+49 (40) 7 200 64 71

 

Identity and Access Management (IAM)

 

IAM-Architektur

bi-Cube®
IAM-Architektur

Anwender, Berechtigung, Zugriff
Rollenkonzept
Automatisierte AD-Pflege
Self Service Portal

Compliance

bi-Cube®
Compliance

Richtlinienverwaltung
Re-Zertifizierung
Revisionssicherheit
IT-Forensik
Internes Kontrollsystem

IT-Sicherheit

bi-Cube®
IT-Sicherheit

Single Sign-On
Biometrie
Sicherheitsklassen
Überwachen und Berichten

Secure DMS

bi-Cube®
Secure DMS

Role Based Access Control (RBAC)
USB Protection
Kassifizierung von Dokumenten und Daten

IAM-Architektur und bi-Cube®-Funktionen

bi-Cube® - die IAM-Lösung für grosse und mittelständische Unternehmen

bi-Cube® ist als On-premise-Lösung oder als Cloud-Lösung (bi-Cube® Anywhere) erhältlich. Die Lösung ist skalierbar von der Größenordnung mittelständischer Unternehmen bis zu Großunternehmen mit weltweit verteilten Anwendungen und mehr als 100.000 Nutzern.

IAM-Architektur von bi-Cube®

bi-Cube Architektur

Im Zuge der Cloud-Ausrichtung wurde bi-Cube® serviceorientiert nach SOA ausgerichtet. Es gibt derzeit ca. 180 Services und ein zentrales Verarbeitungssystem (LMP). Logical Message-Passing (LMP) ist das Bussystem, über das die gesamte Kommunikation geführt wird. Änderungsanträge werden über den Bus automatisch in die jeweiligen Zielsysteme übertragen

bi-Cube® Active Directory Business Shell

Die AD Business Shell schirmt das Active Directory komplett von direkter Administration. Diese Aufgaben erledigt bi-Cube® automatisiert über die dort geführten Verwaltungselemente und Compliance-kompatiblen Prozesse. Innerhalb von bi-Cube® werden vier Arten von Verwaltungselementen unterschieden: Rolle, Team, Pool-Ressource und Dynamische Abteilungslaufwerke. Unter AD-geführten Applikationen werden solche verstanden, die ihre Authentifizierungen vom Active Directory erhalten. In der Regel erfolgt die Verwaltung innerhalb von bi-Cube®. Das Active Directory wird automatisch über den entsprechenden Output Connector aktualisiert. Sofern erforderlich, können über eine direkte bi-Cube® AD-Administration auch manuell Einträge im AD vorgenommen werden.

Die Automatisierung der AD-Pflege stellt die Konsistenz des Active Directory sicher und reduziert damit IT-Risiken. Automatisierung sichert auch eine zeitnahe Pflege des Active Directory und damit die rechtzeitige Ressourcen-Bereitstellung für Anwender.

bi-Cube Active Directory

Self Service Portal - der Weg zum digitalen Arbeitsplatz

bi-Cube Self Service Portal

bi-Cube® stellt ein Self Service Portal bereit, das es den Anwendern ermöglicht, die für Ihre Arbeit erforderlichen Berechtigungen digital anzufordern. Die hinterlegten Prozesse stellen sicher, dass dabei die Sicherheits- und Compliance-Vorgaben eingehalten werden. Darüber hinaus können die Nutzer Änderungen der eigenen personenbezogenen Daten selbst pflegen und hinterlegen. Die Übertragung der Adressdatenpflege an den Anwender entlastet die IT- und HR-Abteilung.

Es liegt nahe, den Nutzwert des Self Service Portals zu erweitern, indem über die Anforderungen des IAM hinausgehende Standard-Service-Requests bereitgestellt werden.

