IAM-Tools für mehr Sicherheit

Kunden vertrauen Banken täglich sensible Daten an. Dieses Vertrauen gilt es zu rechtfertigen, Datenlecks unbedingt zu vermeiden. Diese kommen jedoch immer wieder vor, wie in der Presse zu lesen ist. Allerdings: 80 Prozent der Sicherheitsvorfälle verursachen die eigenen Mitarbeiter. Mit einem robusten Identity and Access Management (IAM) sorgen Institute dafür, dass nur autorisierte Personen Zugriff auf Daten haben oder Änderungen an Systemen vornehmen können. Schützen Sie privilegierte Benutzer in Ihrem Haus durch besondere Maßnahmen im Rahmen eines modernen IAM, und managen Sie potenziell toxische Rollen-Rechte-Kombinationen effizient. Profitieren Sie von einer wirksamen, toolbasierten Identitätssteuerung. So gewinnen Sie Vertrauen bei Ihren Kunden und entlasten Ihre Mitarbeiter.

Identity and Access Management: Sicherheitslücken per Quick Check aufdecken

Unsere Spezialisten haben einen Quick Check für das Identity and Access Management entwickelt, mit dem sich rasch Lücken aufdecken und Gefahren identifizieren lassen. Als Ausgangspunkt legen wir gemeinsam mit Ihnen IAM-Strategie, Prozesse und IAM-Tools fest.

  • Zur IAM-Strategie gehört in der Regel ein dediziertes IAM-Operating-Model. Dessen Ziel ist es, Aufgaben und Verantwortlichkeiten zu definieren und Prozesse allen Stakeholdern transparent zu machen. Diese Basis ist umso wichtiger, da Änderungen am IAM immer Auswirkungen auf die gesamte Organisation haben.
  • Sobald der Ausgangspunkt im IAM-Operating-Model gesetzt ist, gilt es, die konkreten Verantwortlichkeiten und Prozesse zu regeln. Das kann etwa die Aufgaben der Asset-Owner beim Management der Segregation-of-Duties-Konflikte (SoD) umfassen. Oder es werden einheitliche Regelungen zum Management der Identitäten bei Fluktuation im Unternehmen definiert (sogenannte Joiner-Mover-Leaver).
  • Neben dem Prozessdesign ist auch die Auswahl geeigneter Tools von großer Bedeutung. Die IAM-Tools können das Management von Identitäten effizienter gestalten und die Basis zum Umgang mit privilegierten Benutzern legen. Es ist vorteilhaft, wenn die Toolauswahl immer mit der IAM-Strategie und den Prozessen korrespondiert; sie kann nie losgelöst betrachtet werden.

Im Quick Check berücksichtigen wir alle Aspekte des Identity and Access Managements und bewerten die Punkte hinsichtlich ihrer Kritikalität im Sinne der regulatorischen Anforderungen (etwa aus BAIT oder DORA) sowie hinsichtlich der individuellen Relevanz für Ihr Institut und entwickeln auf dieser Grundlage eine priorisierte Handlungsempfehlung.

IAM-Operating- Model

Das IAM Operating Model steht im Zentrum jeder IAM-Lösung. Ein Institut muss für sich ein Zielbild entwerfen, wie mit den Fragestellungen rund um das Identity and Access Management umzugehen ist.

  • Wie werden toxische Rollen- Rechte-Kombinationen erkannt und gemanagt?
  • Wie soll mit privilegierten Identitäten umgegangen werden?
  • Soll auf Standardsoftware oder auf selbstentwickelte Lösungen zurückgegriffen werden?
  • Welche Technologien kommen zum Einsatz?

Dies sind nur einige ausgewählte Fragen, die zur Definition des Operating-Models beantwortet werden müssen. Darauf aufbauend kann ein Institut dann über Prozesse und Systeme entscheiden.

