CRN-Interview mit Michael Kleist von Cyberark: »Wenn es mehr Rollen als Mitarbeiter gibt, ist etwas falsch gelaufen«

Viele Accounts in Unternehmen seien für IAM-Systeme nicht zu erreichen, erklärt Michael Kleist, Regional Director DACH bei Cyberark, im Gespräch mit CRN. Daher bedürfe es einer zusätzlichen Absicherung. Compliance-Vorgaben, aber auch Vorschriften wie die DSGVO würden den Markt derzeit antreiben.

Michael Kleist, Regional Director DACH bei Cyberark
(Foto: Cyberark)

CRN: Herr Kleist, die meisten Anwendungen, die Logins erfordern, bringen bereits eine eigene Benutzerverwaltung mit. Warum wird darüber hinaus ein Identity und Access Management gebraucht?

Michael Kleist: Identity und Access Management verbindet die Einzelteile zu einem zentralen Punkt der Kontrolle und Steuerung. Die einzelnen administrativen Systeme von Applikationen und Betriebssystemen erlauben weder eine notwendige Steuerung, also »wer hat worauf Zugriff«, noch eine umgehende Bereitstellung oder – oft noch wichtiger – einen unmittelbaren Entzug von Zugriffsrechten.

Im Bereich der privilegierten Zugriffe wird diese Kontrolle oft noch erschwert durch die Nutzung von Shared Accounts und das automatische Anlegen von Accounts bei der Installation, die nicht einer Person zugeordnet werden.

CRN: Was sind in Unternehmen die Treiber für eine Einführung von IAM-Lösungen?

Kleist: IAM-Lösungen werden aus Sicherheits-, Compliance- und Vereinfachungsgründen benötigt. Die Umsetzung eines »Least-Privilege«-Ansatzes zieht sich durch alle Systeme, ebenso wie die Re-Zertifizierung, um die Angriffsfläche kleinzuhalten. Die Nachweispflichten und konkreten Anforderungen aus Vorschriften wie DSGVO, dem SWIFT Customer Security Programme (CSP) oder ähnlichen Regularien erzwingen dann auch eine zentrale Steuerung, ohne die der Aufwand ausufern würde.

CRN: Handelt es sich um reine IAM-Projekte oder wird IAM eher im Rahmen anderer Projekte mit eingeführt?

Kleist: In den meisten Fällen sehen wir IAM als ein Projekt, das insbesondere einen starken organisatorischen Anteil hat. Wir reden hier nicht in erster Linie von IT oder Tools, sondern von der Erarbeitung von Rollen und Rechten, und wie diese zugewiesen werden.

CRN: Was ist Ihre Empfehlung: Ein möglichst differenziertes Rollenmodell oder lieber ein einfaches, um die Komplexität gering zu halten?

Kleist: Wenn mehr Rollen als Mitarbeiter existieren, ist offenbar etwas falsch gelaufen. Die richtige Mischung macht es – es wird sich nicht alles automatisieren lassen, aber in zu viele manuelle Tätigkeiten zurückzufallen, wäre natürlich auch kein Gewinn.

Übersicht