Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Identity Management: Herausforderung Outsourcing

Identity Management: Herausforderung Outsourcing

5. Oktober 2009, 6:11 Uhr |
Sebastian Rohr ist Senior Analyst bei Kuppinger Cole

In vielen Bereichen haben sich Outsourcing und Offshoring und bereits durchgesetzt. Doch wenn es um die Verwaltung von internen Identitäten und Zugriffsrechten sowie die Überwachung der Vorgaben durch Governance, Risk Management & Compliance geht, stehen Unternehmen noch vor komplexen Herausforderungen, meint Sebastian Rohr, Senior Analyst Kuppinger Cole, in einem Gastbeitrag.

Gründe für das Outsourcing von Prozessen beim Identity & Access Management (IAM) und der Überwachung von Vorgaben durch Governance, Risk Management & Compliance (GRC) gäbe es genug: Trotz intensiver Bemühungen, ausgelagerte Dienste und Anwendungen durch Policies und Technologien abzusichern, zeigen sich etwa immer wieder Lücken im Netz der GRC-Verantwortlichen. Das gilt insbesondere wenn Zugriffsrechte Dritter auf interne Daten – zum Beispiel durch ausgelagerte Wartungs- oder Betriebsdienste –verwaltet werden müssen. Jenseits jeder schriftlichen Vereinbarung zur Einhaltung von Sicherheitsregeln und Vorschriften zeigt sich oft eine betriebliche Wirklichkeit, die weit entfernt ist von Nachvollziehbarkeit, Audit Trails und internen Compliance Bestrebungen.

Wo liegen die Probleme konkret? Nehmen wir als Beispiel eine Applikation, deren Betrieb an einen Hosting-Dienstleister ausgelagert ist, deren Entwicklung jedoch von einem Entwicklungs-Dienstleister voran getrieben wird. Die Applikation selbst verarbeitet interne Daten des Auftraggebers, die schutzwürdig sind. Zum einen darf der Entwicklungs-Dienstleister den Betrieb der Applikationsplattform mit seinen Änderungen nicht stören, zum anderen müssen Updates an der Plattform auf Verträglichkeit mit der Applikation geprüft werden. Als dritte Anforderung bleibt, dass beide Dienstleister keinen Zugriff auf die internen Daten der Applikation haben dürfen.

Wiederum sind es Zugriffsrechte, Personen und Identitäten, die das Spannungsfeld bilden – nur ist in diesem Fall vom Zugriff externer Identitäten (Mitarbeiter der Dienstleister) auf interne Daten die Rede. Diese Problemstellung muss einerseits rechtlich und vertraglich abgebildet und andererseits durch technische Maßnahmen soweit als möglich umgesetzt werden. Die administrativen Grenzen der Unternehmen sind jeweils weit überschritten, so dass eine zentrale Verwaltung der Zugriffsrechte am ehesten beim Betriebs-Dienstleister umzusetzen wäre.

  1. Identity Management: Herausforderung Outsourcing
  2. Lösungsanbieter müssen Risiken thematisieren
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
AvePoint Deutschland GmbH

AvePoint Deutschland GmbH
Dahua Technology GmbH

Dahua Technology GmbH
Xelion GmbH

Xelion GmbH
ECOM Electronic Components Trading GmbH

ECOM Electronic Components Trading GmbH
Panduit

Panduit

AixpertSoft GmbH

AixpertSoft GmbH