Neulich fand ein weiterer großartiger IAM Talk statt. Diesmal zusammen mit unserem Partner Omada. Das Event stand unter dem Motto „Schluss mit der Legacy Wüste. Jetzt IGA/IAM Landschaften erblühen lassen“ und richtete sich vor allem an Unternehmen mit kritischen Infrastrukturen. Mit dabei waren unsere IAM Experten Tim Lipphardt und Sascha Kühfuss sowie Julia Weiler, Head of Sales von amiconsult, und Thomas Müller-Martin, Global Lead Technologist, von Omada.
In unserem IAM Talk haben wir gezeigt, dass Identity und Access Management Systeme und Identity Governance und Administration Systeme nicht mehr kompliziert und aufwändig sind, sondern heutzutage ganz neue Möglichkeiten bieten. Vor allem für regulierte Unternehmen und Banken sind sie ein wichtiger Baustein. Sie helfen bei der Erfüllung von Regularien wie die Bankenaufsichtsanforderung an die IT (BAIT) und Network and Information Security 2 (NIS2) und sorgen so für mehr Cybersicherheit.
IAM und IGA: Von der Wüste zur blühenden Landschaft
Identity und Access Management und Identity Governance Systeme sorgten lange Zeit bei vielen Unternehmen für ein ungutes Gefühl. Sie waren kompliziert, mit großem Aufwand verbunden und schwierig zu betreiben. Außerdem dauerte es häufig ziemlich lange, bis die harte Arbeit durch ein erfolgreiches System belohnt wurde. Viele dieser älteren Systeme sind für die heutigen Anforderungen nicht mehr ausgelegt.
Die Cybersicherheit bekam in den letzten Jahren immer mehr an Bedeutung, weshalb die IT von Unternehmen neue Regularien und Richtlinien wie BAIT und NIS2 umsetzen muss. Außerdem sind Firmen in der heutigen Zeit viel dynamischer als früher und verändern sich schnell. Für diese Flexibilität sind alte Systeme nicht ausgelegt. Das Problem ist häufig, dass sie zu sehr vom Standard abweichen und extrem individualisiert sind. Das macht die Verwaltung auf Dauer sehr kompliziert und frisst Ressourcen. Die Migration von neuen Systemen und Anwendungen ist zudem mit einem enormen Aufwand verbunden. Deshalb haben viele Unternehmen riesige und komplexe IAM Systeme, die die neuen Regularien nicht erfüllen und eine große Sicherheitslücke darstellen.
Zum Glück gibt es mittlerweile neue IAM und IGA Systeme, die die Probleme der Vorgänger behoben haben. Moderne IGA Systeme setzen auf:
- Skalierbarkeit
- Einfachheit
- Agilität
Damit müssen Unternehmen, Stakeholder und CISOs kein schlechtes Gefühl mehr haben, wenn es um IAM und IGA geht. Die Skalierbarkeit sorgt dafür, dass Unternehmen wachsen können und sich das System an neue Umstände einfach anpassen lässt. Außerdem lassen sie sich durch standardisierte Mechanismen viel einfacher verwalten und neue Migrationen von Produktfeatures sind schnell umgesetzt. Sie bieten schlichtweg viel mehr Flexibilität für agile und dynamische Unternehmen.
Der IAM-Talk mit Omada war eine runde Sache. Wir haben über sehr interessante und relevante Themen gesprochen: IAM und IGA Systeme sind in der aktuellen Zeit für viele Unternehmen wichtiger denn je. Viele Firmen, speziell im KRITIS-Umfeld müssen nun in kurzer Zeit im Zuge der NIS2-Richtlinie strenge regulatorische Anforderungen erfüllen, was mit veralteten Systemen nicht möglich ist. Es ist wichtig, dass sich Unternehmen so schnell wie möglich mit neuen Möglichkeiten auseinandersetzen, ansonsten drohen harte Sanktionen. Viele sind da allerdings überfordert und benötigen Hilfe. Nicht viele Dienstleister sind in der Lage, bei der Umsetzung zu unterstützen. amiconsult ist bestens mit IAM und IGA Systemen vertraut und steht bei Fragen und Problemen gern zur Seite.
Sascha Kühfuss – amiconsult
Regularien und Anforderungen richtig umsetzen
BAIT und NIS2 für mehr Cybersicherheit
Die Bedrohungen durch Cyberangriffe sind in den letzten Jahren immer greifbarer für Unternehmen geworden. Aus diesem Grund ist in Führungspositionen die Motivation gestiegen, sich gegen solche Bedrohungen zu schützen. Das haben auch Institutionen wie die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die Europäische Union erkannt. Mit Verordnungen und Regularien zwingen sie Firmen zum Handeln. Die BAIT stellt Anforderungen an die IT von Banken und dem Finanzsystem, um für mehr Cybersicherheit zu sorgen. Dabei müssen beispielsweise eine angemessene technisch-organisatorische Ausstattung der IT Systeme gewährleistet und ein Notfallkonzept vorgelegt werden. Dadurch erlangen Themen wie IT Governance einen deutlich höheren Stellenwert als zuvor.
Die NIS2 richtet sich an Betreiber von kritischen Infrastrukturen wie Energieversorger oder das Gesundheitswesen und verpflichtet viele Unternehmen schnellstmöglich Maßnahmen zu ergreifen. Es wurden konkrete Anforderungen vorgelegt, die bis 2024 umgesetzt werden müssen. Dazu zählen beispielsweise die aktive Verteidigung von Netzwerken und Systemen sowie der Einsatz von Sicherheitsmanagementsystemen. Bei Nichterfüllung der Regularien drohen hohe Geldstrafen.
