Zugriffsschutz für sensible Daten – mit Data Access Governance und Identity Governance

Guten Tag und herzlich willkommen zu unserem KuppingerCole Webinar "Zugriffsschutz für sensible Daten mit Data Access Governance und Identity Governance". Die Sprecher heute sind auf der einen Seite Klaus Hild, Senior System Sales Engineer bei SailPoint. Auf der anderen Seite bin ich es, Martin Kuppinger, Principal Analyst bei KuppingerCole. Dieses Webinar wird unterstützt von SailPoint. Bevor wir starten, Ein kurzer Hinweis auf ein paar Events, die wir in den nächsten Wochen machen werden. Alles Events, die online laufen. Ein werden wir in unseren KCLive-Events diesen eintägigen Events über IGA Solutions for ServiceNow Infrastrukturen sprechen. Also, was funktioniert am besten in diesem Zusammenspiel? Für viele Unternehmen, die wissen sehr spannendes Thema. Dann haben wir unsere Customer Technology World, die sich auf das Thema Kunden, Identitäten, Authentifizierung und Alter mietfrei bei verbundenen Themen bezieht. Und wir haben im Lemper unseren Cybersecurity Leadership Summit, der dann eben auf das Thema Cyber Security eingeht. Ein bisschen Housekeeping mit Thema Audio brauchen sie gar nichts machen. Sie sind zentral stumm geschaltet. Das müssen Sie ohne zu sagen Aktivität von Ihrer Seite. Wir zeichnen das Webinar auf und werden die Aufnahmen den nächsten Tagen auf unserer Webseite zur Verfügung stellen. Und außerdem werden wir auch die SLI Tex zur Verfügung stellen, sodass Sie zusätzlich alles irgendwie mit notieren müssen. Und wir werden am Ende des Webinar seine Frage und Antwort Runde haben. Sie finden in dem GotoWebinar Control Panel auf der rechten Seite den Bereich Fragen, indem Sie zu jedem Zeitpunkt Fragen bereits eingeben können. Und je mehr Fragen wir haben, desto besser ist es, weil wir einfach dann natürlich auch eine interessantere Frage Antwort Session haben. Und ich weiß, dass der Erhielt einfach auch eine ganz, ganz lange Erfahrung hat im Bereich Attention Access Management also eine gute Gelegenheit, wirklich? Da auch ihre Fragen, die Sie ein Selbert haben, die Sie zu diesem Thema haben oder auch die sie an mich haben, loszuwerden. Ein kurzer Blick auf die Agenda. Im ersten Teil werde ich über die Racks, Governance und die Kavernen sprechen, über die Rolle, die diese Funktionen spielen, wenn es darum geht, sensible Daten zu Stütz schützen und welche Rolle sie auch für das Thema Compliance spielen. Aber auch wie, wie, weshalb gerade auch dieses Thema Dd6 Governance aus unserer Analysten Sicht eines ist, das immer wichtiger wird für die Frage Wie muss mein Identity Management in der Zukunft aussehen? Und wir sehen auch einfach, dass ich diese Identity Management weiterentwickeln muss, weiterentwickeln wird. Das wird also mein Teil sein. Im zweiten Teil werden neben der Clauss Hild von Point einerseits stärker ins Detail gehen. Das heißt also einfach mal zeigen. Auch Wie kann das konkret gemacht werden? Auf der einen Seite konzeptionell mit den ganzen Hintergründen, auf der anderen Seite aber auch mit Einkürzen Live Demo, wie man eben sensible Daten nicht nur schützen kann, sondern auch wie man das mit dem Identity Management System überwachen kann. Wie man weiß, woher kommen eigentlich Zugriffsrechte und wie damit eben einfach auch die gesamte Verwaltung verbessert werden kann. Im dritten Teil dann, wie schon gesagt habe eben das Thema Fragen und Antworten. Das also kurz als Überblick. Lassen Sie mich einfach mal direkt starten und ich möchte meinen einfach einen Schritt zurückgehen bei dem gesamten Thema. Auch bei der Frage Wohin geht eigentlich diese Reise von Atlantisch Management? Aber auch warum machen wir das Ganze eigentlich am Ende des Tages? Hat Identity Management einen ziemlich einfachen Job? Der heißt Ich muss jedem, ob das jetzt Mitarbeiter, Partner, Kunden sind, Zugriff auf alle Dienste geben können, egal wo die laufen. Ob das Legacy Dienste sind, die irgendwo Schlange im eigenen Rechenzentrum laufen, ob wir da irgendwie Fédération einen Business Partner haben, ob das ein Cloud Dienst ist. Wir müssen es schaffen, diese. Diesen Zugriff zu ermöglichen mit unterschiedlichsten Identitäten, ob dessen Social Login ist, ob das unser eigenes Directory ist Corporate rÃckt Rodel, Microsoft Error Aktiv Oracle oder Microsoft Active Directory. Und wir müssen die Integration hinbekommen und dazu brauchen wir eben Funktionen. Das ist das Access Management eben Einzelnen. Einerseits, also wie kann ich hier mit authentifizieren und durchleidet. Das ist aber natürlich immer auch dieses Thema identi.ca, wenn es Administration, die Administration, Vernutzung, Lebenszyklen und das gesamte Berechtigungsschein Management, aber auch die Kontrolle darüber auf allen Ebenen und natürlich weitere Funktionen Konsent, Privacy, British Access, Management, all diese Dinge und das sollten wir auch mit dieser Entwicklung unseres Identity Managements, die ja auch über den den klassischen Mitarbeiter Zugriff hinausgeht, aus unserer Sicht eben so gestalten, dass es einen einen konsistenten Ansatz gibt. Wie schaffe ich es, diese Zugriffe zu ermöglichen? Wie schaffe ich es, die Kontrolle darüber zu behalten? Also wenn ich jetzt zum Beispiel Mitarbeiter und Partner nehme, dann ist es eben so, dass wir gerade in Zeiten, in denen wir immer mehr Daten auch schaaren zwischen über das Unternehmen hinaus, dass wir natürlich diese Kontrolle für alle behalten müssen, die Steuerung für alle Mitarbeiter alle im Nutzergruppen machen müssen, die es eben hier gibt. Das heißt, wir brauchen das Ganze und wir brauchen das aus unserer Sicht auch überall. Das heißt, Identity Access Management oder auch Identity Governance sind längst keine Themen mehr, die jetzt nur relevant sind für große Unternehmen. Großunternehmen sind die, ist der Status meistens im Schnitt sicherlich etwas weiter fortgeschritten. Wobei wir auch ganz klar sagen müssen Es ist immer noch so, dass wir selbst bei großen Unternehmen zum Teil sehr signifikante Lücken sehen. Im Bereich manchmal sogar Grundfunktion für das Thema hat er Sie Lifecycle Management, gerade aber auch bei den Themen Governance, bei den Themen Identity Governance. Und ich komme dann gleich drauf, auch bei dem Thema Data Governance. Also weil bei der Frage nicht nur hat jemand in einem Thema eine einwendet, die richtigen Berechtigungen ich erklärte Technologien aber gleich nochmal, sondern auch. Mit welchen Daten, auf welche Daten darf jemand zugreifen, darf er oder sie zugreifen? Warum braucht es jeder? Es gibt zum einen natürlich auch administriert attraktive Effizienz Workflows dahaben, Automatisierung zu haben, selbst Services bereitzustellen, mit denen Identitäten verwaltet werden können, aber auch eben diese das Management, die Kontrolle, keine verwaisten Accounts von Leuten, die ich schon längst nicht mehr im Unternehmen sind haben. Und das über alle Systeme hinweg. Und diese Welt wird ja komplexer. Also wir haben heute immer mehr Cloud-Dienste, die wir nutzen und so weiter. Wir müssen darüber die Kontrolle behalten. Man muss das Thema Sicherheit des Thema Vertrauen eben auch hinbekommen, also Zugänge, Berechtigungen, starke Authentifizierung. Und letztlich am Ende des Tages kommt immer wieder die Frage Wer hat Zugriff verfasst? Er sollte Zugriff haben. Und klar Je mehr Regulierungen, je stärker man in einem regulierten, regulierten ist, Industrien im regulierten Umfeld ist, desto häufiger kommen die Fragen. Aber ich glaube, darf nicht unterschätzen, dass wenn man sich heute so ein bisschen die Arbeitslast der der Teams, die sich mit dem Thema Identity und Access beschäftigen, Unternehmen oder Benutzer und Berechtigungen Management, dass diese Arbeitslast doch in einem ganz erheblichem Maße eigentlich geprägt ist von genau diesen Fragen. Wie kam es eigentlich, dass diese Personen Zugriff auf irgendetwas hatte? Wer hat eigentlich auf diese kritischen Daten noch Zugriff, wenn was schief ging? Und diese Sachen müssen wir natürlich auch effizient lösen können, weil es permanente Fragen sind und sicherlich auch Fragen, die zum Teil eben schlicht Regulierung GDPR, Datenschutzgrundverordnung. Da muss ich schon ziemlich genau wissen, wer kann mit welchen Daten was machen. Das heißt, ich habe dahinter einen Punkt, wo es darum geht, dieses Wissen zu haben. Und Identity Management bleibt jetzt. Ich hab's gesagt, auch nicht stehen. Also wir haben einfach andere Benutzergruppen, wir haben eine Weiterentwicklung, da gibt es eben Kernbereiche. Da ist dieser große Bereich Ikea, mit dem wir uns heute im Kern beschäftigen, also dieses gesamte Thema Identitäten managen, Berechtigungen vergeben, Berechtigungen kontrollieren, prüfen auf was auch immer. Das ist ein ganz zentraler Bereich. Es gibt einen Bereich neben Access Fédération Authentifizierung, also wie kann ich jemand authentifizieren? Und es gibt eben diesen privateste Access Management Bereich. Hoch privilegierte Benutzer hatten Disruptoren, Operatoren heute. Der Fokus auf das Thema und was wir natürlich als Entwicklung sehen, ist das, dass die Bereitstellung Modelle sich verändern. Das heißt, heute kommt immer mehr der Bedarf zu sagen, ich lasse es auch in der Cloud laufen. Andere Themen. Wir haben, das hatte ich schon mal angerissen, einfach die Notwendigkeiten, mehr Art von Identitäten zu unterstützen. Und ich glaube, das ist wirklich der Punkt. Es ist eine der Kernpunkte, einfach für unser heutiges Webinar. Wir müssen mit unterschiedlichsten. Also wir müssen das auf mehr, mehr als nur Zugriffsrechte pro System und Anwendung umsetzen können. Bin ich klassische Access Governance nehme, dann liefert mir die klassische Access Governance eben die Information. Martin Kuppinger sind diese Gruppe. Und im Active Directory. Und vielleicht weiß ich noch, was die Gruppe machen darf. Das steuere ich. Das sind Sachen, die ich manager. Aber es gibt diese ganzen unstrukturierten Daten, die Daten, die wir auf ihre Server in SharePoint Teams haben. Es gibt, wenn wir einen Schritt weitergehen, ein Thema wie auch Big Data Analytics. Also was passiert in Datenbanken? Auch nochmal ein spannendes Thema. Und irgendwann, je nachdem, wie stark ich zum Beispiel im produzierenden Bereich bin, kommt er unter Umständen auch noch das Thema Wie schütze ich meine ganze Operational Technik und chère wie die ITY auf der in der Fabrik all diese Dinge. Wir müssen also breiter werden und müssen sicherlich dieses Thema breiter definieren. Eben mehr als nur zu schauen, wer es in welcher Gruppe, welche Rolle und andere Sachen. Und das sind einfach so diese Anforderungen. Und zu diesen Anforderungen wenn ich jetzt mal so Ke6 kann Forderung, die mir vor einer Weile definiert hat nehme, zählt eben eine in einem sehr hohen Maße. Und das ist eben Wir müssen eine umfassende Dada Access Governance erreichen. Wir müssen auf der Daten Ebene einfach besser verstehen und besser steuern, was eigentlich wer eigentlich was machen kann. Das ist eigentlich auch eine ganz logische Geschichte, wenn wir ganz ehrlich sind, weil am Ende des Tages. Was wollen wir eigentlich schützen? Was wir schützen wollen, sind unsere Informationen, unsere Daten. Wir wollen nicht, dass die Weiß schützen, sondern wir wollen die Daten, die Informationen, die auf dem Device sind, schützen. Wir wollen nicht den Falz Server per se schützen oder wir schützen ihn, um das, was man dort an Daten liegen hat, zu schützen, damit eben finanzielle Daten nicht manipuliert werden, damit Dokumente nicht verschwinden oder liken oder was auch immer. Das ist doch was, worum es geht. Am Ende geht es immer um den Schutz der Informationen. Deshalb eben dieses Thema Data Access ca.1 bevor wir es noch waren. Die Details gehen vielleicht noch ein paar Grundbegriffe an dieser Stelle. Also einfach. Ich hatte hier schon ein bisschen angerissen, aber. Einfach nochmal Ikea als Ganzes ist eben im Bereich der EGA für Identity Governance Administration letztlich Lösungen, die auf der einen Seite unseren Lebenszyklus von benutzend steuern, das heißt, wir kriegen die Austausch im H1 System und dann sorgen wir dafür, dass Accounts in ERP-System Extra Rentrée wo auch immer entstehen über Kollektoren, das auch gesteuert über eine Automatisierung, wie Workflows dazugehörten, Ortlosigkeit und Reporting. Das gehört immer zu beiden Sachen. Und dann gibt es eben diesen bereis Bereich der Access Governance. Das heißt auch schauen sind die Rechte korrekt usw.. Das ist letztlich eigentlich die traditionelle Cerne Komponente jedes Identity Access Management. Die hat die Kollektoren, die hat die Workflows. Die unterstützt verschiedene Berechtigungsschein Modelle, die ungeschütztem Rivière, die attestiere. Als die Prüfung die Kontrolle von Berechtigungen und Stei kommt da auch noch ein bisschen Access Intelligence Radius und sagt naja, hier den Benutzer mit besonders vielen Berechtigungen schaltete mal genauer ein, weil der könnte ein besonderes Risiko darstellen. Innerhalb dessen dann auch nochmal dieser Bereich Access Governance. Da geht es dann um plötzlich. Sicherstellen, dass ihm jeder nur den Zugriff hat, den er braucht. Könnte man als nehmen oder wird ja oft auch als Minimal Prinzip bezeichnet. Im Englischen sind die die Bezeichnung ein bisschen lockerer, vielleicht mit Benito nauf und ähnlichen Dingen. Bei Minimal Prinzip muss man aufpassen. Meistens hat hier hatte ich eigentlich jeder ein bisschen mehr. Also unbedingt zwingend bräuchte. Aber es geht darum sicherzustellen, dass man nur die Dinge gerade bei kritischen Berechnungen tun kann, um die es tatsächlich geht. Das heißt, man muss dann vernünftige Berechtigung Vergabe haben. Berechtigungen sind Zug und ganz gut die Idee an der Stelle eben auch. Aber eben auch die Analyse wo sind die besonders heiklen Dinge und diese Review Geschichten? Also auch das nützt natürlich Workflows, um z.B. den anders Berechtigung Anfrage, Genehmigung, Eskalation zu machen. Hat denn Berechtigung Modelle. Das kann überrollen laufen. Es kann auch über einfache Modelle laufen, ist die zweite Komponente. Und dann haben wir eben diesen dritten Teil Data Governance und Data Governance ist im Prinzip eigentlich Access Governance auf der Daten Ebene Plus, gegebenenfalls auch eine Lütkes und andere Dinge. Und da werden Sie sicherlich nachher noch ein paar sehr interessante Sachen einfach auch zu sehen bekommen vom Handel, was dahinter steht, was man damit machen kann. Aber im Grundsatz geht es letztlich darum zu sagen Ich habe Daten und strukturierte Daten, wenn es mal auf diesen Teil schauen und das ist eben der mit uns heute im Kern beschäftigen. Die liegen eben beispielsweise auf einem Windows Server, die liegen vielleicht woanders und. Ich glaube, jeder von uns weiß das. Aus der Erfahrung heraus, dass erstens in solchen Dokumenten oft sehr sensitive Daten liegen. Da wird der Export von Kundendaten aus dem CRM gemacht in der Excel-Tabelle. Die landet auf irgendeinem Fall sauber. Und dann habe ich dort eben GDPR, DSGVO relevante Informationen, die beispielsweise dort liegen. Ich habe was. Die Vorbereitung meines Geschäfts Berichts wird typischerweise über irgendeinen Server gemacht, ein Dokument, an dem man gemeinsam arbeitet. Und das darf natürlich, wenn ich börsennotiert bin, nicht rausgehen, auch nicht auszugsweise, bevor ich eben den Termin habe. Das habe ich durchaus erhebliche Probleme. Diese Fälle lassen sich ja beliebig weiter fortsetzen. Das heißt, wir müssen verstehen, wer das darf da was machen? Woher kommen auch die Berechtigungen? Und es kann durchaus ziemlich komplex werden und. Wie geht. Es geht im Prinzip wirklich so, auf der Ebene unterschiedlicher Speicher zu schauen, wie sieht es mit der Berechtigung auf der Ebene dieser Dokumente oder auf der Ebene von Ordnern aus? Diel Die Leute nutzen können. Das ist letztlich eine Ergänzung dessen, was wir im Bereich Access Governance machen. Jetzt gibt's ja am Ende des Tages zwei, zwei wesentliche Gruppen. Was Sie, wie gesagt, Fähigkeiten zum Connector zu System Analyse, Fähigkeiten, Adressierung, Fähigkeiten und da habe ich diesen letzten Punkt auf dieser Folie, da ist manchmal Unterstützung für die Integration in Access Governance Lösung. Es macht natürlich sehr, sehr viel Sinn, das zu integrieren, da eine Beziehung herzustellen, weil am Ende bestimmte Benutzer eben Berechtigungen brauchen. Da hab ich also etwas, was auf einer System Ebene wie auf der Datei Nebenfolgen. Da hab ich reviews, da hab ich ne ne Risiko sicht. Das heißt eine Integration ist grundsätzlich etwas, was sehr sehr viel Sinn macht, weil es einfach um verschiedene Sichtweisen darauf geht. Wo liegen meine Risiken des Zugriffs, die eben beim System, bei der Anwendung, bei den Daten liegen können? Das heißt, Data Governance ist zweifelsohne etwas, was einen hohen Nutzen davon erzielt, dass es eben in sinnvoller Weise integriert ist und. Das muss auch etwas sein, was dann, wenn man sich anschaut, wenn man heute Lösung geht, das eben in einer entsprechenden. Architektur kommt, es heißt wir, man hat heute schon die Tendenz, wegzugehen von einem großen, monolithischen System hin zu eben eher Services, die auch technisch gesehen dann eben auf Microservices und Container basieren und grundsätzlich das einfach auch nochmal einen Gestaltungs Prinzip, wo man versucht eben Identitäten, Applikationen, Daten auch zu trennen. Das heißt, wenn man sich jetzt die Entwicklung einfach anschaut mit neuen Funktionen, dann macht es sehr viel Sinn, das als Services zu haben, die auch APIs bereitstellen, die eine Modularität liefern, die auch von außen genutzt werden können, gegebenenfalls von eigenen lösen eigenen Code, den ich entwickeln unternehmenden. Wie gesagt, diese Modularisierung eben, die wir auch in der Bereitstellung natürlich vieles einfacher macht, weil ich eben kleine Komponenten, die flexibel zusammenarbeite, habe statt monströse Rowlands und. Ich habe eben ein Bereich, einen einen Kontroll Plan für meine Identitäten, die Amerikaner mit den Begriff Kontrolle über eine eine Steuerungs Ebene für meine Identitäten. Ich habe es durch die Anwendungs Logik. Ich habe die Daten und das muss ja auch stückweit getrennt werden. Das heißt ich habe eben hier meine daten. Und dann hab ich mein identitäts management in mein berechtigungsschein management, das auf diese daten geht und das muss flexibel kombinierbar sein. Ich soll da in der Lage sein mit meiner Identity Management Lösung eben über die verschiedenen Systeme hinweg letztlich zu steuern. Wer darf es machen? Und auch die Governance auf dieser Ebene zu implementieren. Und das sollte so diese Zielrichtung sein. Was wir aber in jedem Fall brauchen, das ist unser Kernthema. Wir müssen über das Thema Wer hat welche Rechte im System hinweg kommen hinzu Wie kriegen wir eine Kontrolle über die Einzelnen? Daten mit. Dem übergebe ich dann an den Klaus Hild von selber, der jetzt hier ins Detail geht und zeigt Wie kann das Ganze eigentlich aussehen? Wie mache ich das auch illustriert mit einer Demo?
