English   Deutsch

IAM und Compliance Automation
Identity ist der erste Schritt
Warum IAM und Compliance Automation im Grunde dasselbe sind
Compliance-Automatisierung ist ein Gebot der Stunde. Dieserr Markt wird nach Einschätzung von Kuppinger Cole + Partner (KCP) in den kommenden Jahren weit überdurchschnittlich wachsen. Dabei setzt sich immer mehr die Erkenntnis durch, dass modernes Identity & Access Management (IAM) eine unverzichtbare Voraussetzung für ausreichende Risikovorsorge und regulatorische Compliance im Unternehmen ist. Dank IAM lassen sich die gewonnenen Informationen darüber hinaus nutzen, um existierende Geschäftsprozesse zu verbessern und neue Geschäftschancen zu erkennen und zu ergreifen. Compliance-Systeme sind vor diesem Hintergrund nicht als Kostenfaktor, sondern als Business-Tools zu sehen.
von Tim Cole
tc@kuppingercole.com
Die meisten Unternehmen waren in der Vergangenheit gezwungen, unter starkem Zeitdruck auf die wachsenden Anforderungen der Regulatoren (Stichwort: Sarbanes-Oxley, 8. EU-Richtlinie) zu reagieren. Die Folgen waren vielerorts Notlösungen, etwa die manuelle Erfassung von Compliance-Daten in Tabellenkalkulationsprogrammen sowie das mühsame Zusammentragen von Logfiles aus den verschiedensten Anwendungen im Unternehmen. Inzwischen sind viele der betroffenen Unternehmen dabei, sich intensiv um einen Abbau der dadurch entstandenen Arbeitsbelastung zu bemühen, beispielsweise durch den Einsatz von Software-Tools, um bestimmte Vorgänge zu automatisieren. Im Jahre 2006 waren schließlich in fast allen großen Unternehmen der Vereinigten Staaten bereits Compliance-Tools im Einsatz.

Die renommierte Wirtschaftsprüfungsgesellschaft PriceWaterhouseCoopers (PWC) ermittelte im Frühjahr 2006 in einer Befragung von 131 multinationalen Konzernen, dass technische Unterstützung bei der Lösung von Compliance-Aufgaben als eine der vordringlichsten Aufgaben der nächsten Zeit gesehen wird. 47 Prozent der befragten Manager gaben an, dass die von ihnen verwendete Technologie zur Compliance-Automatisierung verbesserungsbedürftig sei. Zehn Prozent bezeichneten ihre Systeme sogar als „stark verbesserungsbedürftig“. 75 Prozent der Befragten gingen zwei Jahre nach Einführung von SOX davon aus, dass sie noch erhebliche Anstrengungen unternehmen müssen, um den Automatisierungsgrad ihrer Systeme zu erhöhen. Dies deckt sich mit den Erfahrungen von KCP. Nach unserer Beobachtung führt konsolidierte und integrierte Automation im Compliance-Umfeld zu spürbarer Kostenentlastung. Zudem gibt es einen starken Trend dazu, die Erfüllung von Compliance-Aufgaben zu automatisieren.

Viele Unternehmen machen leider den Fehler, sich bei der Einführung von Compliance-Automatisierung in Einzelmaßnahmen zu verzetteln, anstatt Compliance als ein zentrales strategisches Ziel zu begreifen. KCP schätzt aufgrund von Erfahrungen mit Anwenderkunden, dass ein Unternehmen je nach Branche zwischen 100 und 500 interne und externe Bestimmungen und Richtlinien erfüllen muss. Diese werden häufig von den Betroffenen im Unternehmen ohne Absprache mit anderen Fachabteilungen angegangen. KCP schätzt, dass Firmen, die Einzellösungen für unterschiedliche Compliance-Aufgaben einsetzen, etwa zehnmal mehr Geld ausgeben müssen als solche, die einen einheitlichen Ansatz für alle Bereiche fahren, etwa Finanzen, Produktion oder HR.