Verwaltung von Anwendern, Berechtigungen, Zugriffen

Zunächst wird ein Organisations- und Rollenmodell (ORM) entwickelt, das einen gleitenden Übergang von der vorhandenen direkten Vergabe von Berechtigungen zu der Zuordnung von prozessspezifischen Rollen ermöglicht. Dies geschieht ohne Beeinträchtigung des laufenden Betriebs.

Ergebnisse sind

  • ein verabschiedetes ORM-Rahmenmodell als Implementierungsgrundlage für das IAM-Tool
  • ein Katalog von System-Rollen auf Basis der bestehenden Berechtigungen
  • ein Katalog von Fachrollen
  • ein Regelsystem zur Verwaltung von Fachrollen
  • eine Sicherheitsklassifizierung für Systeme und Fachrollen

Fürchten Sie, dass ausgeschiedene Mitarbeiter unberechtigt auf Daten oder Systeme zugreifen? Wenn der Status eines Benutzers in einem System geändert wird (z.B. HR-Datenbank oder Active Directory), ändert bi-Cube® als zentrale Verwaltungseinheit automatisch seine Zugriffsberechtigungen in allen verbundenen Systemen, ganz gleich ob es sich dabei um Applikationen, Verzeichnisse, Datenbanken, Computer oder Cloud-Anwendungen handelt.

Erfüllen von Compliance-Anforderungen

Richtlinienmanagement

Richtlinien sind Informationen, die Mitarbeiter nachweislich zur Kenntnis nehmen müssen. Deren Einhaltung ist für ein Unternehmen wichtig, wenn nicht sogar geschäftskritisch. Dabei wird zwischen allgemeinen Managementrichtlinien (Compliance, Qualitätssicherung) und Nutzungsrichtlinien für kritische IT-Ressourcen (E-Mail, Internet, Virenschutz, etc.) unterschieden.

Die Bestätigung einer Richtlinie kann eine Bedingung dafür sein, dass einem Mitarbeiter bestimmte Zugriffsrechte eingeräumt werden. Dafür stellt das bi-Cube® IAM z.B. die Funktion der Richtlinienabhängigen Genehmigung zur Verfügung.

Der bi-Cube® Re-Confirmation Prozess bietet eine einfache, automatisierte, lückenlos nachvollziehbare Richtlinienverwaltung mit der Möglichkeit der Wiedervorlage. Die Mitarbeiter erhalten die Richtliniendokumente einmalig oder sie werden ihnen in festgelegten Zeitabständen zur Bestätigung vorgelegt.

Wiederholte Bestätigungen dienen bei besonders wichtigen, z.B. sicherheitsrelevanten Regelungen der Erinnerung und erneuten Sensibilisierung. Auch nach grundlegenden Änderungen an einer Richtlinie können Nachbestätigungen eingefordert werden.

Vorteile auf einen Blick

  • Automatisierte und vollständig digitalisierte Abwicklung
  • Unternehmensweit konsistentes Richtlinienmanagement
  • Beschräkung auf relevante Richtilien und relevante Mitarbeiter
  • Mitarbeiter können mit der ausgebenden Stelle direkt kommunizieren und beispielsweise Verbesserungsvorschläge einreichen

Die Einhaltung der Unternehmensrichtlinien wird mit dem bi-Cube® Compliance Monitor verwaltet.

Re-Zertifizierung:

Kritische Berechtigungen werden durch die verantwortlichen Führungskräfte (Vier-Augen-Prinzip) regelmäßig nach-bestätigt. Durch das Re-Zertifizierungskonzept von bi-Cube® wird vermieden, dass nach einem Aufgabenwechsel nicht mehr benötigte Zugriffsrechte bestehen bleiben.

Revisionssicherheit

Unternehmen müssen nicht nur Rechenschaft über die Nutzungsrechte der Anwender ablegen, sondern Nachweise über Rechtevergaben, Datenschutz- und Geheimhaltungserklärungen führen. Durch die zunehmende Bedeutung nationaler, europäischer und transatlantischer regulatorischer Vorgaben (Basel II, BilKoG, KonTraG, EU-Richtlinien, Sarbanes-Oxley Act, etc.) gewinnt das Thema Identity Management zunehmend an Bedeutung. Das Risiko der persönlichen Haftung für die verantwortlichen Manager zwingt die Unternehmen, für ihre IT-gestützten Prozesse Risikomanagement und interne Überwachungssysteme (Internes Kontrollsystem - IKS) aufzusetzen.

