller erteilt werden und allzeit die Unternehmensrichtlinien eingehalten werden.
Weiterhin haben wir einen Rezertifizierungsprozess etabliert, manuelle Zuweisungen müssen so nach einem Jahr erneut validiert werden. Insgesamt haben wir also einiges erreicht und sind mit den Ergebnissen sehr zufrieden – sowohl vonseiten des Managements als auch vonseiten der Mitarbeitenden.
Durch die Covid-19-Pandemie haben sich hier sicherlich auch noch weitere Herausforderungen ergeben. Spielt im Zuge dessen auch das Thema Cloud eine zunehmende Rolle bei Ihnen?
Welche Vorteile beinhaltet eine solche Partnerschaft?
Lindackers: Die Pandemie hat wohl alle Branchen vor Herausforderungen gestellt. Während sich der traditionelle Büroalltag in kürzester Zeit ins Homeoffice verlagerte, liefen auch bei uns im Hintergrund die notwendigen Arbeiten an der Infrastruktur.
Mit der Unterstützung unserer Partner haben wir es innerhalb einer engen Frist geschafft, Berechtigungen für all unsere Mitarbeitenden einzurichten. Darüber hinaus gelang es uns auch, die Berechtigungen für Tools zur digitalen Kollaboration einzurichten und externe Mitarbeitende in unsere digitale Infrastruktur einzugliedern.
In einer datenschutzsensiblen Branche wie der unseren sind Cloud-Anwendungen zunächst lange Zeit kritisch beäugt worden. Wir beobachten aber verstärkt durch die Pandemie ein Umdenken, auch durch die Verfügbarkeit von mehr und mehr sicheren Lösungen. Aufgrund der sensiblen Informationen und Daten, mit denen wir arbeiten, hat das Thema Cybersecurity höchste Priorität.
Welche Entwicklungen und Pläne bezüglich Cybersecurity hat die
Barmer für die Zukunft?
Lindackers: Aufgrund unserer Erfahrungen der vergangenen Jahre ist die weitere Automatisierung innerhalb der Verwaltung von Berechtigungs-zuweisungen ein Kernanliegen. Wir wollen die manuellen Prozesse so weit wie möglich zurückfahren und auf diese Weise noch effizienter gestalten.
Darüber hinaus arbeiten wir aktuell daran, unsere Entwicklungs- und Qualitätssicherungs-SAP-Systeme über eine eigene Instanz zum Identitätsmanagement abzuwickeln.
Bei diesem Projekt bestehen nochmals eigene Anforderungen hinsichtlich der Unternehmensrichtlinien und Governance. Auch die Cloud-Migration ist ein Projekt, an dem wir verstärkt arbeiten.
Danke für das Gespräch.