Arten von Compliance Tools

Das Angebot an so genannten Compliance Tools im Markt ist groß und wächst ständig. Allerdings wird der Begriff je nach Hersteller oft völlig unterschiedlich definiert, was zu Verwirrung bei den Anwendern führen kann. So gehen beispielsweise die Hersteller von Softwarelösungen für Change & Configuration Management (CCM) neuerdings dazu über, ihre Produkte im Compliance-Umfeld zu positionieren. Allerdings genügen insbesondere einfache Werkzeuge für die Versionskontrolle, wie sie von vielen CCM-Herstellern angeboten werden, nach Ansicht von KCP nicht den Anforderungen, die an ein Compliance Tool zu stellen sind, da es sich in der Regel Client-Systeme handelt, die auf den jeweiligen Desktops installiert und dort kaum ausreichend gegen Manipulation zu sichern sind. Auditoren werden nur ungern bereit sein, sich auf die Aussagekraft derartiger Systeme zu verlassen.

Am anderen Ende des Spektrums finden sich so genannte Compliance Management Dashboards, die in der Lage sind, Informationen aus verschiedenen angeschlossenen Systemen zu aggregieren und in einem Reporting-Fenster so anzuzeugen, dass der Status eines Prozesses oder einer Anwendung jederzeit selbst für einen Laien ersichtlich ist. Solche „Armaturenbrett-Systeme“ arbeiten meist mit farbkodierten Licht- oder Balkenanzeigen in Ampelfarben (rot-gelb-grün). Idealerweise sollten sie dem Benutzer die Möglichkeit geben, bei Bedarf tiefer vorzudringen und beispielsweise Informationen über Stand-rot oder User Account zu geben, von dem das festgestellte Risiko ausgeht. Solche Tools scheitern aber häufig daran, dass weder qualitativ ausreichende Basisdaten noch ausreichende Integrations- und Analysefunktionen für wirklich aussagefähige Daten verfügbar sind.

Schon an den beiden Ansätzen und ihren Problemen wird deutlich, dass ein einziges Tool in der Praxis kaum ausreicht, um wirkliche Compliance sicherzustellen. Genau genommen ist dafür eine komplette Compliance-Infrastruktur nötig. Diese sollte in der Lage sein, die „vier A’s“ des Identity Management abzudeckend beziehungsweise die dahinter liegenden Fragen schlüssig zu beantworten, nämlich:

•    Authentication – um wen handelt es sich?
•    Authorization – was darf der- oder diejenige in den Systemen tun?
•    Administration – wie kann ich Zugriffe und Transaktionen kontrollieren?
•    Audit – wie kann ich beweisen, das die Spielregeln eingehalten worden sind?

Ziel ist es, Mitarbeiter, Kunden und Partner mit den Werkzeugen, Ressourcen und Informationen zu versorgen, die sie benötigen, um produktiv arbeiten zu können. Dazu gehören Prozesse, mit deren Hilfe neue Anwender schnell und effizient mit den nötigen Arbeitsmitteln versorgt und alle notwendigen Berechtigungen möglichst in Echtzeit vergeben und im Bedarfsfall widerrufen werden können („Provisioning“). Compliance Tools sollen im Idealfall einerseits die Sicherheit im Unternehmen erhöhen, andererseits aber auch die allgemeine Produktivität erhöhen.

Entsprechend breit sind die Anforderungen an die Tools in einer Compliance-Infrastruktur und das Spektrum der erforderlichen Funktionen. Neben den Kernanwendungen des Identity and Access Managements mit starken Auditing-Funktionen fallen hierunter Tools wie ECM-Lösungen (Enterprise Content Management) und Erweiterungen von ERP-Systemen um spezielle Compliance-Abfragen. Aber auch Systemmanagement und hier insbesondere das Client Lifecycle Management mit der Installation und Deinstallation  von Anwendungen und dem Schutz lokaler Informationen ist ein Baustein einer Compliance-Infrastruktur.

Interessant ist, dass viele der Grundelemente einer solchen Infrastruktur keineswegs nur für spezifische Compliance-Anforderungen benötigt werden, sondern ohnehin erforderlich sind. Ohne Identity und Access Management und ohne Systemmanagement sind IT-Umgebungen nicht effizient administrierbar, was immer wieder zu hohen Kosten und Sicherheitsrisiken führt.