Mit einer durchgängigen Protokollierung aller Vorgänge von Rechtevergaben ermöglicht das IAM-System bi-Cube® einen revisionssicheren Nachweis ausreichender Risikovorsorge.

IT-Forensik

Bei Datenmissbrauch ist das Unternehmen bis zum Nachweis seiner Unschuld regresspflichtig. Wenn beispielsweise ein Serviceprovider keine strikte Mandantentrennung durchführt, könnte ein Kunde des Serviceproviders unrechtmäßig Zugriff auf geheime Daten eines zweiten Kunden erhalten. Da beide mit demselben Serviceprovider zusammenarbeiten, muss dieser nachweisen, dass die Daten und Zugriffsrechte seiner beiden Kunden voneinander strikt getrennt verwaltet werden. Andernfalls können empfindliche Vertragsstrafen für die Verletzung von Datenschutzgeheimnissen anfallen.

Die IAM-Lösung bi-Cube® identifiziert erschlichene Rechte oder Rechtevergaben außerhalb der regulären Prozessabläufe über einen täglichen Differenzabgleich (Reconciliation) und setzt diese automatisch zurück. Sicherheitslücken werden sofort geschlossen, die Datensicherheit ist nachweisbar.

Internes Kontrollsystem (IKS)

Grundlage eines Internen Kontrollsystems bilden folgende Prinzipien:

  • Transparenz:
    Dieses Prinzip besagt, dass für Prozesse Sollvorgaben etabliert und kommuniziert sein müssen. Damit wird erreicht, dass jeder Beteiligte Klarheit über die an ihn gestellte Erwartungshaltung hat, und es kann beurteilt werden, ob sich Beteiligte konform zu diesen Sollvorgaben verhalten.
  • Vier-Augen-Prinzip:
    Dieses Prinzip besagt, dass kein wesentlicher Vorgang ohne Gegenkontrolle bleiben soll.
  • Funktionstrennung:
    Nach diesem Prinzip sollen vollziehende, verbuchende und verwaltende Tätigkeiten nicht in einer Person vereinigt sein.
  • Mindestinformation:
    Für Mitarbeiter sollen nur diejenigen Informationen verfügbar sein sollen, die sie für ihre Arbeit benötigen. Dies schließt auch den Zugriff auf IT-Systemen mit ein.

Die IAM-Lösung bi-Cube® basiert auf einem Rollenkonzept, in dem diese Prinzipien realisiert werden können. Re-Zertifizierung sowie die situative Vorlage von Richtlinien unterstützen das Transparenzprinzip. bi-Cube® ermittelt anhand eines konfigurierten Regelwerks auffällige Vorgänge und meldet diese. Automatische Kontrollaktivitäten können in definierten zeitlichen Abständen, detektiv oder präventiv erfolgen.

Beiträge zur IT-Sicherheit

Sicherheit entsprechend ISO/IEC 27000

Studien haben gezeigt, dass bis zu 30 % der Mitarbeiter, die das Unternehmen bereits verlassen haben, weiterhin Zugriff auf die Unternehmensdaten haben. Die IAM-Lösung bi-Cube® behebt dieses Problem durch eine zentrale Berechtigungs- und Zugriffsverwaltung für alle verwalteten IT-Objekte des Unternehmens.

Die Verwaltung und Einhaltung von Sicherheitsrichtlinien wird durch die Re-Zertifizierungs- und Re-Evaluierungsmechanismen von bi-Cube® erheblich erleichtert. Durch die aktive Wiedervorlage der Richtlinien und Bestätigung derselben durch die Mitarbeiter wird das Sicherheitsbewusstsein im Unternehmen signifikant gefördert.