Fehler bei der Umsetzung vermeiden
Um Regularien bestmöglich zu erfüllen, sollten Unternehmen auf einige Sachen achten und gängige Fehlerquellen vermeiden. So kann sichergestellt werden, dass das Unternehmen bestmöglich vor Cyberangriffen geschützt ist und keine Sanktionen drohen.
Zu häufigen Fehlerquellen zählen:
- Fehlende Vorbereitung
- Schlechte Datenqualität
- Ressourcen schlecht verteilen
- Unnötige Komplexität und Individualisierung
Auditoren erwarten, dass Vorschriften schnell umgesetzt werden, was auch für kleinere Unternehmen gilt. Das setzt viele vor Herausforderungen. Falls Du dich mit solchen Situationen überfordert fühlst, kannst Du dich gerne an amiconsult wenden. Unsere Experten verfügen über langjährige Erfahrung und haben in zahlreichen Projekten verschiedensten Unternehmen mit einem passenden IAM System zu mehr Sicherheit und Skalierbarkeit verholfen.
Eure Fragen, unsere Antworten
In der Paneldiskussion kamen einige spannende Fragen von den Teilnehmenden auf, die von Tim, Sascha und Thomas beantwortet wurden:
Wie könnte ein IGA System in einer Genossenschaft aussehen?
Das Problem besteht hier darin, dass Genossenschaften aus verschiedenen Teilfirmen und Tochtergesellschaften bestehen, die ihre eigenen Strukturen und Systeme haben. Eine Möglichkeit, ein IGA System einzuführen, wäre dementsprechend, die einzelnen Teilsysteme zu einem großen Ganzen zusammenzuführen und die IT-Sicherheit zu zentralisieren. Das ist natürlich nicht immer ganz einfach, weil manche Systeme für gewisse Teilunternehmen sehr gut funktionieren und sie nicht wechseln möchten. Da bietet es sich an, die Zentralisierung mit einigen Pilotgruppen zu starten, um zu schauen, wie es läuft. Wenn diese Pilotgruppen erfolgreich zentralisiert wurden, kann das Verfahren schrittweise auf die anderen Teilbereiche erweitert werden.
Die zweite Möglichkeit sieht vor, dass die einzelnen Teilsysteme aufgeteilt bleiben. Häufig existieren beispielsweise bereits Datensilos innerhalb eines Unternehmens aufgrund mangelnder Kommunikation und Datenaustauschs. Dann eine Zentralisierung zu erwirken, stellt sich als äußerst schwierig heraus. Es muss dementsprechend immer geschaut werden, an welchen Stellen ähnliche Prozesse und Anforderungen bestehen. Da macht es dann durchaus Sinn, diese der Einfachheit halber zu standardisieren.
Bereit für Dein neues IAM System?
Du hast Fragen rund um Identity und Access Management oder möchtest ein neues IAM System implementieren? Schreib uns einfach ganz unverbindlich eine Nachricht und lass Dich beraten!
Omada bietet On Premise und Cloud Lösungen an. Ist eine Cloud Lösung für stark regulierte Unternehmen wie Banken überhaupt sinnvoll?
Grundsätzlich sind Cloud Lösungen für Banken kein No-Go und durchaus sinnvoll. Sie richten sich nach den Vorlagen und stellen sicher, dass Regularien wie BAIT oder die NIS2 erfüllt werden. Außerdem werden Clouds mithilfe von Updates technisch immer auf dem neusten Stand gehalten und sind zudem für viele Unternehmen finanziell sehr attraktiv.
Wenn Banken allerdings noch unsicher sind und sich noch nicht bereit fühlen, kann auch erst einmal eine On Premise Lösung implementiert werden. Die On Premise und Cloud Lösungen von Omada sind sehr ähnlich aufgebaut, wodurch eine Migration sehr gut umsetzbar ist. Dieser Schritt wurde schon häufig und erfolgreich anhand eines Migrationskonzepts durchgeführt. Jedes Unternehmen sollte aber schauen, womit es sich in der derzeitigen Situation am sichersten fühlt. Die Möglichkeit zu einem Wechsel besteht. Niemand muss sich gezwungen fühlen, mit Cloud first zu starten.
Wie sehen ganz konkret die ersten Schritte aus, wenn ich IGA in meinem Unternehmen einführen möchte?
Zuallererst sollte der Ist-Zustand betrachtet werden. Es muss Transparenz über sämtliche Daten und Informationen geschaffen werden, ansonsten würde man fahrlässig handeln. Aus dieser Grundlage können anschließend weitere Maßnahmen ergriffen werden. Zu den ersten Schritten gehört auch, die Stakeholder mit ins Boot zu holen und die Ziele für den Erfolg des Projekts festzulegen. Somit ist eine klare Richtung vorgegeben, auf die hingearbeitet werden kann.
Es wird Zeit zu handeln
Unser IAM Talk hat aufgezeigt, welche modernen und agilen Identity und Access Management und Identity und Governance Systeme es mittlerweile auf dem Markt gibt. Es ist also für Unternehmen vor allem mit kritischen Infrastrukturen allerhöchste Zeit, ihre veralteten Systeme zu erneuern. Vor allem Unternehmen, die unter die NIS2 Verordnung fallen, sollten sich schnellstmöglich um ein neues, funktionierendes IAM oder IGA System kümmern, um Sanktionen zu vermeiden.
Wir von amiconsult stehen dir dabei zur Seite. Wir beraten dich von der ersten Sekunde an, helfen, das passende System zu finden und unterstützen dich bei der Implementierung. Uns ist wichtig, dass Du langfristig von Deinem IAM System profitierst und dieses für mehr Sicherheit sorgt. Schreib uns gerne eine Nachricht!
