Datacenter-Sicherheit
Sicherer digitaler Geschäftsauftritt
Fortsetzung des Artikels von Teil 1
IT-Sicherheit: integrativer Bestandteil von Anfang
Wenn alles verbunden ist, somit Risiken von überall ausgehen, sich überall auswirken und sich zudem wechselseitig verstärken können, ist die Sicherheit der Daten nicht mehr punktuell und nachträglich herstellbar. Die Sicherheitsüberlegungen müssen als kritischer Erfolgsfaktor für die digitale Transformation bereits in die Konzeptionsphase der Servicebereitstellung, des ITSM und darin der Ausgestaltung des Sicherheitssystems einfließen. Bei Kuppinger-Cole spricht man von Sicherheit by Design und Privacy bei Design. Denn es gehe darum, beide Felder von Anfang an zu durchdringen, anstatt im Nachhinein nachzubessern und so nur einen Mangel an Datensicherheit zu erreichen. Dieser Mangel würde die gesamte Business-Transformation und dadurch die digitalen Geschäfte in eine gefährliche Schieflage befördern, warnt Kuppinger-Cole.
Mobile-Payment ist dafür ein prominentes Beispiel. Avivah Litan, Vize-Präsidentin von und Analystin bei Gartner, sieht mobile Konsumenten bei der Bezahlung zunehmend durch Betrug gefährdet. „Eine starke Authentisierung reicht nicht aus, wenn anschließend die mobile App für Mobile-Payment einem Betrüger zugewiesen wird, der sich dazwischenschaltet.“ So sei eine Identitätsprüfung im anonymen Internet, ob der entfernte Käufer tatsächlich der Käufer ist, bisher alles andere als einfach gewesen. Neuerdings biete der Markt aber Lösungen, die eine sichere Identifizierung der mobilen Käufer ermöglichten, dadurch das Fraud-Risiko drastisch senkten. „Diese Lösungen kommen mit weniger statischen Daten wie den persönlichen Daten aus, die bisher von Betrügern kompromittiert werden konnten“, so Litan. „Die neuen Lösungen werten stattdessen vermehrt dynamisch generierte Daten aus, wie zur Reputation und zum Online-Verhalten des Käufers und andere auffällige Muster.“ Demzufolge sollten nach der Analystin solche Auswertungsroutinen unbedingt Bestandteil der Mobile-Payment-Apps sein.
Systeme und Daten absichern
Zumal eine sichere Identifizierung und anschließend starke Authentisierung der Käufer entscheidend dafür sein dürfte, ob Unternehmen ihre digitalen Geschäfte werden ausweiten können oder nicht. Das gilt nicht nur für die Einwahl. Auch die Zugriffe auf alle Systeme, Anwendungen und Datenbestände, aus denen sich die einzelnen Geschäftsprozesse formieren, sollten über eindeutige Identitäten und verlässliche Autorisierungsmechanismen abgesichert werden.
An den Geschäftsprozessen wirken die Mitarbeiter der eigenen Organisation, die der Geschäftspartner und jegliche legitimierte Kunden mit. Also müssen über den kompletten Aktionsradius sowohl die Identitäten der Zugreifer als auch ihre Zugriffsrechte immer abgesichert und stets up-to-date sein Gefordert sind angesichts dieses Anforderungsprofils Föderationsmechanismen, mittels derer die Vorteile von Identity and Access (IAM) auf einen beliebig ausgestalteten digitalen Verbund ausgedehnt werden können. Zu diesen Vorteilen zählen eindeutige Identitäten, starke Authentisierung, gesicherte Autorisierung und zentralisierte Verwaltung, einschließlich Auditing & Reporting für den Nachweis, dass Compliance-Vorschriften und interne Governance-Vorgaben eingehalten wurden. IAM-integrierte Automatisierungs-Workflows wie zur Ableitung der Zugriffsrollen aus den Sicherheitsregeln, Erstellung von Benutzerkonten, Single-Sign-on (SSO) und Steuerung von Rechteantrags- und -genehmigungsprozessen erleichtern im Verbund die Einrichtung, Verwaltung und Bedienung des Zugriffskontrollsystems. Sie sollten dementsprechend unbedingt zum Funktionsumfang der IAM-Lösung der Wahl zählen.
Zwei Architekturen sind innerhalb des Federation-Modells möglich: Das federführende Unternehmen übernimmt für die Geschäftspartner die Identitäten- und Rechteverwaltung, einschließlich der Steuerung der dazugehörigen Automatisierungs-Workflows. Innerhalb dieser Architektur kann das federführende Unternehmen zudem für ausgesuchte Internet-Kunden mit deren Zustimmung die Zugriffsverwaltung mit übernehmen. Oder es belässt die Administrationshoheiten für deren Systeme, Anwendungen und Datenbestände bei den Geschäftspartnern. Dazu müssen die Partner-Clouds die Schnittstellen der IAM-Suite des federführenden Unternehmens unterstützen.
- Sicherer digitaler Geschäftsauftritt
- IT-Sicherheit: integrativer Bestandteil von Anfang
- Ohne Risiko kein Erfolg
- Expertenkommentar: Mit COBIT ein Governance-Modell entwickeln mit verbindlichen Zielen und Anweisung
- Expertenkommentar: Proaktives Monitoring
- Expertenkommentar: Eindeutige Identitäten und eine hieb- und stichfeste Zugriffskontrolle
- Expertenkommentar: Das leistungserbringende RZ muss sich als IT-Fabrik verstehen
- Expertenkommentar: Auch privilegierte User müssen Teil des Zugriffskontrollkonzepts sein
Lesen Sie mehr zum Thema
