Erfolgsfaktor IAM: Sinnvolle Rechtevergabe bei Cloud-Lösungen

Kaum ein anderer Wirtschaftszweig ist so stark von Regularien und Sicherheitsanforderungen geprägt wie die Finanzindustrie. Das gilt auch für neue Technologien wie Cloud-Lösungen, die zunehmend Einzug bei den Finanzdienstleistern halten: Fragen zum Datenschutz und der Compliance müssen geklärt, Sicherheitslücken geschlossen und Zugriffsberechtigungen definiert werden. Die zentrale Herausforderung für Banken und Versicherungen: Die IT-Strukturen kontinuierlich an die rechtlichen Anforderungen auf nationaler und europäischer Ebene anpassen und gleichzeitig eine möglichst geringe Komplexität und hohe Effizienz sicherstellen. Zwei Maßgaben sollten Verantwortliche dabei leiten:

1. Ganzheitliches, übergreifendes Identity and Access Management (IAM)

Gerade Finanzunternehmen, die vielfach über komplexe IT- und Prozessstrukturen verfügen, sollten Cloud-Lösungen nicht als eigenständiges System, sondern als Erweiterung ihrer bestehenden IT-Systeme betrachten. Nicht nur, weil die isolierte Behandlung die IT noch komplexer macht, sondern auch weil dadurch vielfach die Effizienz leidet. Von Vorteil ist daher ein übergreifendes Identity und Access Management (IAM). Dieses wird zentral aufgehängt und bietet eine übersichtliche Struktur, die den Verantwortlichen die Steuerung erleichtern und den regulatorischen Vorgaben gerecht werden. Wenn im Rahmen eines IAM sämtliche Cloud-Anwendungen in die bestehende IT-Infrastruktur eingebunden werden, lassen sich zudem Sicherheitslücken — und damit Angriffsflächen für Hacker:innen — von vornherein vermeiden.

2. Berechtigungskonzept unternehmensweit aufsetzen

Das Berechtigungskonzept eines IAM kann maßgeblich zum Erfolg oder Misserfolg beitragen. Denn es gilt, die regulatorischen Anforderungen zu erfüllen und gleichzeitig die richtige Mischung aus Rollen und Rechten zu finden — so eng gesteckt wie möglich und so umfangreich wie nötig. Denn: Gibt es zu viele verschiedene Rollen und Rechte, wird die Verwaltung der Nutzenden unnötig komplex und zeitaufwendig und die Akzeptanz der Mitarbeitenden leidet. Ist die Abstufung der Rollen jedoch zu grob, lassen sich die unterschiedlichen Kompetenzstufen nicht ausreichend abbilden und es kann zu Problemen mit der Aufsicht führen.

Um die richtige Balance zu erreichen, hat es sich bewährt, spezielle Rollen für privilegierte Rechte zu erstellen und ansonsten abteilungsübergreifende Standardrollen zu vergeben, deren Vergabe möglichst automatisiert über ein Regelwerk erfolgen sollte. Um ein solches Rollenmodell passgenau für das jeweilige Unternehmen zu entwickeln, eignet sich ein mehrstufiger Prozess der vorhandenen Rollen, um die Nutzenden, ihre Rechte auf Zugriff und die zeitliche Nutzung unter Berücksichtigung der Unternehmensstruktur zu analysieren.

Dabei zählt zum einen die Zusammenarbeit mit den Fachabteilungen. Eine Zusammenarbeit zwischen IT-Abteilung und Fachabteilungen ist nicht nur für eine sinnvolle und logische Rechtevergabe, sondern auch für eine regelmäßige Überprüfung derselben wichtig. Benötigt der/die Mitarbeiter/in noch sämtliche Rechte, die ihm/ihr ursprünglich gewährt wurden? Haben Mitarbeiter:innen die Abteilung gewechselt, sodass ihnen Rechte beziehungsweise Zugriffe entzogen werden müssen? Wurden innerhalb eines Unternehmens Umstrukturierungen vorgenommen, sodass Anpassungen an den Rechten nötig sind? All diese Informationen liegen meist in den Fachabteilungen und müssen an die IT weitergegeben werden, damit eine einheitliche Datengrundlage entsteht.

Zum anderen gilt: Um die Chancen eines IAM optimal zu nutzen, sollten Banken und Versicherungen ein übergreifendes System einsetzen und mit allen vorhandenen Anwendungen und Systemen verbinden. Nur so können sie ein sinnvolles und effizientes Berechtigungskonzept von Beginn an stringent durchführen — und von umfassendem Schutz, optimaler Arbeitsentlastung sowie einem klaren Überblick über die einzelnen Rechte profitieren. Auf Basis der Erkenntnisse im Analyseverfahren macht das IAM-System dann Vorschläge für eine zukünftige Rollen- und Rechtevergabe.

Fazit

Mit einem ganzheitlich und strukturiert aufgestellten Identity Access Management, das sämtliche Anwendungen inklusive Cloud-Dienste umfasst, stellen Banken und Versicherungen ihre Cloud-Infrastruktur auf ein solides und zukunftssicheres Fundament. Denn durch die zentrale Verwaltung und Steuerung lassen sich nicht nur Rollen und Rechte unkompliziert anpassen. Auch neue Dienstleister und Kunden lassen sich einfach und schnell in die bestehenden Systeme integrieren oder auch wieder aus ihnen herausnehmen.