Also es war natürlich eine sehr schöne Vorlage, die sie mir gegeben hat. Grubinger Besten Dank dafür. Ich werde das jetzt genau in die Richtung unstrukturierte Daten aufnehmen und versuche auch so ein bisschen die Brücke zu schlagen, wie das in unsere Services komplett reinpasst. Aber der Schwerpunkt ist natürlich einfach die Darstellung, wie man mit diesen sensiblen Daten wirklich die Informationen, die in Dateien stecken, wie man damit am besten umgehen kann oder wie wir den Ansatz zumindest dafür getan haben. Also einfach ganz kurz Wir haben das schon länger verstanden, dass es Sinn macht, bestimmte Services einfach damit bestimmte Leistungen einfach als Service anzubieten, weil die Firmen natürlich auch mit ihrer eigenen Geschwindigkeit vorwärts gehen, wie Dinge gebraucht werden, wie Dinge umgesetzt werden müssen. Manche sagen für uns jetzt Provisionszahlungen. Extrem wichtig. Da muss etwas passieren. Andere sagen Wir brauchen unbedingt Zertifizierung oder Password Management, was immer auch. Wir unterhalten uns heute. Also es sind verschiedene Service, die wir anbieten. Und wir unterhalten uns heute über den Verlagsmanager dabei, der als Modul Hergé oder als Modul angeboten wird, um ihn eben in ihr zu integrieren. Man könnte also einfach dazu buchen. Allerdings haben wir sehr wohl verstanden, dass der Verlagsmanager ein Produkt ist, mit dem auch manche Leute anfangen wollen und manche Firmen sagen Naja, aber wir sind unstrukturierten Daten aussieht wir für uns eigentlich extrem wichtig zu wissen. Das würde also schon Sinn machen, damit zu starten. Und darum ist das eine der wenigen Softwareprodukte, die wir haben, die tatsächlich standalone laufen kann und auch wirklich im eigenen Rechenzentrum läuft, weil üblicherweise ja auch der Datenbestand, der Zeitabstand im eigenen Rechenzentrum zu finden ist und wir nichts in die Cloud schieben wollen, sondern das ist ganz bewusst so gehalten über die Themen heute. Das hat Herr KuppingerCole schon erwähnt. Ich hab's hier nochmal aufgenommen dabei, wollte mit Ihnen das nicht durchgehen. Lassen Sie uns lieber über die Notwendigkeit einfach nochmal ein bisschen herholen, woher es denn kommt, was wir erkannt haben dabei. Also ich denke, das ist eine eine Logik, die jeder nachvollziehen kann. Es gibt halt immer mehr Anwendungen aktuell. Gerade Coruña hat das auch nochmal mächtig gepusht mit verschiedenen Anwendungen, mit verschiedenen Berechtigungen, die gebraucht werden. Es sind immer mehr Dateien und Dokumente und wer jetzt zuhause arbeiten muss, weiß auf einmal, wie wichtig es ist, bestimmte Ordnungen, bestimmte Strukturen zu haben, wie PND eben leichten einfach auf bestimmte Bereiche zugreifen zu können. Aber da ist es. Natürlich liegt die Natur der Sache. Solche Dinge erhöhen einfach nochmal die Wahrscheinlichkeiten, dass es einfach einen Verstoß geben kann in irgendeine Richtung. Also ob das jetzt GDBA ist, als er über irgendwelche Regularien, denen ihre Firma unterliegt oder eine interne Policy ist, das sei mal dahingestellt. Aber die Gefahr wird einfach immer größer, dass irgendwas schief läuft, weil am Ende des Tages fänden diese Menschen wenn diese Rechte halt eben von Menschen vergeben oder zumindest mal aufgesetzt, wo sich jemand Gedanken gemacht hat wie muss es denn sein? Und wie das Ökonominnen ja so schön gesagt hat Es geht letztlich um den Content in den Dateien und am Ende des Tages, wie immer sie Rechte vergeben, sind sie halt nun mal sind die effektiven Rechte an bestimmten Dateien. Das, was letztlich zählt und was es zu schützen gilt. Da gibt es einen sehr schönen Spruch, Herr Cooking, sehen Sie es mir nach, dass das von Gartner genommen habe. Aber es gibt halt einfach so eine Aussage. Ich fand das einfach sehr nett. Die sind der Meinung, dass bis 2021 steht eine wirklich unmittelbar vor der Tür. Wenn man also mit integrierten Lösungen arbeitet, wird man einfach sehr viel weniger Daten Verstöße haben. Und vielleicht kann ich Ihnen zeigen, dass das auch logisch ist, dass das tatsächlich so ist. Denn wenn man sich das heute mal vorstellt, wie so eine umfassende Staatsverwaltung aussieht, die gerecht die linke Seite hier ist das, was Sie heute kennen als IDM System, wo also Anwendungen und Infrastruktur verwaltet werden, das, was der Copie ja gesagt hat. Hier geht es letztlich um, um Rechte zu weisen. Accounts anzulegen, Accounts zu Berechtigungen oder wieder wegzunehmen. Natürlich idealerweise. Und das abhängig von bestimmten Attributen. Dazu gehört natürlich auch die Group Mitgliedschaft, beispielsweise in einer Art.. Nun mal angenommen, sie hätten dort jetzt ich sage mal Projekt Eklipse, schreib Zugang beispielsweise. Ja. Und Sie wollen jetzt ein Benutzer für das Projekt Clubs Long Schreib Zugang geben, dann beantragt er vielleicht eine Rolle. Vielleicht hätte das Enteilt jemand so umgehängt. Oder Sie machen das aufgrund irgendeiner Mitgliedschaft. Da gibt's ja verschiedene Optionen, diese Abhängigkeiten zu gestalten. Und jetzt wird dieser Benutzer in eine Gruppe Projekt Eklipse von Schreib Zugang reingesetzt. Sie müssen sich in dem Moment einfach drauf verlassen, dass tatsächlich die Verbindung zum Dateisystem von dieser Art Gruppe auch nur Schreib Zugang beinhaltet. Sie wissen erstmal nicht. Das liefert Ihnen kein Fidi System out of the box. Ob diese Art Gruppe nun tatsächlich vielleicht einen ganz anderen Zugang hat, vielleicht auf einen ganz anderen Bereich im Dateisystem oder vielleicht sogar Schreib und Lese Zugang hat, diese Information fehlt Ihnen einfach. Und da mehr Transparenz reinzubringen, ist einfach deutlicher zu machen. Das ist eigentlich das, was wir dann und umfassender Identitäts Verwaltung verstehen, dass man diese Information so wie sie im Dateisystem momentan sind. Und natürlich, wenn man heute über Dateisystem redet, also über Ablage Orte von Dateien, ist das natürlich nicht nur der Fall Server. Das ist natürlich nasses Thema, ob das Netta ist oder ob. Eine Eisele ist oder ob das Collaboration Systeme wie SharePoint sind oder Teams oder Cloud Speicher, wir haben doch viele Kunden momentan, die einen eindeutigen Weg in die Cloud haben, die selbst Dateisystem Datei Ablage heute in der Cloud man davon Drive beispielsweise hat, diesen diesen Weg zu begleiten. Das ist also die Aufgabe, die letztlich auch in Verlagsmanager übernehmen kann. Das heißt also in der Hackel das kurz zusammengefasst den Vorteil, den man von einer umfassenden in die Tetsu Verwaltung hat. Die ist also tatsächlich möglich, sowas zu machen. Sind eben die Punkte, wie sie hier stehen. Das geht von der Beantragung des Zugangs, von einer einzigen Stelle bis hin zur Berichtigungen Analyse. Die verschiedenen Punkte. Das ist natürlich jetzt hier auch ein Mischmasch. Diese Vorteile stehen. Was hab ich denn, wenn ich nur Ideen habe? Was hab ich denn, wenn ich nur Flachsmann Element mache und das hab ich, bin ich. Beides habe der größte Charme. Ich hab dahinter einen Pass Leitz dafür. Das zu zeigen ist natürlich, dass ich alles an einem Punkt sehen kann und nicht mit verschiedenen Leuten reden muss oder mir verschiedene Sachen anschauen muss. Weil verschiedene Browser öffnen muss, er verschiedene Fenster aufmachen muss, dann wirklich an einen Punkt alles sehen kann. Das ist die Grundidee dabei. Also ganz grob von der Produkt Übersicht her. Auf der einen Seite die Verbindung zu den Dateisystem, egal ob Cloud oder on prim und auf der anderen Seite eine rechte Analyse Aktivitäten, Monitoren der Klassen der Daten, Klassifizierung. Wenn wir feststellen wollen, ob jemand auf Daten zugreift, die beispielsweise GDPR behaftet sind, hat er Informationen hat oder eben vielleicht auch einfach Intellectual Property von ihrer Firma angreift oder auf den Geschäftsbericht zugreift, müssen Sie ja die Daten vorher klassifizieren. Das heißt, die Software muss in der Lage sein, sehr große Datenmengen. Also wir reden hier durchaus von