NIFIS: Unternehmen brauchen dringend ein Identity-Management-System

• Erhöhung der Sicherheit
• Konformität mit Gesetzen und Richtlinien
• Enormes Einsparpotenzial

Frankfurt am Main, 01. Februar 2007 – Die Nationale Initiative für Internetsicherheit (NIFIS e.V.) rät Unternehmen dringend, ein Identity-Management-System (IDM) einzuführen, um damit das Niveau ihrer Datensicherheit zu steigern und den höheren Anforderungen aus den gesetzlichen Vorschriften zu entsprechen. NIFIS weist auch auf den angenehmen Nebeneffekt hin, dass mittels eines IDM massiv Kosten eingespart werden können. Insbesondere für die Zugriffsberechtigung der eigenen Mitarbeiter auf die verschiedenen Unternehmensapplikationen vom Eintritt in den Betrieb bis nach dem Ausscheiden gäbe es häufig keine klaren Regelungen und Überprüfungsmechanismen. Diese Tatsache öffne dem Missbrauch Tür und Tor. Über die Etablierung eines automatisierten Identity-Management-Systems könnten Unternehmen diese Probleme auf eine komfortable und effiziente Art und Weise in den Griff bekommen, heißt es bei NIFIS.

Identity Management erhöht die Sicherheit und schafft Transparenz

„Die Verwaltung der Zugriffsrechte ist heute eine gewaltige Herausforderung für ein Unternehmen – dies umso mehr, wenn es über Niederlassungen in der ganzen Welt und die entsprechend hohe Mitarbeiterzahl verfügt“, sagt NIFIS-Vorstand Dr. Thomas Lapp. Dabei sei der entscheidende Faktor, dass die Zahl der eingesetzten IT-Systeme beständig steigt. Ohne zentrales System, das die Vielzahl der Kennungen und personenbezogenen Informationen reduziert, die Anwender für den Zugriff auf die Applikationen und Datenbestände brauchen, ist diese Herausforderung nicht mehr zu stemmen. Das Risiko im Zusammenhang mit Zugangsberechtigungen sei schon während des bestehenden Arbeitsverhältnisses nicht zu unterschätzen und die Erteilung basiere hauptsächlich auf dem Vertrauen in den Mitarbeiter. Nach dem Austritt der Person aus der Firma wird diese Gefahr aber noch um ein Vielfaches potenziert, wenn nicht automatisierte Systeme die Berechtigungen umgehend abschalten – insbesondere dann, wenn negative Umstände das Ausscheiden begleitet haben. „Es sind viele Fälle bekannt, in denen der Entzug der Berechtigung schlichtweg vergessen wurde und der ehemalige Mitarbeiter diese Sicherheitslücke ausgenutzt und dem Unternehmen dadurch erheblichen Schaden zugefügt hat“, bestätigt Dr. Horst Walther, Partner bei Kuppinger, Cole und Partner und Leiter des neu gegründeten Kompetenzzentrums für Identity Management innerhalb der NIFIS. Außerdem besteht aufgrund zahlreicher neuer Vorschriften wie Basel II, dem Bilanzrechtsreformgesetz, dem Gesetz zur Unternehmensintegrität und Modernisierung des Anfechtungsrechts oder der 8. EU-Richtlinie (ähnlich dem Sarbanes-Oxley-Act) akuter Handlungsbedarf. „Zwar verlangt keine Vorschrift direkt die Einführung eines Identity-Management-Systems, doch müssen Unternehmen in der Lage sein, zu jeder Zeit Auskunft darüber zu geben, welche Mitarbeiter Zugriff auf geschäftskritische Daten wie beispielsweise im Zusammenhang mit der Bilanzierung hatten“, so Dr. Thomas Lapp. Darüber hinaus müssen historische Daten über Zugangsprivilegien offen gelegt und entsprechende interne Kontrollmechanismen nachgewiesen werden können. Über ein Identity-Management-System ist ein Unternehmen ohne großen Aufwand in der Lage, diesen gesetzlichen Forderungen nachzukommen.

Enormes Einsparpotenzial

„Häufig scheuen Unternehmen die Einführung eines solchen Systems. Dabei wird mit der hohen Komplexität, dem Zeitaufwand und hohen Kosten argumentiert. Dem ist entgegenzuhalten, dass der Schaden durch missbräuchliche Verwendung unternehmensinterner Daten durch Unbefugte wesentlich höhere Kosten verursacht. Abzuwarten, bis es tatsächlich zu einem schädigenden Ereignis kommt, kann also fatale Folgen haben“, berichtet Dr. Horst Walther. Dazu kommt, dass sich ein Nutzer bei der Vielzahl der im Unternehmen eingesetzten Applikationen ohne Identity Management-System auch eine Vielzahl an Passwörtern merken muss. Das birgt die Gefahr, dass immer wieder Kennungen vergessen werden und aus diesem Grund sehr häufig der Helpdesk in Anspruch genommen werden muss, um Passwörter zurückzusetzen beziehungsweise neu zu generieren. Schätzungen zufolge verursachen diese Probleme je nach Größe des untersuchten Unternehmens zusätzliche Kosten in Höhe von bis zu 500.000 Euro im Jahr. Ein Identity Management System verhindert solche Kosten, da sich der Mitarbeiter für alle Anwendungen, zu denen er Zugriff haben soll, nur noch eine Kennung merken muss. Hinsichtlich der Einführung eines solchen Systems rät die NIFIS zu einem modularen Aufbau. „Die Einführung eines Komplettsystems kann unter Umständen sehr lange dauern, bindet viele Ressourcen und ist teuer“, sagt Dr. Horst Walther. Insofern sollten IDM-Applikationen schrittweise im Unternehmen etabliert werden.

---