Vorteile von Compliance Tools

Je nach Branche und Anwendung können Compliance Tools eine Vielzahl von Nutzen und Vorteilen für Unternehmen bringen, die weit über die reinen revisionstechnischen Erfordernisse hinausgehen. KCP hat beobachtet, dass sich mit Hilfe von Compliance Automation nachweisbar Mehrwert fürs Unternehmen erzielen lässt. Dieser kann in vielen Fällen die – ohnehin zwingend notwendigen – Investitionen mehr als aufwiegen.

Ein gutes Beispiel ist die Pharmaindustrie, die womöglich am stärksten regulierte Branche überhaupt. In den meisten Ländern schreiben die Aufsichtsbehörden eine separate Validierung jedes einzelnen in der Produktion eingesetzten Computersystems vor. In der Praxis können das Dutzende oder Hunderte von Computer-Clients sein, die regelmäßig zu überprüfen sind und deren Prüfberichte heute noch meist in Papierform für die Innenrevision aufbewahrt werden. Ein web-basiertes Compliance Tool ist hier erheblich wirtschaftlicher, weil nur ein einziges zentrales System zu validieren ist. Das spart Zeit, eliminiert Redundanzen und verhindert Fehler bei der Ablage und Aufbewahrung von Prüfdokumenten. Wenn gleichzeitig sicherstellt wird, dass die Systeme in einem nachvollziehbaren, einheitlichen Zustand sind – die Kernaufgabe des Client Lifecycle Managements – wird der Aufwand weiter reduziert. KCP schätzt, dass die Betriebskosten eines optimierten Systems um bis zu 70 Prozent unter denen herkömmlicher papierbasierter Prüfsysteme liegen können.

Doch das ist nur der Anfang. Dank der laufenden und lückenlosen Überwachung der Produktionssysteme sowie des dahinter liegenden Prozesses ergeben sich laufend wichtige Aussagen über sämtliche verwendete Rohstoffe und Ressourcen, und zwar in Echtzeit. Solche Meldungen über Abweichungen von geforderten Qualitätsstandards oder Normen können die Grundlage bilden für Workflows, die eine vordefinierte Reaktion auslösen, beispielsweise die Alarmierung eines zuständigen Mitarbeiters oder das kontrollierte Herunterfahren des Prozesses. Business Activity Monitoring, also die permanente Verarbeitung solcher Informationen mit Hilfe von Business Intelligence-Systemen, erlauben es außerdem, Fehler schneller zu erkennen und entsprechend zu reagieren.

Hinter all dem steht aber auch die Anforderung, exakt steuern und nachvollziehen zu können, wer etwas darf. Das betrifft nicht nur Finanzdaten und Dokumente, sondern auch die Produktion. Wenn Abweichungen erkannt werden, ist es wichtig, auch die Anlage, die Komponente, den Bediener oder den Lieferanten ermitteln zu können, der für die Abweichung verantwortlich ist. Dafür braucht man einerseits intelligente Lösungen wie das eben erwähnte Business Activity Monitoring, andererseits aber auch Identitäts- und Zugriffsmanagement samt dem zugehörigen Auditing.

Ein weiterer Vorteil von Compliance Tools sei zum Schluss noch erwähnt. Aufgrund der rasant steigenden Anforderungen durch interne und externe Regularien und Richtlinien stehen Wirtschaftsprüfer heute unter einem nie gekannten Zeitdruck. Nahmen sich die Auditoren der großen Wirtschaftsprüfungsgesellschaften früher oft mehrere Wochen Zeit, um zu einem Testat zu kommen, sind sie heute auch durch ihre eigenen internen Vorgaben gehalten, die Dauer der Prüfung möglichst zu verkürzen. Je klarer und übersichtlicher die vorgelegte Dokumentation, desto schneller kann der Prüfer zu einem Ergebnis kommen. Viele Compliance Tools erlauben den direkten Zugriff im Rahmen einer „digitalen Wirt-schaftsprüfung“, was den Zeitaufwand und damit natürlich auch die Kosten der Prüfung weiter reduziert. Und eine vom Compliance Tool generierte Übersicht ist in der Regel einfacher zu verstehen, so dass der Auditor besser in der Lage ist, guten Gewissens seine Unterschrift unter das Testat zu leisten.

