ComplianceSichere Lösungen statt fauler Kompromisse
Als Paul Sarbanes und Michael Oxley 2002 in Folge des Bilanzskandals von Unternehmen wie Emron und Worldcom in ihrer Heimat USA ein Gesetz zur verbindlichen Regelung der Unternehmensberichterstattung durchsetzten, wollten sie eigentlich das Vertrauen der Anleger in die Richtigkeit und Verlässlichkeit der veröffentlichten Finanzdaten von Unternehmen wiederherstellen. Dabei spielte für die beiden Politiker auch die Gewährleistung der IT-Sicherheit eine große Rolle, besonders die Möglichkeit, im digitalen Geschäftsalltag Personen, Objekte und Systeme eindeutig identifizieren zu können. Schließlich verlangt auch in der „realen“ Welt jede Verkäuferin einen Identitätsnachweis, wenn ein Kunde mit einer Kreditkarte zahlen möchte.
Eigentlich eine gute Idee, doch mittlerweile hat unter anderem das Beratungsunternehmen Gartner in einer Studie festgestellt, dass solche Compliance-Regeln die allgemeine Sicherheit in einem Unternehmen nicht immer erhöhen – ganz im Gegenteil. Mitunter tragen solche Vorschriften sogar zu einem Weniger an Sicherheit bei, wie die Experten herausfanden. Da im Rahmen einer Sarbanes-Oxley-Prüfung in US-Unternehmen beispielsweise vierteljährliche Passwort-Änderungen verlangt werden, wählen die Mitarbeiter leicht zu merkende Zugangskennungen, was unter anderem das Risiko von erfolgreichen Einbrüchen in die IT-Systeme erhöht.
Bestehen die Passwörter dagegen aus einer willkürlich ausgewählten Folge von Zahlen und Buchstaben, vergessen die Mitarbeiter ihre Zugangsdaten meist sehr schnell. Die Folge: Helpdesk-Mitarbeiter werden von einer wahren Welle an Anfragen überspült und bilden somit ein weiteres Sicherheitsrisiko. Denn im Windschatten der legitimen Anfragen schmuggelt sich auch der eine oder andere Betrüger ins System und bekommt von den Helpdesk-Mitarbeitern im Zweifelsfalle ohne weitere Nachfragen ein gültiges Passwort. Eine Problematik, die auch deutschen Firmen nicht fremd ist.
Compliance und IT-Security ergänzen sich
Dabei könnte alles viel einfacher sein, denn richtig angepackt, bilden Compliance und IT-Sicherheit durchaus zwei Seiten derselben Medaille. Der Nutzeffekt kann dabei nach Einsatzfall oder Branche variieren. So dominieren im Firmenumfeld beispielsweise besonders die Kostenaspekte, während bei Behörden spezifische Anforderungen an den Datenschutz oder die Rechtssicherheit im Vordergrund stehen. In der Universität oder beim E-Government dagegen spielen zunehmend virtuelle Prozesse bei großer Verbindlichkeit eine wichtige Rolle, während im Gesundheitswesen Nachvollziehbarkeit und Datenschutz bei allen Kostenaspekten durch elektronische Verfahren von entscheidender Bedeutung sind.
Allen Anforderungen ist jedoch eins gemeinsam: Die Sicherheit einer elektronischen Identität, ihrer zweifelsfreien Zuordnung zu einer Person und ihre Verwaltung muss viel näher an die Anforderungen des Geschäftsprozesses rücken als dies bisher der Fall war. Denn Sicherheit kann nicht im „Huckepack-Verfahren“ auf eine Anwendung gesetzt werden, sondern muss ihr integraler Bestandteil sein. Erst damit wird Sicherheit wirklich zum „Business Enabler“ und nicht zu einem lästigen Kostenfaktor, als der die Sicherheit in vielen Unternehmen nach wie vor betrachtet wird.
Ein intelligent umgesetztes „Wer-darf-Was“ im Unternehmen, in einer Behörde, in einer Universität oder einem Krankenhaus geht zudem weit über den reinen Schutzaspekt hinaus, den man im Allgemeinen mit dem Thema „Sicherheit“ verbindet. Es ist kein notwendiges Übel, sondern es sind notwendige Rahmenbedingungen für eine schlagkräftige und flexible Organisation mit Rollen, Rechten und Regeln für ihre handelnden Personen.
