In vielen Bereichen haben sich Outsourcing und Offshoring und bereits durchgesetzt. Doch wenn es um die Verwaltung von internen Identitäten und Zugriffsrechten sowie die Überwachung der Vorgaben durch Governance, Risk Management & Compliance geht, stehen Unternehmen noch vor komplexen Herausforderungen.
Gründe für das Outsourcing von Prozessen beim Identity & Access Management (IAM) und der Überwachung von Vorgaben durch Governance, Risk Management & Compliance (GRC) gäbe es genug: Trotz intensiver Bemühungen, ausgelagerte Dienste und Anwendungen durch Policies und Technologien abzusichern, zeigen sich etwa immer wieder Lücken im Netz der GRC-Verantwortlichen. Das gilt insbesondere wenn Zugriffsrechte Dritter auf interne Daten – zum Beispiel durch ausgelagerte Wartungs- oder Betriebsdienste –verwaltet werden müssen. Jenseits jeder schriftlichen Vereinbarung zur Einhaltung von Sicherheitsregeln und Vorschriften zeigt sich oft eine betriebliche Wirklichkeit, die weit entfernt ist von Nachvollziehbarkeit, Audit Trails und internen Compliance Bestrebungen.
Wo liegen die Probleme konkret? Nehmen wir als Beispiel eine Applikation, deren Betrieb an einen Hosting-Dienstleister ausgelagert ist, deren Entwicklung jedoch von einem Entwicklungs-Dienstleister voran getrieben wird. Die Applikation selbst verarbeitet interne Daten des Auftraggebers, die schutzwürdig sind. Zum einen darf der Entwicklungs-Dienstleister den Betrieb der Applikationsplattform mit seinen Änderungen nicht stören, zum anderen müssen Updates an der Plattform auf Verträglichkeit mit der Applikation geprüft werden. Als dritte Anforderung bleibt, dass beide Dienstleister keinen Zugriff auf die internen Daten der Applikation haben dürfen.
Wiederum sind es Zugriffsrechte, Personen und Identitäten, die das Spannungsfeld bilden – nur ist in diesem Fall vom Zugriff externer Identitäten (Mitarbeiter der Dienstleister) auf interne Daten die Rede. Diese Problemstellung muss einerseits rechtlich und vertraglich abgebildet und andererseits durch technische Maßnahmen soweit als möglich umgesetzt werden. Die administrativen Grenzen der Unternehmen sind jeweils weit überschritten, so dass eine zentrale Verwaltung der Zugriffsrechte am ehesten beim Betriebs-Dienstleister umzusetzen wäre.
Doch welche Lösungsansätze bieten sich? Für existierende Installationen kann über ein technisches Audit der tatsächliche Sachstand bei Zugriffsschutz und Zugriffsrechten festgestellt werden, um darauf basierend mögliche Maßnahmen zu definieren. Technisch böte sich derzeit die Nutzung einer Föderation zwischen den drei Beteiligten an, um den Aufwand bei der Verwaltung der Rechte zu minimieren. Für zukünftige Anwendungen wäre der Umstieg auf eine auf Claims aufbauende Rechteverwaltung eine große Erleichterung, da nicht mehrfach einzelne Anwender und deren Rechte verwaltet werden müssen, sondern einmalig die Zugriffsrechte auf bestimmte Ressourcen mit entsprechenden Anforderungen verbunden werden müssen – als Weiterentwicklung des Federation-Konzepts.
Klar ist aber: Das Thema darf nicht unterschätzt werden. Denn hier gibt es datenschutzrechtliche Herausforderungen, aber auch Risiken der Informationssicherheit und der IT-Sicherheit insgesamt. Wer auslagert, muss das adressieren. Und was bei einem Outsourcer noch einfach ist, wird bei vielen verschiedenen Service Providern in der „Cloud“ zu einer noch größeren Herausforderung.