Terabyte von Peter BYD, wenn's sein muss in kürzester Zeit zu verarbeiten. Also Terabyte muss dann auch schon mal in ein paar Tagen möglich sein, das durchzugehen. Wir wissen schon, dass Millionen und Milliarden von Falz bei den Benutzern liegen, aber auf der anderen Seite Man muss ja nicht alles auf einmal machen. Also auch da kann man sich langsam rantasten. Und Sie wissen, es gibt einen IT-Leute. Kein Problem, was man nicht mit Hardware erschlagen könnte. Also das ist auf jeden Fall ein Punkt, der vom Fall Access Manager zur Verfügung gestellt wird und dass das der Spotter obendrüber soll einfach nur zeigen, dass dann eine ein Frontend hat, wo ich hingehen kann, um damit zu arbeiten. Wir machen das in in vier Schritten, sag ich mal uns anzunähern. Unabhängig davon jetzt, wie die Information von einem VDM System mit verwaltet wird. Es sind vier Schnitte. Das erste was passiert ist wir machen eine Sichtbarkeit. Das Allerwichtigste ist es sonnenklar. Was Sie nicht sehen, können sie nicht kontrollieren. Erst so nach dem Motto Was ich weiß, macht mich nicht heiß. Das mag auf der einen Seite manchmal ganz positiv sein für den Ansatz in der IT. Um zu wissen, wer welche Rechte hat, ist das eine ganz blöde Idee. Es macht also Sinn, Sichtbarkeit zu schaffen, um zu wissen Wer hat denn was. Und mit diese Sichtbarkeit, das heißt also was passiert. Aktivitäten beim idem System. In meinem Fall System. Was passiert in Aktivitäten in meiner Art, wenn ich das möchte? Auch sowas können wir mit halt nachhalten dabei. Dazu gehört dann einfach eine Entdeckung. Wo befindet sich denn dich? Sensible Daten? Was ich immer wieder feststelle in PCs. Natürlich haben sie an den Orten, wo die sensiblen Daten hingehören, alle möglichen Vorsichtsmaßnahmen getroffen, wo sie ganz sicher sind, dass nichts passieren kann. Das liegt in der Natur der Sache. Administratoren machen ja per se nichts falsch oder mit Absicht irgendetwas falsch. Aber wie der Mitarbeiter, der einzelne Benutzer nun mit den Daten umgeht, ob dann irgendwas auf einem irgendwie in der Cloud landet, auf irgendwelchen Wegen oder ob die Daten irgendwo anders möglicherweise aus Versehen abgelegt werden und zwischengelagert werden, weil wir ja was austauschen wollte, das wissen sie oftmals nicht. Und diese Ecken, das zeigt in der Verlagsmanager da eben eine Aufmerksamkeit zu erreichen. Und das ist eine Sachen, die gehen tatsächlich on the fly, wie es so schön heißt. Also ich mag den Begriff Realtime in der IT nicht so sehr, weil riegelt haben. Das sind ja doch viele Komponenten und viele Moving Parts dabei. Bei uns heißt Realtime Innerhalb von einer Minute bekommen sie dann tatsächlich so ein Event angezeigt, dass da was passiert ist und sie drauf reagieren können. Wie gesagt, also entdecken Klassifizierung der Echtzeit Monitor und die Analyse der Zugriffsrechte. Das ist natürlich immer das Allerwichtigste. Sie wollen natürlich wissen Wo liegen denn nur Rechte? Wo hat denn nur der Benutzer die Rechte her? Und auf welche Rechte kann ich denn vielleicht verzichten? Wie oft werden Sie denn gebraucht? Ja, entsinnen Sie sich? In ihn gewachsenen Strukturen ist das oftmals der Fall, dass Sie sagen Ja, diese Gruppe, ich weiß auch nicht, wofür man die braucht. Ich weiß es nicht mehr. Hat man jemand angelegt? Aber lass mal. Vielleicht braucht man sie ja doch. Er ist zwar kein Benutzer mehr drin, aber es traut halt eben keiner, was zu löschen. Jetzt wäre es schön zu wissen, wann es in die Gruppe das letzte Mal benutzt worden. Das sind Dinge, die wir ihnen zeigen. Das nächste sind natürlich was danach kommt, sind Kontrollen. Ich bin ich. Diese Informationen habe. Kann ich Kontrollen aufsetzen. Die Wahl des Daten Eigentümers ist für uns eigentlich immer der allerwichtigste Schritt. Das ist heute Gott sei Dank. Das hat sich in deutschen Firmen rumgesprochen. Das wird heute schon relativ oft und gut gepflegt, das Mandaten Eigentümer hat. Da gibt's tatsächlich auch Prozesse, für die dafür sorgen. Sowas zu machen. Das hat mit ohne Shaft nichts zu tun, sondern einen Eigentümer kann auch jemand sein, der eine Verantwortung. Für die Informationen in diesem Ordner trägt er Das muss nicht zwangsläufig jemand sein, der in diesem Ordner arbeitet, und es ist schon ganz und gar nicht derjenige, der in diesem ordnet die meiste Arbeit macht, ja, sondern das ist derjenige, der damit arbeitet. Aber verantwortlich für die Daten ist oftmals jemand ganz anderes. Also gerade wenn wir den Geschäftsbericht Beispiel Mike Small, macht er das dann oftmals der Assistent, der eben viel damit macht, die Sachen zusammen steckt er halt ein Exel auch kann, der bestimmte Dinge zusammenführen kann. Aber der CEO ist halt verantwortlich für diese Daten da drin. Also wenn ich unbedingt er ohne diese einen Datei. Also da ist schon ein Unterschied für uns. Aber diese Daten Eigenthümer ist für uns ein wichtiger Punkt, weil der kann sich einfach Alarme einstellen dafür beispielsweise. Und natürlich müssen Richtlinien, wenn sie aufgestellt werden, also das sind beispielsweise Klassifizierungen, Regeln. Das sind aber auch Alarmierung Regeln. Also wenn jemand gegen irgendein Zustand verstößt, den Sie nicht haben wollen. Das hat nichts mit Breshnew Tudi zu tun. Und es gibt ja zum Alarme zu setzen, beispielsweise, wenn von einem bestimmten Beschere es einmal innerhalb von keine anhingen von einer Stunde oder innerhalb von drei, vier, fünf Minuten Hunderte von Dateien weg kopiert werden. Sieht dann oftmals nach einem gezielten Kopier Vorgang aus. Sie wissen, wenn Mitarbeiter das Unternehmen verlassen wollen, dann nimmt die Kopier Tätigkeit reziprok zu. Das ist also oftmals athmen. Haben nicht wir festgestellt, sondern es ist ein allbekannt begrünte Zustand, dass so etwas passiert. Also man kann selbst solche Trigger setzen, um zu fallen, um zu merken passiert da irgendwas in der Datenbank? Also solche Alarme meine ich, die man einfach setzen kann. Und das würden sie einfach. Echtzeit heißt bei uns eben innerhalb von einer Minute würden sie sowas merken. Und da dieses Tool tatsächlich als deine Loan installiert werden kann. Wenn eine Firma noch gar nichts hat, völlig blank ist, dann muss sie nicht erst Idee im System eingeführt werden, sondern ich kann tatsächlich mit diesem mit diesem Fail Access Management anfangen zu sagen ich guck mal in meinen unstrukturierten Danach und bau dann später das Fidi im System hintendran auf. Dann kann ich tatsächlich auch eine Zugangs Verwaltung. Also ich kann Anfragen darüber stellen. Wir haben simple Workflows in das Produkt implementiert, beispielsweise für für Zertifizierung oder eben auch für Zugangs Anfragen. Da steht also auch kontrolliert den Eigenthümer mit einbringen kann dazu ja. Und dann natürlich. Compliance ist natürlich das. So geht es dann einfach weiter, ist der nächste logische Schritt. Also wer verstößt dagegen, einfach diese Compliance Einblicke zu haben, jemand in diesen diesen Zugang zu gewähren? Wir haben also es gibt eine Compliance Rolle dabei, die Mitarbeitern umhängen kann, also beispielsweise um die Option zu geben, reinzukriegen, zu schauen, was passiert denn darin. Er kann also alles sehen, aber nichts wirklich anfassen. Also gucken ja, aber nicht anfassen. Mit Zertifizierung da schon drüber gesprochen. Oder eben auch Zugriff Simulation. Das heißt, was passiert denn, wenn ich jetzt niemanden aus dieser Gruppe rausnehme, dann können wir ihn zeigen. Also wenn ich den da rausnimmt, dann verliert er den und den Zugang. Das kann man dann relativ leicht sehen. Oder wenn ich jemanden eine Crop rein nehme, was heißt das? Wo kommt dann ein überall hin? Das ist dieses was wäre wenn. Wird nicht wirklich oft benutzt, weil wenn sie klar Schiff familiärem Dateisystem brauchen Sie das nicht mehr wirklich. Aber es hilft oftmals in der ersten. Beim Aufräumen hilft es einfach, wenn man unsicher ist zu sagen also was hängt denn nun wirklich