Die IAM-Lösung bi-Cube® stellt alle Sicherheitsmechanismen bereit, die von der Sicherheitsnorm ISO/IEC 27000 zu dem Themenkreis "Zugriffschutz" gefordert werden. Dazu zählen:

  • Authentifizierung:
    bi-Cube® stellt ein Single Sign-On-Konzept bereit, sowie Authentifizierungs-Prozeduren über biometrische Verfahren.
  • Autorisierung:
    bi-Cube® prüft, ob ein Benutzer nach erfolgreicher Anmeldung berechtigt ist, die jeweilige Zugriffanforderung auszuführen.
  • Zugriffskontrolle:
    Das System stellt sicher, dass der Zugriff auf die jeweiligen Objekte nur auf die durch die hinterlegten Sicherheitsregeln zugelassene Weise erfolgt.
  • Überwachung:
    bi-Cube® überwacht die ordnungsgemäße Verwendung der Systeme und Informationen und ergreift erforderlichenfalls Gegenmaßnahmen.
  • Synchronisieren von Benutzer-Identitäten mit anderen Systemen (Provisioning):
    bi-Cube® ermöglicht das unternehmens- und plattformübergreifende Management von Zugriffsberechtigungen. Über Input- und Output-Connectoren stellt bi-Cube® sicher, dass die Berechtigungen in allen angebundenen Systemen und Verzeichnisdiensten zeitnah aktualisiert und konsistent gehalten werden.
  • Regelbasierte Prozesssteuerung:
    bi-Cube® führt ein zentral verwaltetes Regelwerk, das in konsistenter Weise über das gesamte Unternehmen hinweg auf alle dem IAM-System unterstehenden Steuerungsobjekte angewandt wird. Dank der Skalierbarkeit von bi-Cube® spielt es keine Rolle, ob es sich dabei um ein Mittelstandsunternehmen oder um einen multinationalen Konzern handelt.
  • Sicherheitsklassifizierung:
    bi-Cube® verwaltet für Systeme, Objekte und Fachrollen Sicherheitsklassen. Für jedes der Steuerung des IAM unterliegende Objekt kann ein Schutzmaß festgelegt werden:

    • Unmarked
    • Unclassified
    • Restricted
    • Confidential
    • Secret
    • Top Secret

    Jeder Anwender wird mit seiner eigenen Sicherheitsklasse an den Objekten und Attributen gemessen, die ihm zugeordnet werden sollen. Die Sicherheitsklassifizierung bildet einen wesentlichen Aspekt des Internen Kontrollsystems (IKS).

Single Sign-On

bi-Cube® Single Sign-On ist ein zentrales System für Access Management mit folgenden Eigenschaften:

  • Zentrale Administrationsplattform
  • Gesicherte Anmeldung der Anwender an den für sie zugelassenen Applikationen
  • Skalierbarkeit auf viele 1000 Anwender
  • Hohe Flexibilität durch Integration verschiedener Authentifizierungsmethoden
  • Password-Self-Service-Komponenten
  • Hoher Komfort durch Übernahme der Anmeldeprozedur für alle Applikationen durch den SSO-Client
  • Prozessautomatisierung mit Features wie Vier-Augen-Prinzip (z. B. durch Fingerabdruck), Selbstzuweisung von Applikationen durch Anwender, schnelle Benutzerumschaltung bei mehreren Anwendern an einer Arbeitsstation.
  • Nutzung von Speicher- und RFID-Karten. Bei Verlust kann der Administrator für den Anwender eine neue Karte personifizieren. Die alte Karte verliert damit automatisch ihre Gültigkeit.
  • Biometrisches Anmeldeverfahren über Fingerabdruck

Secure DMS - Rollenbasierte Zugriffsteuerung (RBAC)

Ein sicheres Dokumentenmanagementsystem steuert unternehmensweit den abgesicherten Zugriff auf sicherheitsrelevante Dokumente. Dies wird durch den Einsatz eines rollenbasierten und richtlinienkonformen Zugriffsteuerungssystem erreicht. Der heutige Standard dafür ist das Role Based Access Control System.

