Reine Service-Sache (Fortsetzung)

Erwin Schöndlinger, Geschäftsführer von Evidian Deutschland, sieht die Provider wie die Unternehmen mit optimierten Geschäftsprozessen, teils angereichert mit Sprache und Video, in ein zusätzliches Handlungsprofil hineinwachsen: »Sie werden über den kompletten Kommunikationsradius sämtliche Zugriffe verlässlich absichern müssen.« Das gelte sowohl für den Applikations-Eigenbetrieb als auch für Application-Hosting, so der Geschäftsführer. »Auch innerhalb einer gemischten Installation aus beidem muss die Zugriffskontrolle lückenlos und verlässlich zusammenspielen, damit geschäftswichtige Informationen und Prozesse nicht attackiert werden können«, sensibilisiert Schöndlinger.

Er sieht deshalb die Unternehmen wie die Provider gefordert, in Identity- und Access-Management (IAM) zu investieren. Für das Zusammenspiel der Zugriffskontrolle beider Gruppen empfiehlt er, auf so genannte Corporate-Modelle zu setzen: »Sie bringen die Zugriffskontrolle, obwohl separat administriert, unter einen Hut«, informiert er. Für den Einsatz von IAM führt er gleich vier Vorteile ins Feld:

• Zentralisiertes und dadurch kostensparendes Benutzermanagement,
• lückenlose Zugriffskontrolle, auch mobil, über stets aktuelle Benutzer-, Rechte- und Rolleneinträge,
• Single-Sign-on (SSO) zur automatischen Kopplung von Netzeingangs- und Zugriffskontrolle, um auf diese Weise den Teilnehmern den Umgang mit vielen Zugriffsprivilegien zu ersparen, die ansonsten schnell in falsche Hände geraten können,
• eine effiziente Unterstützung der Benutzer via Help-desk auf Grund stets aktueller und kompletter Einträge innerhalb der IAM-Datenbank.

Schöndlinger verweist auf einen fünften Vorteil von IAM, auf den die Unternehmen wie die Provider zunehmend angewiesen sein werden. »Über in IAM-Systemen integrierte Auditing- und Reporting-Werkzeuge können auf Basis gesicherter Identitäten alle Zugriffe auf Applikationen einschließlich der Datenveränderungen darin mitgeschnitten und zentral ausgewertet werden.« Beides werde auf beiden Seiten für die nachweisliche Befolgung eigener, regulativer und rechtlicher Auflagen immer dringender gebraucht werden.

Lars Weimer, bei Ernst & Young verantwortlich für Informationssicherheit im Bankenbereich, bestätigt: »Verkettete Abläufe, wie sie im Rahmen von Unified-Communications oder Online-Collaboration Einsatz finden, sind ohne eine umfassende Zugriffskontrolle nicht durchsetzbar.« Sprach-Daten-Wandlungsprozesse, die im Hintergrund ablaufen, lassen die Grenzen zwischen Telefonie- und Dateninformationen verschwimmen. »Demnach müssen auch Sprachinformationen, sofern für das Unternehmen geschäftskritisch, in eine verlässliche Zugriffskontrolle eingepasst werden«, unterstreicht er.