Compliance & Audit
Ein Audit auf Basis von Compliance (deutsch: Rechtskonformität) fördert durch Überprüfung der Einhaltung von Vorschriften die Stabilität in der Infrastruktur eines Unternehmens. Compliance dient dabei der Einhaltung, während ein Audit die Überprüfung übernimmt. Weitere Techniken, die zu diesem Vorgang zählen, sind Monitoring, Reporting und Auditing.
Ein IdMS in einer Enterprise-Umgebung ist dazu aufgefordert, gesetzliche und regulative Vorschriften einzuhalten und umzusetzen. Compliance verfolgt das Ziel, Vorschriften einzuhalten und gegebenenfalls Risiken zu erkennen, auszuwerten und Vorschriften mittels Einsatz technischer Lösungen zu erfüllen (auch als Governance, Risk Management, and Compliance (GRC) bezeichnet). Zur Rechtskonformität zählen z.B. die Dokumentation von Prozessen und (Langzeit-)Archivierung von Vorgängen in IT-Systemen. Compliance dient folgenden Bereichen:
- Schutz unternehmenskritischer Daten
- Revision von Berechtigungen
- Revision von Administrationstätigkeiten
- Einhaltung von rechtlichen und organisatorischen Vorgaben im Datenmanagement
Ein Audit dient zum Vergleich eines Soll-Ist Zustandes. Es urteilt über die getroffenen Maßnahmen im Prüfungsumfeld und gibt an, ob weitere Maßnahmen erfolgen sollen, um den Soll Zustand zu erreichen. Der Zustand wird formal festgelegt, indem Compliance eingeführt wird.
Compliance Management
Ein Compliance Management definiert und verwaltet Vorschriften für Prozesse und Prozessergebnisse. Ein Unternehmen kann die Vorgaben festlegen, während Audits tatsächliche oder mögliche Verstöße gegen die Vorgaben identifizieren sowie einschätzen und gegebenenfalls dem Compliance Management berichten.
Monitoring
Ein umfassendes Monitoring realisiert eine systematische Überwachung von Systemen und eine Protokollierung aller relevanten Daten bzw. Vorgänge innerhalb eines IdMS. Die Daten liegen in Echtzeit bzw. mit Zeitstempel versehen vor, um eine Überschneidung bei gleichzeitigen Zugriffen zu verhindern. Durch ein Monitoring können Fehler bei Konfiguration, Kommunikation und Anwenderaktivitäten erkannt und ausgewertet werden. Das Monitoring kann bei kritischen Vorkommnissen geeignete Gegenmaßnahmen anstoßen. Neben der Protokollierung von Aktivitäten wie Zugriff, Delegierter Administration, Self Service oder Änderungen von Credentials können z.B. auch Protokolldaten eines Privileged User Management erfasst werden.
Reporting
Ein Reporting bietet eine kontinuierliche Berichterstellung und Auswertung von vergangenen und aktuellen Aktivitäten im IdMS. Die Berichte (englisch: reports) beinhalten zum Beispiel Informationen über Zustände von Identitätsdaten und Berechtigungen sowie über den Ablauf verschiedenster Vorgänge. Das zuständige Personal erhält eine klare Übersicht über den Zustand verschiedener Prozesse und kann feststellen, ob Aktivitäten vorschriftsmäßig durchgeführt wurden. Das Reporting hat auch die Aufgabe, kritische Vorkommnisse entsprechend zu melden. Dies kann automatisierbar z.B. per E-Mail, Instant-Messenger oder SMS erfolgen.
Auditing
Auditing bezeichnet im Identity Management die Bemühungen, aktuelle und vergangene Rechte und Aktionen einer Entität mit Bezug auf die IT-Systeme und IT-Ressourcen nachvollziehen und prüfen zu können. Dabei werden relevante Informationen über den Prozess erstellt, gespeichert und dem Auditor zur Verfügung gestellt. Diese ergeben sich bspw. durch folgende Fragen: Welche Aktionen wurden wann und von wem ausgeführt? Welche Anwendungen wurden genutzt und auf welcher Ressource wurden sie ausgeführt? Wer hat wann welche Berechtigungen vergeben? Das Reporting kann das Auditing entsprechend unterstützen. Dabei sind immer die Bestimmungen bzgl. des Datenschutzes zu beachten, die die Möglichkeiten des Auditing in Bezug auf personenbezogene Daten einschränken.