Prozesse

Aufbauend auf den Entscheidungen gemäß des IAM-Operating-Models werden für das IAM relevante Prozesse definiert. Da diese in der Regel das gesamte Haus betreffen, ist es für den Erfolg enorm wichtig, von Anfang an alle Stakeholder in die Gestaltung der Workflows einzubinden. Unsere Berater haben aufgrund ihrer langjährigen Erfahrung in der Umsetzung der IAM-Prozesse den für eine erfolgreiche Einführung notwendigen geschulten Blick. So achten sie beispielsweise darauf, die SoD-Prozesse so zu designen, dass Rechte stets nach dem Need-to-know-Prinzip vergeben werden. Bei Prozessen zum Management der Joiner-Mover-Leaver und den mit Abteilungswechseln verbundenen Rechteänderungen ist für uns die prozessuale Umsetzung einer Role Based Access Control (RBAC) selbstverständlich.

IAM-Tools

Jedes IAM ist neben der rein prozessualen Komponente geprägt von den technischen Systemen für die eigentliche Umsetzung. PPI kennt die Erfolgsfaktoren, wie die Integration in das Benutzermanagement oder die Anforderung zur Multi-Faktor-Authentifizierung. Unsere Berater unterstützen Sie bei der Toolauswahl. Wir haben den Überblick über die gängigen Systeme und entscheiden gemeinsam mit Ihnen, welches System am besten zu Prozessen und Strategie passt. Dabei achten wir neben den funktionalen und fachlichen Anforderungen auch darauf, dass die Systeme benutzerfreundlich sind und eine hohe Kompatibilität zur bestehenden Systemlandschaft besitzen.

Privileged Access Management (PAM)

Das Management der privilegierten Benutzer erfordert eine Verbindung der prozessualen und systemseitigen Komponenten im IAM. In den Lösungsansätzen von PPI werden in den PAM-Systemen die persönlichen und technischen Benutzer kategorisiert und hinsichtlich ihres Privilegierungsgrades bewertet. Darauf aufbauend suchen wir passgenaue Lösungen zur Kontrolle der privilegierten Benutzer sowie zum Session Recording and Monitoring. Um schnell auf Angriffe oder mögliche Betrugsfälle reagieren zu können, verknüpfen wir das Management der privilegierten Benutzer mit SIEM-Lösungen.

Analyse und Roadmap mit dem PPI-Quick-Check

Mit unserem Quick Check liefern wir Ihnen innerhalb von nur zehn Tagen eine Analyse der Problemfelder in Ihrem Identity and Access Management sowie eine priorisierte Roadmap an Handlungsempfehlungen. Unser Vorgehensmodell basiert auf einem standardisierten Fragebogen, in dem wir die für Ihr Haus wichtigen Themen identifizieren. In gemeinsamen Workshops vertiefen wir die Punkte und gelangen so zu einer priorisierten Roadmap. In den Workshops beantworten wir unter anderem die Fragen,

  • welches Rollen-Rechte-Modell künftig genutzt werden soll,
  • wie mit dem Komplex Joiner-Mover-Leaver umgegangen wird,
  • wie toxische Rollenkombinationen zu managen sind und
  • ob vorhandene IAM-Tools weiterentwickelt oder eher neue Werkzeuge eingeführt werden sollen.

Können wir Sie unterstützen?

 Andreas Bruckner PPI AG

Andreas Bruckner

Senior Manager

Kontakt
 Jan-Paul Neder PPI AG

Jan-Paul Neder

Head of Information Security Banking

Kontakt

Das könnte Sie auch interessieren

Threat Detection and Response

Die Cyberkriminalität nimmt ständig zu. Um Angriffe oder Betrugsversuche rasch zu erkennen und schnell reagieren zu können, ist die Implementierung und kontinuierliche Verbesserung moderner Lösungen wie SOC, SIEM, XDR oder SOAR unerlässlich. Unsere Experten unterstützen Sie dabei prozessual und technisch.

Mehr erfahren

Software-Development-Lifecycle

Egal, ob neue regulatorische Vorgaben, Fehlerbehebung oder fachliche Anpassung: Anwendungen werden nahezu ständig modifiziert. Unsere Berater analysieren Ihre bisherigen Prozesse und Dokumentationen und erstellen einen Fahrplan für Ihren optimalen Software-Development-Lifecycle.

Mehr erfahren