Compliance und Identity Management

Nicht erst mit dem Sarbanes-Oxley Act, aber seither erst recht zählen die Herstellerfirmen im Markt für Identity & Access Management zu den Innovatoren im Compliance-Sektor. Der Grund ist klar: Zwar schreiben SOX & Co. selten genau vor, wie und mit welchen Mitteln der Nachweis der Risikovorsorge zu erfolgen hat. Die von ihnen formulierten allgemeinen Vorgaben und Anforderungen lassen sich aber am ehesten mit den Methoden erfüllen, die ohnehin Bestandteil moderner IAM-Systeme sind.

So gab das Aufsichtsgremium der amerikanischen Wirtschaftsprüfer, die Public Company Accounting Oversight Board (PCAOB), kürzlich eine Liste von Hinweisen und Ratschlägen heraus, die Auditoren in Zukunft bei ihrer Arbeit befolgen sollen, zum Beispiel:

•    „Identifizieren Sie die Punkte im Prozess, an denen Irrtümer oder Betrug auftreten könnten.“
•    „Identifizieren sie die zu testenden Kontrollmechanismen, die helfen können, Irrtümer oder Betrug zeitnah zu verhindern oder aufzudecken.“
•    „Stellen Sie sicher, dass eine Verbindung besteht zwischen den einzelnen Kontrollmechanismen und den wichtigsten Konten und Zuordnungen, auf die sie sich beziehen.“

Daraus wird klar, dass für die Auditoren künftig die integrierte und automatisierte Überwachung von Vorgängen in Informationsnetzen eine Schlüsselrolle bei ihrer Arbeit spielen wird. Jeder Zugriff auf revisionsrelevante IT-Systeme muss eindeutig einem menschlichen Benutzer zugeordnet werden können, und es muss nachweisbar sein, dass dieser Benutzer zum Zeitpunkt des Zugriffs die erforderliche Berechtigung besaß. Und nicht nur das: Es muss auch nachvollziehbar sein, warum und von wem er die Berechtigung erhalten hat. Sonst muss das Unternehmen und im Zuge der verschärften persönlichen Haftung auch der Vorstand oder Geschäftsführer mit unangenehmen Folgen rechnen. „Der Chef steht mit einem Bein im Kittchen“ ist, so gesehen, mehr als nur eine flapsige Zeitungsüberschrift.

Die Basiskomponenten eines modernen IAM-Systems erfüllen also im Idealfall neben ihrer eigentlichen Basisfunktion auch noch wichtige Aufgaben als Compliance Tools und damit zentraler Baustein einer Compliance-Infrastruktur:

Provisioning-Systeme dienen nicht nur dazu, den Aufwand für die Benutzeradministration in komplexen Netzwerken zu minimieren, insbesondere durch die automatisierte Verwaltung von Rollen und Berechtigungen sowie durch Passwort-Synchronisation und/oder Passwort-Selbstverwaltung durch den Benutzer. Auf Basis von definierten Workflows lassen sich Antragsverfahren und Genehmigungsprozesse abbilden, die sich an den regulatorischen Anforderungen orientieren und so zur Revisionssicherheit der angeschlossenen Systeme beitragen. Provisioning ist deshalb ein zentrales Element jeder Compliance-Infrastruktur, denn Provisioning stellt sicher, dass Änderungen an Identitäten und (über die Rollenzuordnungen) an Zugriffsberechtigungen zentralisiert und nach definierten Regeln erfolgen.

Directory Services sind dafür wiederum die Basis. Dort werden nämlich Identitätsdaten und Zugriffsrechte für Mitarbeiter, Kunden und Partner effizient und sicher verwaltet. Sie sind die sicheren und zentral auditierbaren Speicherorte für Identitätsdaten.

Single Sign-on-Lösungen geben Unternehmen die Kontrolle darüber, wer Zugang zu Anwendungen und Ressourcen bekommt und bildet die Grundlage für den Einsatz zusätzlicher Systeme zur Risikominimierung wie Tokens, SmartCards oder biometrische Systeme.