dahinter? Und dann kann man das System schon mal fragen was wäre wenn? Und der vierte Schritt ist tatsächlich die die Abhilfe davon. Und das ist dann relativ offen gestaltet. Also es gibt natürlich wir. Wir nennen es Normalisierung des Zugangs. Das heißt, Sie können die die Gruppen Verwaltung beispielsweise dem flachst Management überlassen. Wir können das. Für bestimmte Bereiche wird es oftmals von Kunden genutzt. Wir legen dann eine Rieth breit und eine Rit Reith, also ein Execute Gruppe an und bringen die Leute da rein. Das kann keine große Buchung mehr erzählt mit Nesta Club, sondern wir machen das direkt. Für jeden Ordner wird ebenso etwas angelegt dabei. So was wird getan. Das könnte man machen. Es sind einfach bewährte Praxen, Praktiken ja auch wie sie von Microsoft empfohlen werden, die da eben umgesetzt werden. Das kann man machen. Wir können den, den wir können diesen Zugang natürlich dann auch umsetzen. Das ist das, was mit der Normalisierung einhergeht und die nutzbar und des Sports. Wir haben also diese diese Übersichten für den Admin, aber natürlich auch für den Datei Eigenthümer haben wir einfach der Sport so einfach sieht, für was hat er Verantwortung und sieht, wo er sich Alarme gesetzt hat und was er vielleicht tun muss oder wo es irgendwelche Identifizierung gibt. Das würde jetzt auch mit der Website dem Anwender zur Verfügung gestellt wird er nicht auf irgendwelche es sage ich mal Fett Kleines oder Kleines hingewiesen, sondern er hat eine Website, mit der sowas machen kann und wenn was ansteht für ihn kriegt natürlich eine E-Mail und kannst du da drauf verbinden. Also das sind die die Schritte, indem wir das machen von den Objekten her, die wir anführen. Ich es immer ne übliche Frage. Ich denke mal, wir haben momentan eine Abbildung für alles, was tatsächlich sich heute so im im Rechenzentrum findet. Üblicherweise also vielleicht nicht jeden Exoten. Das mag dahingestellt sein, aber sind wir die? Die großen Player sind, alle berücksichtigt. Wenn jetzt irgendwas dabei sein sollte Busan. Das fehlt mir uns aber unbedingt. Dann muss man sich das angucken, was eben dazugehört. Also das sind dann tatsächlich, wenn Sie so wollen, Connector, die benötigt werden, um in dieses Thema rein zu gucken. Das ist beispielsweise bei geschlossenen Systemen wie eine Biene MK oder auch eine Netta ist das nicht immer ganz einfach. Der Hersteller muss halt die Option geben, dass man dann mit einem Agen dort arbeiten kann. An dieser Ecke. Also das sind Dinge, was wir tun. Eine Klarstellung nur Pamina E-Mail Systeme drin. Wir schauen nicht in E-Mail Systeme hinein, da gibt es andere Produkte, diese viel besser können als wir. Das soll auch gerne so bleiben. Wir können ihnen nur sagen, wer Rechte an der Mailbox hat. Also wir sagen Ihnen, wer die Mails von Ihrem Chef noch lesen kann, außer Ihr Chef. Also das ist das, was dahinter steckt, weil wir reden letztlich um Berechtigungen an diesen Ordnern. Aber wir gucken nicht. Also da machen wir keine Klassifizierung für. Das ist eine andere Baustelle. Wichtig war auch immer eine Frage wird oft gefragt. Ja, wir haben eine ganz komplizierte Struktur bei uns. Was kann ich denn damit machen? Der Verlagsmanager wurde von der ersten Sekunde an so gebaut, dass er im Prinzip in jedweder Infrastruktur aufgebaut werden kann. Das kann natürlich beliebig komplex sein. Das heißt also, wenn Sie eine komplexe Infrastruktur haben, dann wird das mit einer simplen Implementierung nicht getan sein. Da muss man gucken, um die Services hinsetzt. Es macht natürlich Sinn, die Lese Services so nah wie an die an die Dateisystem zu bringen, wo sie eben liegen. Aber grundsätzlich ist es so Sie können alle hoch verfügbar aufgebaut werden und es kann ihnen jeder nahezu beliebigen Infrastruktur. Ich habe z.B. keine Grenze gefunden, wo wir hätten sagen können Das können wir nicht, weil eben jeder Server separat laufen kann. In der einfachsten Version ist es tatsächlich ein System, auf dem die Actions laufen, ein System, auf dem die Anwendung läuft und eine separate Datenbank dafür. Und fertig ist der Lack. Also das das was passiert dabei? Jetzt lassen Sie mal ein bisschen da reingehen. Wir haben also für die Klassifizierung relativ viel getan. Wir verbessern diesen Algorithmus immer mehr, um natürlich immer genauer zu werden. Sie können in diesem für die Daten Klassifizierung. Sie können Keywords hinterlegen. Sie können mit. Na. Mit Rektor Expressions arbeitend, beispielsweise, dass es Ihnen überlassen. Wir haben ein paar Dinge, die wir beurteilen können vorgefertigt, beispielsweise für PCI oder für GDPR. Aber halt ein paar Dinge vorbereitet, die Ihnen einen Staat ermöglichen. Also so ein paar Policen da. Aber Sie können einfach beliebige Sachen hinzufügen, wie immer Sie das mögen. Wir haben. Sie können Berichte filtern. Es gibt unendlich viele Berichte, die wir als nicht unendlich, aber viele, viele Berichte über 60, die wir bereits vorgefertigt haben. So die Klassiker, die über einem immer gebraucht werden. Aber was immer Sie sich für eine IHF anschauen in den Aktivitäten, das kann ich vielleicht in der kurzen Demo vielleicht mal zeigen. Sie können sich jeder jede beliebige Filter Zusammenstellung, die Ihnen Ergebnis bringt, können Sie sich als Report speichern und können dann mit diesem Report letztlich arbeiten. Sie sehen, Sie können Reports Tekken. Sie können sie schälen. Sie können Sie kacheln, um sich da regelmäßige Informationen zu holen, weil das System liefert Ihnen beispielsweise auch eine Information, welche Benutzer haben ein Passwort oder Expat beispielsweise, oder wenn Sie wissen wollen, wer aus, wer auf Daten zugreift, aber nicht im hrte Department ist und da regelmäßig was zu wissen wollen. Solche Informationen kann man sich einfach regelmäßig schicken lassen. Man möchte aber natürlich auch alles andere was angeht. Wie viele Dateien habe ich, die mehr als keine Ahnung 4 Gigabyte groß sind. Wenn sie irgendwelche Kohr Dateien irgendwo liegen haben. Sowas kann man machen oder auf bestimmten Systemen. Also solche Dinge lassen sich einfach rausfiltern, auf Dateien bezogen. Das ist eher die hoch Verfügbarkeit. Es ist vielleicht ein bisschen sehr technisch, aber Sie sehen, wir haben die Dienste einfach getrennt und Sie können einfach diese Dienste. Wie Sie hier rausgeholt sind, können Sie einfach hinter bestimmte Webseiten legen oder in bestimmte Ports legen, um da einfach mal nahezu beliebig die Verfügbarkeit einfach aufzustellen, damit, wenn ein Service wegbricht oder eine Seite wegbricht. Dort sind noch bestimmte Dinge einfach funktionieren. Er hat das die Idee. Diese Hoch Verfügbarkeit ist einfach ein wichtiger Punkt, damit gerade diese Events eben korrekt reinkommen. Wer seine Point ein bisschen kennt von Ihnen weiß, dass diese Identity Kube für uns in der zentrale Punkt ist. Die Intimität ist für uns Identity Kube bei, indem eben all diese Informationen zusammenkommen. Das ist die Zusammenfassung. Wie kommen diese Informationen in ein System hinein? Und da hab ich eben rechte Accounts, sensitive Daten, die Rollen, die Anwendung, die Infrastruktur. Das sind Dinge, die wir alle in diesem Kube zusammenbringen, um dann eben zu zeigen Wer hat denn wo welche Rechte also sehen tatsächlich die Zugriffsrechte als ein Teil Element bei dem Benutzer angelegt oder sie genau sehen Ah, er hat auf diese diese Verzeichnisse hatte eben Modifier, Rechte oder Riten. Raith Rechte, was immer auch und wenn Sie denn Rollen beantragen, da hab ich gleich noch ein paar Screenshots zu können Sie einfach sehen, dass hier mit dieser Beantragung bereits einen Zugriff auf sensitive Rechte erfolgt und können dann als Abrufe beispielsweise sich entsprechend verhalten. Oder Sie sind natürlich auch in der Beziehung, dass sich da gerade etwas Rezente beziehen, was eben mit bestimmten Berechtigungen versehen ist. Das sieht wie folgt aus Sie sehen hier sensible Daten in Netz. Das