Der Umgang mit Risiken und die Einhaltung rechtlicher Rahme...
Burckhardt Compression: Access Governance in hybrider IT-Landschaft
Bildquelle: Burckhardt Compression | Hyper Compressor.
Der Originalartikel ist am 10. Oktober 2024 im IT-Onlinemagazin erschienen.
Der börsennotierte Schweizer Technologiekonzern, gegründet 1844, hat mit Pathlock eine Gesamtlösung für das Identity & Access Management (IAM) aufgebaut und damit Compliance und Security optimiert.
Eigentlich ist die Sache klar: Verlässt eine Person das Unternehmen, darf sie vom Tag ihres Ausscheidens an keinen Zugriff mehr auf Anwendungen haben, ihr System-Account muss deaktiviert oder gelöscht werden. Zugangsberechtigungen (Access) zu entziehen ist allerdings oftmals noch ein manueller Vorgang, dem zum Teil langwierige Antragsprozesse vorausgehen. Folge: Auch Ehemalige haben unter Umständen noch unberechtigterweise Zugriff. Schon hat das Unternehmen ein Problem mit der Access Governance und dadurch mit seiner Compliance.
Bei der Burckhardt Compression AG, international tätiger Hersteller von Kolbenkompressor-Technologien aus der Schweiz mit 3.300 Beschäftigten, war es zwar nicht so weit. Jedoch bedeutete es für das Unternehmen jedes Mal übermäßigen Aufwand, seine Joiner/Mover/Leaver-Prozesse sauber und zeitgerecht durchzuführen. Auch beim Einstieg nämlich kann sich das umgekehrte Problem stellen: Neue Beschäftigte sind tagelang nicht arbeitsfähig, weil sie noch keinen Zugriff auf ihre IT-Systeme haben – kein schöner Start in den neuen Job.
IAM-System muss On-Premises- und Cloud-Systeme gleichermaßen anbinden
Wenn, wie bei Burckhardt Compression, zudem eine heterogene IT-Infrastruktur vorliegt, mit historisch gewachsenen Prozessen und Rollendefinitionen, vielen On-Premises-Lösungen und neuen Cloud-Services parallel, wird es noch einmal aufwändiger. Das Technologieunternehmen hat deshalb ein IAM-System von Pathlock eingeführt. Damit wollte es nicht nur seine Governance, sondern zugleich auch die Cybersicherheit verbessern. Pathlock ist ein diesem Bereich führender Anbieter mit über 500 Mitarbeitenden und 15 Standorten weltweit.
Joiner-Mover-Leaver-Prozess optimal automatisieren
SAP ECC ist bei Burckhardt Compression ebenso im Einsatz wie SuccessFactors, MS Dynamics, Cognos und viele andere geschäftskritische Anwendungen. „Ein IAM-Tool muss in der Lage sein, sie alle zu integrieren, um den Joiner-Mover-Leaver-Prozess optimal zu automatisieren“, sagt Prof. Dr. Stephan Spitz, Cyber Security Expert des Unternehmens. „Unser Wunsch war es auch, dass alle Führungskräfte einen User Access Review ganz intuitiv durchführen können.“
Analysen für Segregation of Dutys
Die gewählte Gesamtlösung von Pathlock ermöglicht daher ein automatisches Provisioning für alle verbundenen IT-Systeme, egal, ob on-Premises oder in der Cloud. Man kann mit ihr Analysen für Funktionstrennungskonflikte (Segregation of Dutys = SoD) anstellen, sie prüft kontinuierlich die Zugriffsrechte aller User und trennt die Prozesse für Mitarbeitende und externe Consultants. „So gewährleisten wir eine sichere Access Governance, ohne die Effizienz zu beeinträchtigen oder Sicherheitslücken zu riskieren“, verspricht Ralf Kampf, Geschäftsführer der Pathlock Deutschland GmbH.
SoD durchführen zu können, war für Burckhardt Compression entscheidend bei der Auswahl der IAM-Plattform. Man versteht darunter die Beseitigung sich ausschließender Berechtigungsvergaben auf Rollenebene. Klassisches Beispiel: In einer Bank darf ein und dieselbe Person nicht einen Kreditantrag annehmen und ihn gleichzeitig freigeben. Mit Funktionstrennungskonflikten solcher Art haben die meisten Unternehmen zu tun, aufgedeckt üblicherweise während eines Audits.
Funktionstrennungskonflikte eng monitoren
Im Rahmen einer nicht repräsentativen Umfrage des IT-Onlinemagazins während der letzten IT-Onlinekonferenz Security gaben 40 Prozent der Befragten an, regelmäßig damit zu tun haben, bei der Hälfte kam es zumindest einmal schon vor. Besonders in hybriden Landschaften mit Cloud- und On-Premises-Komponenten wird es zur Herausforderung, Funktionstrennungskonflikte auch eng zu monitoren. Manuell verhindern lassen sie sich jedenfalls kaum, glaubt Stephan Spitz. Automatisch generierte Rollen böten hier ein effektives Werkzeug.
Business Rollen und technische Rollen
Das IAM-Projekt startete mit der Provisionierung, also der Bereitstellung von Zugriffen auf die IT-Ressourcen im Joiner-Mover-Leaver-Prozess. Anschließend wurden Business Rollen und technische Rollen definiert und eine Analyse der Zugangsrisiken angestellt. Automatisierte Re-Zertifizierungen – die regelmäßige Überprüfung auf Aktualität von Zugangsrechten (User Access Reviews) – muss ein IAM-Tool ebenfalls durchführen können; sie wurden deshalb in der Software angelegt.
Berechtigungsmanagement flexibel an alle Applikationen angepasst
Burckhardt Compression hat das neue Berechtigungsmanagement mit dem Pathlock-IAM viel gebracht: Unnötige und ungenutzte Zugriffsberechtigungen werden vermieden, der Schutz vor Cyberattacken wurde erhöht. Zuweisung wie auch Entzug von Rechten laufen mit einem hohen Automatisierungsgrad ab, das Berechtigungsmanagement ist flexibel an alle Applikationen und Prozesse angepasst.
Wenn Security-Fachmann Spitz aus dem Projekt eines gelernt hat, dann dass der Erfolg eines neu eingeführten IAM-Tools von einer breiten Akzeptanz im gesamten Unternehmen abhängt. „Vor allem komplexe Berechtigungen stellen ein Sicherheits- und Compliance-Risiko dar“, berichtet er und empfiehlt deshalb, nach dem Baukastenprinzip je nach Reifegrad der Prozesse vorzugehen. Für chronisch belastete IT-Admins sind automatisierte Prozesse im Joiner/Mover/Leaver-Workflow auf jeden Fall immer ein Segen, denn sie legen Ressourcen frei für andere relevante Themen.
Autor: Redaktion IT-Onlinemagazin
Wenn Sie mehr über das Kundenprojekt erfahren möchten, nehmen Sie Kontakt mit uns auf.
Laden Sie sich zu diesem Thema auch noch die 21-seitige Executive Summary des IT-Onlinemagazins als PDF herunter.
Weitere Referenzprojekte: