Sicherheitslücken durch fehlende Prozesse

Riskante Benutzerverwaltung in vielen Unternehmen

Bei der Verwaltung der Benutzeridentitäten und -berechtigungen ist nur in wenigen Unternehmen die Welt in Ordnung. Nach einer Erhebung des Softwarehauses xTigo AG unter mehr als 350 Mittelstands- und Großunternehmen liebäugeln zwar viele IT-Verantwortliche mit systemübergreifenden Prozessen, tatsächlich bestehen sie aber erst in Ausnahmefällen.

Laut der Studie bewerten lediglich 29 Prozent der IT-Manager ihre gegenwärtige Situation in der Verwaltung der Benutzeridentitäten als positiv, 14 Prozent sind immerhin bedingt zufrieden. Ganz anders sieht es bei dem mehrheitlichen Rest aus: Sie sind entweder tendenziell unzufrieden (38 Prozent) oder beklagen gar in jedem fünften Fall kritische Verhältnisse.

Tatsächlich ist die Praxis von erheblichen Schwierigkeiten geprägt. Denn müssen für Mitarbeiter bei Ein- oder Austritten, Abteilungswechseln oder Rollenänderungen Benutzerkonten angelegt, angepasst oder gelöscht werden, so sind im Regelfall zahlreiche Systeme betroffen: In drei von fünf Unternehmen handelt es sich dabei um sechs und mehr Systeme, in jedem sechsten befragten Betrieb sogar um mehr als zehn.

Durchgängige Prozesse, die über alle Systeme hinweg und automatisiert die Benutzerverwaltung vornehmen, finden sich in der Praxis allerdings selten. Nur jedes fünfte Unternehmen gibt in der xTigo-Erhebung an, über entsprechende Lösungen zu verfügen. Bei weiteren 31 Prozent bestehen solche übergreifenden Prozesse zumindest mit Einschränkungen. Bei fast der Hälfte der Anwender ist in dieser Hinsicht jedoch gar nichts vorhanden.

Dabei hätte eine systemübergreifende Benutzerverwaltung für die befragten IT-Manager durchaus einen sehr großen Charme. So erwarten sie zu zwei Drittel davon einen deutlich geringeren Aufwand bei gleichzeitig höherer Flexibilität. Parallel verbirgt sich darin für drei von fünf Unternehmen ein erheblicher Zugewinn an Sicherheit und damit auch an Revisionsicherheit. „Wenn häufig organisatorische Änderungen in vielen Systemen und Applikationen abgebildet werden müssen, entstehen nicht nur aufwändige manuelle Prozesse“, urteilt xTigo-Vorstand Ingo Buck. „Gleichzeitig geht die Revisionssicherheit und Nachvollziehbarkeit der Änderungen verloren“, beschreibt er die Folgen. Eine vollständige, lückenlose und nachvollziehbare Dokumentation der vergebenen IT- Berechtigungen werde aber beispielsweise auch von EuroSOX gefordert.

Das lange Zeit als Hype gefeierte Thema Identity Management ist in den Unternehmen noch längst nicht angekommen. „Gäbe es etablierte Strukturen für das Identity Management, dann wäre auch die Benutzerverwaltung im grünen Bereich“, erklärt Buck. Als zentrale Ursache sieht er die Angst der Anwender vor komplexen und teuren Projekten. „Klassische Identity-Management-Lösungen sind in der Implementierung meist eine sehr zeitaufwändige und kostspielige Angelegenheit“, erläutert er. Alternative Ansätze wie Workflow-Management-Systeme hingegen stellen seiner Meinung nach nur Teillösungen dar. „Erforderlich sind neue Ansätze auf Basis der prozessorientierten Automation, mit der Identity Management modular und ohne Änderungen in Infrastruktur und Organisation Ihre Lösung realisiert werden können.“ (mha)