hier ist eine Art der Zertifizierung, wie Sie ihn in IAC Kyu beispielsweise passiert. Ja, Sie haben hier. Sie sehen hier unsere Powells, die wir mit Reinheit die genehmige und die Vorschläge mit reinbringen. Wir haben so eine. So eine Vorschlags Engine mit dabei, die Ihnen sagt Ist es sinnvoll, das Ding hier zu erproben? Ja oder nein? Soll ich das machen? Also die ist die Historie davon. Das zeigt er Ihnen hiermit an und gibt Ihnen Empfehlungen. Wie haben Sie das letztens gemacht oder wie das allgemein gehandhabt? Aber Sie sehen auch hier eine Klassifizierung. Also wenn klassifiziert wird im Dateisystem, bringen wir diese Klassifizierung ins idem System. Sie sehen hier das Recht hier Global Infrastructure Manager gibt also von der Klassifizierung Rechte auf PCI Daten auf Personal hält's oder auf SCN Daten. Also das ist die die Security, die Social Security Number in in Amerika, also das was wir uns Sozialversicherungsnummer heißt oder noch mehr hinten dran, wo Sie drauf klicken können. Diese Information wird Ihnen einfach hier mit angezeigten zum blauen Ordner. Sehen Sie, hier ist was passiert und das zieht sich wie ein roter Faden überall durch. Sie sehen hier, dass die Klassifizierung dazu. So sieht das eben aus. Diese Darstellung dazu ist relativ schlicht, aber mit dem Maus over bekommt da einfach mehr Informationen. Dann kannst du überlegen, ob man das einfach so durchreiche oder halt eben auch nicht her. Hier ist ein Beispiel mit eine Zugangs Anfrage. Wie sieht es aus, wenn jemand eine Zugangs Anfrage macht? Kann ich hier wieder genau das Symbol bleibt das gleiche und ich kriege ja auch eine Klassifizierung dazu und kann mir das überlegen als genehmige, ob ich den Haken hier vorne lasse oder ob ich ihn wegnehme. Ja, das ist einfach so die Art und Weise, wie man sowas gestalten kann. Wie gesagt, natürlich ist das Bestreben so viel wie möglich Dinge automatisch zu machen. Das wissen wir auch. Und oftmals kommt es dann eben über die rezeptiv Beziehung dazu, dass man jemandem vielleicht den Zugang für bestimmte Dinge wegnimmt. Aber wenn dann noch geprüft wird, dann kann man das über den Weg machen. Er hat das mit einfachen Hinweis dazu bekommt die Information, dass jemand diese diese Zugangs Rechte hat, wird dann in dem Kube sowieso nachgeholten. Hier kann man nochmal sagen, ob man verstöße, ob man das zulässt oder nicht. Das kann man hier drüber machen, das jetzt hier. Verstöße heißt es in Policy Variations. Also hier gab's einfach nur die Regel ein Verstoß gegen bestimmte Dinge unter Hopser. Und da kann ich einfach sagen Okay, will ich das jetzt freigeben oder nicht? Und so kann ich relativ leicht zu bestimmten Dingen sagen. Also ich habe hier verschiedene Verstöße hiergegen BHE Engineering Rol also da gibt's von Pössel enthält Information, gibt es bestimmte Dinge. Und da hat eben jemand gegen verstoßen. Also der Herr Butz war das wohl in dem Moment und ich kann jetzt sagen, ist das zertifiziert? Ja oder nein? Gebe ich das weiter? Was will ich damit machen? Das sind eben Dinge, die man auch hier wiederfindet. Einfach diese Art der Zertifizierung wird hier eben wiedergegeben. Das ist ja keine Information, die in idem System so per se hält, sondern diese Information kommt tatsächlich aus dem Verlagsmanager. Ich hab jetzt mal so nicht mehr viel Zeit, glaube ich für drei Szenarien. Da gehen wir mal schnell durch sichere konforme Nutzung in der Cloud. Das ist oftmals eine Sache, die gebraucht wird. Wie kann ich so was machen? Also einfach die Ressourcen integrieren, in den Farmen den Eigenthümer zuweisen. Damit wird die Ressort als die Ressource, die ich dann eben anzuschließen gilt. Die sollen überwacht werden und dann werden die Daten kontinuierlich klassifiziert. Also das dauert nur beim ersten Mal natürlich ein bisschen länger, wenn das erst durch den durch die ganzen Sachen durchläuft. Ansonsten dessen Task, der immer wieder passiert. Dann lassen sie ein, zwei, drei, viermal am Tag laufen und dann kommt immer eine neue Klassifizierung raus. Sie können es so oft machen, wie Sie es für richtig halten und da Abhilfe regeln. Dazu eine Abhilfe Regel kann auch sein, dass es dann eine rezeptiv Beziehung innerhalb des Systems wird. Weil wir haben den Event und das Event System kann dann eben auch via API an das VDM System weitergereicht werden. Idealerweise natürlich an entseelt point idem System sehr gerne. Da gibt es einen fertigen Connector für. Aber Sie können diesen Event natürlich auch benutzen, um ein bestehendes System zu füttern. Auch das lässt sich machen. Herr Fidi, Systeme können heute üblicherweise Events abgreifen von der Rest API. Und das ist das, was wir tun. Wir bleiben offen dabei. Also Sie sind nicht gezwungen, dann auch in ihrem System von uns zu nehmen, auch wenn das sicherlich optimiert ist, was den Connector angeht, sondern Sie können das auch mit dem bestehenden System machen und sich da einfach die Information liefern lassen. Also das ist der Weg eben bei so einer sicheren Nutzung von der Cloud. Wenn ich möchte, sind Akquisition. Keine Ahnung, ob das jetzt in Zeiten von Corona vielleicht noch öfter passieren wird. Aber das ist ein Punkt, der immer wieder wichtig ist. Wie gehe ich mit den Informationen aus dem anderen Dateisystem um? Was mache ich dazu? Und das ist sicherlich wieder genau das Gleiche. Ich habe einfach ich muss die Ordnerstruktur und definieren Klassifizierungen, Regeln machen, Eigenthümer zuweisen. Das ist ein ganz wichtiger Punkt. Wenn das nicht automatisch drin ist, darum bringen wir es immerhin mit rein. Und dann eben einrichten Falsifizierung und selbst Anfrage Workflows in Form. Wenn der Farm alleine da steht. Sie können es natürlich auch aus dem diese System heraus steuern. Aber falls der Farm alleine ist, kann man das auch im Farm gestalten, wie das eben zu tun ist und was da jemand machen muss, um da reinzukommen. Sie sehen hier aber den Compliance Officer, der dann immer wieder schauen kann. Gibt's Verstöße? Kann ich etwas machen, der dann eben reingucken kann, ohne jetzt direkten EAM zu benötigen? Wenn es dann nicht da sein sollte, wenn ja, kann man diese Information auch überbringen. Der letzte Punkt so ein Klassiker Überwachung von Ecktisch Directory. Ich hab mir gerne den Spaß noch, wenn wir das eingeführt haben. Das Produkt hab ich mir nach den ersten Kunden einfach ein Spaß daraus gemacht zu fragen, wenn wir es dann entweder eingeführt hatten oder vielleicht auch nur im PC das die Admins dräuen gefragt hab und soll es wieder mitnehmen. Ich hab es wieder abbauen. Nein, ich nenne ihn den Glasmacher, weil das war dann doch immer ja, ich komme hier Montag morgen. Ich hab mir ein paar Anfragen gemacht, dann sehe ich denen die Sachen dieser dieser eine Blick also auch a.d. eingefleischte Administratoren, die alles PowerShell geregelt kriegen und sich für €000 Sachen und in Tütchen geschrieben haben, sind dann heilfroh, wenn sie so ein zentrales Tool haben, wo sie ein paar zentrale wichtige Abfragen für sich gestalten können und dann einfach gucken können Wie geht's meiner Art? Mit zwei, drei Handgriffen einfach Ergebnisse sehen. Da hat man dann doch gemerkt Aha, das hilft anscheinend doch, wenn ich die Events alle an einem Punkt sehe und schon ein bisschen aufbereitet sehe, weil wir natürlich nicht den nicht so ein Event Boost machen. Ja, Datei Open sind normalerweise 70 Events, die ja irgendwie von Microsoft OLED geschrieben werden. Aber wir benutzen den Micro Monitor oder den Micro den Mini Monitor Service. Von daher kommt das schon gefilterte Daten einfach an und wir sehen halt nur, dass Dateien geöffnet wurden, die Dinge sich verändert haben oder neue Benutzer angelegt oder disabled worden sind. Was immer auch das sind Dinge, die einfach dann hiermit nachgeholt werden können. Und das ist oftmals einfacher das zu tun. Okay, haben wir noch Zeit ein bisschen ins Produkt rein zu springen? Herr KuppingerCole?
