A  D  V  E  R  T  O  R  I  A  L
Dieser Beitrag ist eine bezahlte Einschaltung



Identity und Access Management (IAM):
für moderne Sicherheitsarchitekturen

(Sept. 2009) – Kostendruck und steigende Sicherheitsanforderungen lassen Unternehmen und Organisationen über neue Möglichkeiten zur weiteren Optimierung ihrer Geschäftsprozesse nachdenken. Dies gilt insbesondere für die Einhaltung von Compliance-Vorschriften, wie sie beispielsweise im Sarbanes Oxley Act für die Verlässlichkeit veröffentlichter Finanzdaten von Unternehmen geregelt sind.

Automatisierte Prozesse für aktuelle Informationen

@ Eine Chance diese Vorhaben effizient zu unterstützen, bietet die Einführung eines Identity- und Access-Management-Systems (IAM). Ein IAM-System legt fest, steuert und kontrolliert, welche Benutzer auf welche Informationen und Anwendungen wie zugreifen dürfen. Darüber hinaus bietet es automatisierte Prozesse für die Aktualisierung dieser Informationen sowie für die Zuteilung, Änderung oder den Entzug von Rechten auf Basis definierter Benutzerrollen. Die Einführung eines IAM-Systems ermöglicht die zentrale Verwaltung der Identitäten und deren Rechte in allen Systemen – Zugriffsrechte für IT Systeme oder Zutrittsrechte zu physikalischen Objekten. Die Nachvollziehbarkeit, wer wann welche Rechte besessen hat, die Gewährung von zeitlich begrenzten Zugriffrechten und – ein häufiges und sehr sicherheitsrelevantes Problem – das Entziehen von Rechten bei Wechsel in andere Abteilungen oder Austritt, sind mit einem IAM-System einfach administrierbar und nachvollziehbar. Ein umfassendes IAM-System deckt die Aspekte Administration, Authentifizierung, Autorisierung und Audit ab.

@

Ein umfassendes IAM, wie es Siemens mit DirX bietet, unterstützt darüber hinaus die Beantwortung von Fragen, die von Auditoren zum Nachweis der Compliance-Einhaltung gestellt werden. Bisher mussten für Fragen der Art „wer hat im letzten Monat auf Finanzdaten zugegriffen?“, „wer hat den Benutzern dafür Zugriffsrechte gegeben?“ und „wer hat diese Rechte genehmigt?“, Audit-Logs aus mehreren Anwendungen ausgewertet werden. Unterschiedliche Audit-Formate, verschiedene Benutzer-Identitäten derselben Person sowie parallele Zeitstränge in den einzelnen Anwendungen erschweren diese Auswertungen erheblich und machen sie kostenintensiv.

Zentrale Analyse Identitäts-basierter Audit-Daten

Mit DirX Audit bietet Siemens eine Plattform für die zentrale Zusammenführung und Auswertung von Audit-Logs aus unterschiedlichen Quellen. DirX Audit sammelt die Logs und transformiert sie in ein einheitliches Format. Bei der Transformation können weitere Informationen, wie beispielsweise eindeutige Benutzer-Identitäten oder Angaben über die Audit-Quelle, hinzugefügt werden. Auditoren können mit DirX Audit die Audit-Logs komfortabel analysieren, auswerten und Reports generieren. Auch statistische Auswertungen und deren Aufbereitung sind über DirX Audit möglich. Mit DirX Audit erweitert Siemens die weltweit eingesetzte und etablierte DirX Familie und ermöglicht damit Unternehmen über ein zentrales Identity Auditing den steigenden Anforderungen an Sicherheit und Kostenreduktion gerecht zu werden.

DirX-Projekt als Preisträger des European Identity Awards

Kunden, die DirX Lösungen einsetzen können nicht nur auf sichere Lösungen verweisen, bei der heurigen „3rd European Identity Conference (EIC)“ am 6.Mai 2009 wurde das IAM Project bei Swissgard mit einem Preis in der Kategorie "Best IAM/GRC project for B2B." ausgezeichnet. Die EIC wird jährlich durch den deutschen Analysten Kuppinger Cole veranstaltet.

Dr. Elisabeth Stiller-Erdpresser, Siemens IT Solutions and Services





CIS - Certification & Information
Security Services GmbH
A-1010 Wien, Gonzagagasse 1/25
T: (+43)-1-532 98 90
F: (+43)-1-532 98 90-9
e-mail: office@cis-cert.com
Internet: www.cis-cert.com