Role Based Access Control (RBAC)

Role Based Access Control (RBAC) ist ein Richtlinien-neutraler Mechanismus für die Zugriffsteuerung über Rollen und Berechtigungen. Die Strukturelemente von RBAC, nämlich die Beziehungen von Rolle zu Berechtigung, Rolle zu Anwender, Role zu Transaktion und Rolle zu Rolle erleichtern die Zugriffsverwaltung von Anwendern. Deshalb ist RBAC für größere Organisationen mit hunderten bis tausenden von Anwendern und ebenso vielen Berechtigungen sehr gut geeignet.

Mehr erfahren

Dokumenten- und Datenklassifizierung

Die rollenbasierte Zugriffssteuerung von bi-Cube® bezieht sich nicht nur auf Zugriffsrechte für Applikationen, sondern erlaubt auch eine sehr individuelle Steuerung von Zugriffen auf Dokumente.

bi-Cube Dokumentenzugriff

Das Berechtigungsprofil eines Anwenders oder Teammitglieds wird mit der Sicherheitsschicht des geschützten Dokuments abgeglichen. Dabei wird zunächst geklärt, ob der zugreifende Anwender das relevante Dokument überhaupt nutzen darf. Sodann werden die am Dokument hinterlegten Zugriffsrechte mit den Zugriffsrechten des Anwenders verglichen. Nur wenn dieser über mindestens das an das Dokument gebundene Rechteprofil mit der entsprechenden Sicherheitsklasse verfügt, darf er auf das Dokument zugreifen.

Data Loss Protection

Ein Schutz gegen Datenverlust wird erreicht, indem die unternehmenskritischen Daten, auf die RBAC angewandt wird, auf hochverfügbaren Speichersystemen vorgehalten werden. Außerdem können die Dokumente so verschlüsselt werden, dass sie nur auf spezifischen Zielgeräten geöffnet werden können (z.B. ausschließlich auf unternehmenseigenen Smartphones).

h3 class="v2">USB Protection/h3>

Der bi-Cube® USB-Blocker ist eine Sicherheitslösung zur Zugriffssteuerung von Mitarbeitern auf Speichermedien. Er sperrt nicht den kompletten Anschluss, sondern ermöglicht eine selektive Gerätekontrolle (Device Control): Sie sind in der Lage, verschiedenste Hardwarekomponenten, wie Drucker, Scanner oder USB-E-Token weiter verfügbar zu stellen. Dabei kann zielgerichtet der Zugriff einzelner Benutzer gewährt oder verweigert werden.

Der bi-Cube® USB-Blocker kann neben der Sperrung von externen Schnittstellen (USB, FireWire, PCM/CIA) und der Kontrolle interner Speicher (CD-ROM, Diskettenlaufwerk), auch Lese- und Schreibrechte auf Geräte (USB-Sticks) vergeben.

Zusätzlich ist es mit dem bi-Cube® USB-Blocker möglich, eine Anbindung an das Active Directory Service (ADS) zu erstellen. Dadurch werden folgende Sicherheitsprobleme beseitigt:

  • Die unberechtigte Nutzung von Software (Lizenzverstöße)
  • Der unberechtigte Zugang zu Daten (Datenmanipulation)
  • die unberechtigte Nutzung und Weitergabe von firmeninternen Daten (Datenschutz und Firmengeheimnisse)
  • Der „Import“ von Viren

Sie haben noch Fragen?

Wir helfen Ihnen gerne bei allen Fragen zu unseren Leistungen weiter:

Kontakt

MASTERS Consulting GmbH

Am Mühlenteich 3
D-21465 Wentorf bei Hamburg

+49 (40) 7 200 64 71