AWO Ja doch.
Klar, dann würde ich das mal machen. Ich hatte ja schon den Mainstream, kann man das erkennen jetz. Ja, sieht mir Software ok. Also einfach nur mal ein paar kurze Sachen, wie gesagt, ein Workshop dauert sicherlich deutlich länger, ich möchte es auch stressen. Bitte, wenn Sie Interesse haben daran und wir wollen dann Termin miteinander machen, sehr gerne. Dann lassen Sie uns ein bisschen Zeit nehmen dazu. Das ist eine Sache. Die, die man eben dann doch schon in ihm im Schweinsgalopp einfach machen sollte. Was ich mir feststelle, was die Leute am meisten interessiert, ist einfach Wo sehe ich denn jetzt meine Berechtigung und meine Rechte? Wie sieht das aus? Wir sehen hier Wir haben ja Ressourcen, da sind die Ressourcen, die man anstellt, die ich jetzt hier in diesem Zielsystem zum Teil angebunden habe. Aber ich habe hier in Windows Fall Server drin. Da gibt's eine Demo Struktur. Bitte immer im Hinterkopf behalten. Das ist eine Demo System, das hat nichts. Also null Vergleich. Hält das Stand mit dem, was Sie in Ihrem eigenen Team haben. Aber Sie kriegen zumindest eine Idee, wie es funktioniert. Und ich habe hier eine Abteilung Human Resources und wenn ich da draufklicke, habe ich hier die Option, mir verschiedene Optionen zu wählen, wie ich dieses Recht mir anschauen will. Ich habe jetzt eine einfache Ansicht gewählt dabei und sehe jetzt hier hier ist Siri, Administrator gibt's Michel, PSN, Karl Foster und so weiter und so fort. Und die haben elf Leute am Funk Kontrollrechte einer keine Art die Rechte und es gibt Riten, Raith Rechte und so weiter. Ich hab hier schon mal Informationen dabei. Wenn ich jetzt beispielsweise wissen möchte, wo kriegte nur der Karl Foster seine seine Berechtigung her? Und dann sehe ich hier eine Auflistung Aha. Und Karl Foster. Also erst hat er fünf verschiedene Zugänge. Das du schon mal Papa hoch drei. Das geht garnicht. Und ich sehe hier. Ich habe hier eine Full Control. Ich hab hier noch eine Full Control und ich hab hier noch eine voll control. Ich seh genau wo die Rechte herkommt und was ich noch sehe. Diese Rechte wurden seit mehr als 12 Monaten nicht mehr benutzt. Aktiv. Die Frage ist also braucht er das überhaupt? Ja natürlich, ist mir sonnenklar. Es gibt natürlich Berechtigungen, die brauche ich tatsächlich nur einmal im Jahr. Das weiß ich. Und das wissen Sie natürlich auch. Aber trotzdem hat man schon mal ein Fädchen in der Hand, wo man jemanden fragen kann. Ja, wir zeigen das auch noch in einer anderen Darstellung. Das heißt, wenn ich wissen will Wo gibt's denn hier überhaupt? Wir nennen das hier übertragene Berechtigung. Ich sehe also ein Blick welcher. Wer hat denn Berechtigung? Seit mehr als zwölf Monaten nicht mehr benutzt und kann da einfach mit umgehen? Kann darauf reagieren. Das macht es einfach leichter. Herrchen, Paul, Walter. Und dann sehe ich hier er hat er hat Full Control drei Berechtigungen, die eigentlich über Professional Art sind. Man kann mir das dann angucken. Ja, er hat Ray vielleicht nicht schlecht, aber ja, 2, die kriegt er aus derselben Ecke. Macht das überhaupt Sinn? Warum ist das überhaupt so? Also dann ist Fakt. Zumindest ist leichter, die richtigen Fragen zu stellen und nicht einfach zu sagen könnte nicht mal jemand, sondern zu fragen Warum ist das genau so, dass die eine Sache, die ich kurz zeigen wollte, die andere ist die detaillierte Analyse. Das heißt, bin ich hier jetzt? Ich habe jetzt hier, das ist eine WM, die hier auf meinem Rechner läuft und das hier ist ne Remote Session in diese WM. Und der Remote User, der hier ankämen, ist Amanda Ross. Und sie kennen das vielleicht die Benutzer. Das soll ich soll die Home Darida simulieren und jetzt hat hier die Amanda Ross hat hier ihr 4 Home Verzeichnis hatte. Das hat hier Ihr Home Verzeichnis beispielsweise mit lang herumgespielt und Sie kennen das sicherlich alle. Wenn Sie denn. Steht im Wald vor lauter Bäumen und sieht jemand Amanda Ross? Gerne immer jemand anders. Bin ich jetzt hier, den ich jetzt schon Gellermann. Sie kennen das. Wenn die Benutzer herumspielen mit dem, mit dem, mit der Maus und dann bleibt irgendwie bleibt Verzeichnis mal hängen da dran und es verschiebt er aus Versehen den Albert Putz beispielsweise hier, nachdem er dem Kennedy. Es ist natürlich sonnenklar, dass der Benutzer sucht dann natürlich das Verzeichnis, was ja gerade verschoben hat, und er schwört Stein und Bein. Er hat nichts gemacht. Das kennen sie alle. Und jetzt ruft er ihm das an und sagt Du, da ist irgendwie meine Tei verschwunden. Keine Ahnung, warum das passiert ist, aber ich habe nichts gemacht. Also wirklich. Und auf einmal was weg. Und er hat natürlich keine Ahnung. Und der arme Mensch am, der sitzt halt eben da seit Jahren. Wie soll ich dir jetzt helfen? Das heißt, sie dabei vorgestellt. Jetzt müssten wir hier eine Minute haben. Ich hoffe, die haben wir noch die eine Minute. Also ich habe ein Beispiel hier vorbereitet, wo hier Sie sehen eine Amanda Ross hier einfach schon ein bisschen herumgespielt hat, die einfach Dinge getan hat. Bündelweise einmal hab ich das als Administrator also mal Amanda Ross gemacht und so nach einer Minute. Es dauert halt tatsächlich und ich sage mal, die Minute, die man hier am PC wartet, zieht sich heute natürlich wie Kaugummi. Aber ich kann ja immer vorher zeigen, wie eine Klasse Daten Klassifizierung aussieht. Nicht, dass ich denken, wenn jetzt jemand hier vor der Software sitzt als Admin Halley kann er ja doch auf alle Rechte zugreifen. So machen wir das nicht, sondern wir zeigen hier ganz einfach die die Anzahl der Klassifizierung, die angeschlagen haben. Und ich kann jetzt hier genau erkennen, dass der Pfad der Ressource der genau. Ich kann also einstellen, ob ich den so haben möchte oder mit Laufwerk Buchstaben haben möchte. Ich sehe einfach, welche Dateien betroffen, nämlich die Companie Info. Ich sollte. Es ist betroffen. Das sind ρ Informationen, gegen die verstoßen worden ist. Das ist vielleicht auch in einer E-Mail dabei. Da gibt es dann nochmal die Regel dazu. Und ich kann hier sehen, was sind denn Dinge, die angeschlagen haben jetzt in dieser Regel und einfach das nochmal so als Information zu geben. Wir können natürlich E-Mails verschreiben, bestellen, den Event bereit, wir können E-Mails verschreiben, E-Mails schreiben, dazu zu einem Admin, dazu irgendjemand, der das ändern können soll. Aber derjenige, der hier selbst als Admin vor dem PC sitzt oder vor dieser Website sitzt, kann diese Datei nicht aufmachen. Also können Sie klicken, solange Sie wollen. Sie kriegen wohl gezeigt, welche Datei es ist, aber Sie können selbstverständlich nicht reinschauen. Jetzt lass uns doch mal gucken, ob man das jetzt hier sieht. Sie sehen hier, das haben wir. Sie sehen, das sie nicht sein. Er war ja klar. Also mache ich das einfach mit dem Beispiel, wo ich mit Amanda Ross schon mal etwas verschoben habe. Also wenn jetzt dieselbe Situation nochmal ruft, jetzt an. Das ist der Moment. Wer bist du? Du bist Amanda Ross. Ich komm grad mal nach und die Details anschauen. Man kann dann genau sehen. Erhart Der User Amanda Ross hat die Ressource Amanda Ross auf einen Fahrt verschoben. Der