Während im Innenverhältnis also der Kostendruck die Sicherheitsinfrastruktur zu mehr Effizienz treibt, so sind im Außenverhältnis andere Motive im Spiel. Organisationsübergreifende Geschäftsprozesse sind längst nicht mehr nur auf EDI (Electronic Data Interchange) beschränkt und selbst EDI wird immer mehr über das Internet betrieben. Das zeigt der Siegeszug von AS/2 (Applicability Statement 2), vor allem in der Handelsbranche, wo das http- oder https-Protokoll – also die Kerntechnologie des World Wide Web – inzwischen häufig zum Datenaustausch genutzt wird. Und auch E-Business-Anwendungen sind ohne Sicherheitsrahmenbedingungen undenkbar. Auch hier ist neben dem Schutzaspekt Vertraulichkeit und Verbindlichkeit die zweite Seite der Medaille.
Technik alleine reicht nicht
Sicherheitsrahmenbedingungen im Innen- wie im Außenverhältnis sollten allerdings nicht auf die technische Infrastrukturseite beschränkt sein. Dies bringt oft deshalb keinen echten Mehrwert, weil die Geschäftsprozesssicht, also der eigentliche Wertschöpfungsprozess, unberücksichtigt bleibt.
E-Mail-Verschlüsselung und Signatur alleine haben deshalb beispielsweise den „Public Key Infrastrukturen“ (PKIs) nicht zum Durchbruch verholfen. Denn der geschäftliche Mehrwert an sich fehlt hier auf den ersten Blick. Erst die sinnvolle Verknüpfung von technischen Mechanismen mit geschäftlichen Anforderungen zeigt Nutzenpotenziale auf. Dies gilt für moderne Sicherheitstechnologien genauso, wie für andere technische Einsatzfelder. Der Anwender fragt nach dem Nutzen – nicht nach der Technik.
Ein Beispiel hierfür sind modular aufgebaute End-to-End-Securitylösungen, wie sie beispielsweise Siemens Enterprise Communications mit der „Totally Integrated Security Architecture“ (TISA) entwickelt hat. Sie verbinden technologisch getriebene Ansätze mit den organisatorischen Anforderungen eines Unternehmens und decken alle Aspekte für mehr Sicherheit im Geschäft ab – von der Infrastruktur bis zur Integration elektronischer Identitäten in branchenspezifische Prozesse – und berücksichtigen die häufig sehr verschiedenen Sichtweisen von Geschäftsverantwortlichen und Unternehmensleitungen ebenso wie die Anforderungen von Technologieexperten oder Produktherstellern.
Ziel dieser End-to-End-Security: Besserer Investitionsschutz für zukünftige Szenarien im Rahmen des Einsatzes von elektronischen Identitäten zum Beispiel mit Hilfe von Multiapplikationskarten. Dabei sollen Basisprodukte auf der Infrastrukturebene, wie Karten, Leser, Middleware, Systemsoftware, etc. mit Lösungsanforderungen auf der betriebswirtschaftlichen Ebene stärker als bisher harmonieren.
So wird der kontaktlose Chip beispielsweise, wie bisher, für Zeiterfassung oder Kantinenabrechnung genutzt. Darüber hinaus werden aber auch weitere moderne Mobilitätsanforderungen, wie Zutrittssicherung, Parkraummanagement oder der Schutz von besonderen Bereichen in Gebäuden (z.B. Labor) realisiert. Man sollte sich aber klar machen, dass diese „Non-IT“-Funktionen nichts mit der Geschäftsabwicklung im Rahmen von IT-Anwendungen zu tun haben. Eng verbunden mit der Authentisierung durch elektronische Identitäten ist dagegen der Zugangsschutz zu Anwendungen, Rechnern und Netzen. Dies gilt besonders für eine zertifikatsbasierte starke Authentisierung.
Der Schutz von digitalen Identitäten mittels SmartCards in einer Public Key Infrastruktur wird im Innenverhältnis einer Organisation im Rahmen eines Identity- und Access-Managements zunehmend wirtschaftlich sinnvoll und sicherheitspolitisch opportun. Mit zunehmender Digitalisierung der Geschäftsprozesse rechnet sich ein solches Vorgehen oft schon über deutlich reduzierte Anfragen am User-Help-Desk durch ein zertifikatsbasiertes Single-Sign-On. Help-Desk-Anfragen aufgrund vergessener Passworte werden deutlich minimiert, die Kosten sinken.
Fazit
Sichere elektronische Identitäten und damit verbundenes Identity- und Access-Management schützen nicht nur die kritischen Ressourcen des Unternehmens oder der Organisation, sondern machen auch Geschäftsprozesse effektiver und somit Organisationen effizienter. Und sie unterstützen die Einhaltung der immer komplexer werdenden Compliance-Anforderungen ohne das ein Unternehmen sich zwischen Compliance und solider IT-Sicherheit entscheiden muss.
[Bild: Fotolia.com]