Daneben gibt es auch dedizierte Compliance-Tools an. Novell realisiert beispielsweise mit seinem Produkt "Sentinel" eine einheitliche Sicht auf Sicherheits- und Compliance-Aktivitäten im gesamten Unternehmen. Dabei werden Aktivitäten permanent überwacht und mit definierten Richtlinien verglichen. Sentinel erlaubt es Administratoren in der aktuellen Version, alle relevanten Ereignisse im Firmennetzwerk wie zum Beispiel Einbruchsversuche von außen oder unberechtigte Informationszugriffe innerhalb des Unternehmens in Echtzeit zu beobachten und zu dokumentieren. Die verwendeten Richtlinien können die Anforderungen unterschiedlicher Compliance-Regelungen abbilden. Bei Abweichungen kann entsprechend schnell und automatisiert reagiert werden. Damit ist sichergestellt, dass eine permanente Überwachung der Compliance-Anforderungen erfolgt.

Compliance Tools sind nur so gut wie die Informationen, auf denen die Analyse basiert. Die enge Integration mit umfangreichen Ereignis- und Directory-Daten sowie mit den anderen Komponenten einer IAM-Infrastruktur ist damit die Basis für aussagekräftige Compliance-Analysen. Gleichzeitig lassen sich über vordefinierte Adapter und offene Schnittstellen auch Daten vieler anderer Systeme innerhalb der Compliance-Infrastruktur erfassen und verarbeiten.

Fazit

Unternehmen sind heute mehr denn je gefordert, Risiken zu minimieren und Angriffe abzuwehren. Zugleich müssen sie in der Lage sein, jederzeit den Nachweis ausreichender Risikovorsorge sowie der rechtzeitigen und richtigen Reaktion auf Unregelmäßigkeiten im System zu führen. Da IT heute die Basis für die meisten Geschäftsprozesse in Unternehmen ist, lassen sich die Risikominimierung und die Nachweispflichten nicht ohne geeignete IT-Lösungen erfüllen.

Die durch Compliance entstehende Mehrarbeit ist vor dem Hintergrund von stetig sinkenden IT-Budgets nur dann zu leisten, wenn die wichtigsten und zeitaufwändigsten Prozesse automatisiert und standardisiert ablaufen. In einem Zeitalter, in dem wesentliche Teile des Firmenvermögens digital und fast alle wichtigsten Geschäftsprozesse netzwerkbasiert sind, spielt IT-Compliance eine wachsende und kritische Rolle für das Unternehmen als Ganzes.

Erstellt: 08.12.06, aktualisiert: 08.12.06
Information
Newsletter
Das Wichtigste im Überblick - der Kuppinger Cole Identity Management Newsletter.
Services
KCP berät Sie in allen Fragen des Identity & Access Management von der Konzeptionsphase bis zum fertigen Rollout.
Reports
Nutzen Sie KCP als unabhängige, objektive und neutrale Instanz im Markt für Identity Management Produkte und Lösungen.
Podcasts
Kostenlose Audio- und Video-Präsentationen zu aktuellen IAM Themen
Aktuelle Umfragen
IAM-Studie 2010
MITMACHEN 
Virtualization Security Trends & Insights
MITMACHEN 
Blogs
Tim Cole
28.08.2010 11:53
Not Just Any Port in a Storm
LESEN 
European Identity Conference Blog
27.08.2010 04:45
Google authentication support
LESEN 
Martin Kuppinger
12.08.2010 11:34
Diving down to the details of access controls
LESEN 
Sachar Paulus
11.08.2010 10:05
The GRC Marketplace is shaking up: SAP and CA partnering on GRC
LESEN 
Sebastian Rohr
04.08.2010 20:18
Your token to VISA…
LESEN 
Felix Gaehtgens
19.02.2010 17:40
Gerry Gebel joins Axiomatics
LESEN 
Joerg Resch
17.02.2010 11:15
Identity Management is key to Smart Grid Security
LESEN 
Links
 Kuppinger Cole News

 Kuppinger Cole Podcasts

 Kuppinger Cole on Facebook

 Kuppinger Cole on Twitter

 Visit us at Xing

 IAM-Wiki

 GenericIAM
Impressum AGB Vertraulichkeit
© 2003-2010 Kuppinger Cole