nennt sich Adam Kennedy Amanda Ross. Also das dauert eine Minute, zwei Minuten. Und dann weiß er genau, was der Anwender gemacht hat in dieser letzten Minute oder in dieser Zeit. Kann sagen, wo er das Ding hin verschoben hat. Und natürlich ist eine Kleinigkeit, dann dort reinzugehen, als Admin zu sagen Okay, ich schieb das wieder zurück. Das ist genau der Vorgang, den ich, den ich hier gemacht habe, hier als Administrator das wieder zurückgeführt habe und man dann sehen kann Ah, der Administrator hat die Resource Kennedy Amanda Ross wieder nach Joseph Amanda raus geschoben. Also das ist der Zustand, der dann sein sollte. Und was ich Ihnen hier auch zeigen kann, ist die Anreicherung, die wir in der weiteren Details reinbringen. Schrecklich hier. Sondern es steht, glaub ich. Hiermit hat Sie sehen hier das eine Information, die über den. Hier die über den Connector mit reinkommen, also Informationen aus Identity Management der sagen wir ist diese ist diese, diese, diese Account überhaupt noch aktiv? Das kann ich hier sehen. Ich kann mir Display Namen angucken. Ich sehe natürlich auch Dinge wie das Department und kann natürlich dann Abhängigkeiten hier festlegen, wie z.B. die Frage wer Kallstadt auf haderten zu also auf diesen falscher von HR ist aber nicht in HH System, sondern ist woanders untergebracht. Ich habe hier also einfach ein paar Informationen in Employee, ID, Location und so weiter und kann das einfach benutzen, um mir einfach Klassifizierung Regeln zu bauen, weil ich einfach beispielsweise nicht möchte, dass jemand aus London jetzt auch Finanzdaten hier bei mir in Deutschland zugreift, aus welchen Gründen auch immer. Also das sind so Dinge, die damit relativ leicht gehen. Das hat nichts mit ESO dies zu tun, sondern es geht wirklich nur darum, im Fall System einfach bestimmte Alarmierung oder bestimmte Regelwerke zu schaffen. Und wenn Sie daran interessiert sind, ein bisschen mehr zu sehen, würde ich mich drüber freuen, mit Ihnen etwas Tieferes zischen zu machen. Das war's von meiner Seite.
So. Besten Dank erhält sehr umfassende Informationen, aber ich glaube, es ist wirklich interessant. Ich fand es wirklich interessant. Von der Seite her, würde ich sagen, gehen wir jetzt gleich in die Fragen und Antworten. Wenn noch jemand von den Teilnehmern weitere Fragen hat. Wir haben schon paar vorliegen, dann Gali jetzt diese Fragen noch eingeben, damit wir sie aufgreifen können. Ansonsten würde ich gleich mit der ersten Frage beginnen und diese relativ simple Frage würde glaube ja schon ein bisschen angerissen, nämlich funktioniert dieser Fail Access Manager auch ohne ein Identity Management?
Ja, das hatte ich ja gesagt, dass es uns wichtig gewesen, dass die Firmen nicht gezwungen werden, weil wir wissen, dass die Falz Systeme oftmals Datenträger sind, die man oftmals auch über lange, lange Jahre mit sich rumtreibt und mindest der Admin beispielsweise gewechselt hat. Ja, weil endlich derjenige entweder in Rente gegangen ist oder sonst denn wir sind jetzt kommt neue rein. Deshalb soll jetzt frischer Wind Ach ihr Leut, was ist denn hier alles los? Hier müsste man mal gründlich aufräumen, dass der eben nicht vorher sich noch mit dem Fidi im System auseinandersetzen muss und sich wirtschaftsnahen Dateisystem konzentrieren kann. Und darum ja, der Verlagsmanager, den gibt es als Standalone Applikation.
Okay, die. Damit ist auch die zweite Frage schon ein bisschen, die hier vorliegt, beantwortet. Nämlich wenn man an eine der Phillip Messerschmidt einsetzen muss, ist das von Zeitdrucks. So ist das identische aku sein. Oder hat man da mehr Flexibilität?
Ident. Haben wir. Wir haben jetzt relativ neu. Also der der Verlagsmanager ist in der Sektion 8 und wir haben ihn in den letzten Versionen schon angefangen, die API aufzubauen, mit der bearbeiten kann. Also den Rest API selbstverständlich mit kimmt funktioniert. Und die wird jetzt immer weiter aufgebaut. Und momentan gibt es jeden Event, also jeder Verstoß, der irgendwo stattfindet, den wir finden ihn von mir Alarmierung Regel oder von einer Qualifizierungen Regel. Der wird als Event zur Verfügung gestellt und ich kann den abgreifen können damit arbeiten. Und ich sage mal, jedes System, jedes jede Applikation, jedes Programm, was immer auch was solche Services abfragen kann, was also selber ein Web IP hat, mit dem ich solche Events abfragen kann, solche solche Events übernehmen kann und damit was machen kann kann, kam das eben benutzen. Das kann selbstverständlich auch irgendein anderes System sein. Und moderne Systeme haben heute einfach Web Apps. Das ist gar keine Diskussion.
Genau damit und auch mit dem, was ich als Folie hatten, hat sie auch eine andere Frage nämlich eigentlich schon beantwortet welche Schnittstellen und stellte vielleicht das Wendische bereit. Ich denke, die können wir uns dann nicht überspringen. Aber eine letzte Frage finde ich noch ganz interessant. Und das es welche Datenmengen Volkan auch schon das Thema Highway to Ability und andere Sachen welche Datenmengen kann der Fall Exit Bairische verarbeiten und wie lange dauert das? Typische Szenarien.
Also das ist tatsächlich so, dass das natürlich hochgradig davon abhängig ist, einmal auch der Datei mit der Verlagsmanager aufgebaut ist. Aber wir helfen natürlich bei, dass das optimiert gemacht wird. Also jetzt nicht möglichst viele Server zu installieren, sondern tatsächlich, dass die die Search Services tatsächlich auch so nah wie möglich an den Quellen sind, wo sie hin sollen und das nicht über 15 hops geht. Also da gucken wir einfach drauf sowas zu machen. Aber wir haben in PPC Umfeldern, da wird das immer wieder gefordert. Zeig mal wie schnell ihr seid und wir liegen in dem Rahmen von Tagen, wenn es darum geht Terabyte zu untersuchen. Ich selbst war beim PHC dabei. Da haben wir ich glaube drei Terabyte untersucht. Es hat knapp vier Stunden gedauert, aber ist natürlich auch immer eine Frage, was für Daten das dann sind und wie komplex meine Regeln sind. Aber das ist alles, was er mir zeigen will. Das ist alles in einem Rahmen. Wir haben keine Begrenzung. Also wenn jemand sagt Boah, ich hab mal bei Peter Behüt bei mir liegen oder es geht sogar noch weiter dabei. Ihr kann kein Thema. Dauert sicherlich ein bisschen länger, aber wir reden nicht über Zeitspannen von Oh, das dauert aber zwei Monate. Wir reden nächstes Jahr weiter, sondern das ist wirklich. Das sind überschaubare Mengen, sag ich mal. Oder überschaubare Zeiträume, die in Relation zu den zu den Mengen an Daten stehen. Ja, natürlich. Wenn ich jetzt einen Peter bei durchsuchen will, dann dauert es vielleicht zwei, drei, vielleicht auch vier Tage, wenn es sehr komplexes. Aber ich denke mal, dass es kein Thema im Vergleich zu den Milliarden von Dateien, die ich untersucht habe.
Ok. Perfekt. Ich denke, dann sind wir auch durch sie fragen, doch damit sie dann auch am Ende der Stunde, die wir hatten für unsere Männer. Nochmal besten Dank an Sie, Herr Hildener, selbst für die Unterstützungs für Bannas. Besten Dank an alle Teilnehmer. Und ja, ich hoffe, Sie bald wieder aus einem unserer Online Events von KuppingerCole begrüßen zu können. Dankeschön.