Aachen: Auch IM-Systeme müssen die Compliance wahren

Manche Unternehmen sehen die Verpflichtung zur Compliance als bürokratisches Ärgernis, das viel kostet, aber nichts bringt. Dabei ist das Ziel der Compliance der Nachweis, dass Firmen ihre Daten verantwortungsvoll und ausreichend sicher verarbeiten und beherrschen. Die für die Nachvollziehbarkeit nötige Transparenz erleichtert nicht nur Wirtschaftsprüfern und Datenschutzbeauftragten ihre Aufgabe, sondern schafft auch Vertrauen in die IT-Systeme und -Prozesse sowohl bei der Unternehmensleitung als auch bei Kunden oder Auftraggebern.

Für das Identity-Management (IM) sind insbesondere die rechtlichen Datenschutzanforderungen wesentlich: Üblicherweise verarbeiten die Unternehmen dabei Daten, die einzelnen Menschen - nämlich Kunden oder Beschäftigten - zugeordnet werden können. Dann handelt es sich um personenbezogene Daten. Dafür müssen die einschlägigen Datenschutzgesetze eingehalten werden.

In Deutschland gilt für Unternehmen, die personenbezogene Daten verarbeiten, das Bundesdatenschutzgesetz (BDSG). Identity- Management ist schon deswegen wichtig, weil sich darüber die Zugriffsrechte für Daten und Verfahren verwalten lassen. Dies dient dazu, unberechtigte Zugriffe auf personenbezogene Daten im Unternehmen auszuschließen und eine Kontrolle über die Zugriffe und Rechte zu etablieren. Damit gehört ein Identity-Management zu den technischen und organisatorischen Maßnahmen, um ein angemessenes Sicherheitsniveau zu gewährleisten. Die Gesetze schreiben zwar nicht vor, zu welchem Grad Identity-Management automatisiert abzulaufen hat. In jedem Fall bietet es sich aber an, geeignete Systeme zur Unterstützung der entsprechenden Prozesse einzusetzen.

1. Rechtmäßigkeit: Für jede personenbezogene Datenverarbeitung ist eine rechtliche Grundlage nötig, zum Beispiel ein Gesetz, ein Vertrag oder eine Einwilligung.

2. Einwilligung: Für eine Einwilligung ist es nötig, dass der Betroffene ausreichend informiert wurde und freiwillig eingewilligt hat. Er kann seine Einwilligung mit Wirkung für die Zukunft zurückziehen.

3. Zweckbindung: Personenbezogene Daten dürfen nur für den angegebenen Zweck verwendet werden.

4. Erforderlichkeit und Datensparsamkeit: Es dürfen nur diejenigen personenbezogenen Daten verwendet werden, die für den jeweiligen Zweck erforderlich sind. Die Daten müssen gelöscht werden, sobald sie nicht mehr benötigt werden.

5. Transparenz und Betroffenenrechte: Erhebung und Verarbeitung personenbezogener Daten müssen gegenüber Betroffenen transparent, das heißt verständlich und nachvollziehbar sein. Betroffene haben das Recht auf Auskunft zu ihren Daten. Bei fehlerhaften Daten haben sie das Recht auf eine Berichtigung. Sind die Daten nicht rechtmäßig gespeichert, können die Betroffenen die Löschung der Daten verlangen.

6. Datensicherheit: Unberechtigte Zugriffe auf die Daten müssen durch technische und organisatorische Maßnahmen ausgeschlossen werden.

7. Kontrolle: Die Datenverarbeitung muss einer internen und externen Kontrolle unterliegen.

Welcher Unternehmensbereich hat welche Vorstellungen? Wer hat welche Anforderungen?

Welche Rolle spielt IAM in der GRC-Infrastruktur (Governance, Risk Management, Compliance)?

Teamfähigkeit und Kommunikationsgabe sind entscheidend. Nur dann können sich die vielen kleinen Teilprojekte zu einem großen Gesamtprojekt zusammenfügen.

Wer zuerst die tollen Produkte einführt, um sich dann Gedanken darüber zu machen, wozu sie eigentlich gut sind, hat schon verloren.

Die IT gibt das Geld aus, das das Business bereitstellt. Also muss kommuniziert werden, warum es nötig ist.

Erst denken, dann handeln: Welches Gesamtziel soll erreicht werden? Welche Prioritäten bestehen? Nicht an einer x-beliebigen Stelle mit irgendwas beginnen.

IAM betrifft verschiedene Zielgruppen - Mitarbeiter, Partner, Kunden - die alle adäquat verwaltet werden wollen. Wichtig: Das System muss mitwachsen können.

Aber nicht die Schnittstellen untereinander ignorieren!

Ob Sicherheits-Experte oder Entwickler oder Vorstand: Wer soll welche Rechte bekommen? Alle Hierarchieebenen mit ins Boot holen!

Nichts ist schlimmer als eine spätere Zwangsmigration, weil ein bestimmter Anbieter zu teuer geworden ist oder die Anforderungen des Unternehmens nicht mehr erfüllen kann/will.

Die Usability sollte gewahrt bleiben - der Endanwender muss verstehen, was es ihm bringt - er muss es beherrschen und gerne einsetzen wollen.

Verwantwortlichkeiten festzulegen, ist eine Herkulesaufgabe. Einfacher wird es, wenn klar ist, was es dem Business bringt (Punkt 2).

Daraus ergeben sich einige Anforderungen an Identity-Management-Prozesse und -Systeme in Unternehmen:

Das IM muss den gesamten Lebenszyklus von Nutzer-Accounts umfassen und damit die Aufgaben der Beschäftigten widerspiegeln: Einrichten und Löschen von Accounts, Rollenzuweisungen und -änderungen, Rechtezuweisungen und -änderungen, Zugriffskontrolle mit Protokollierung.

Sofern sich die Account-Informationen oder Zugriffe auf verschiedene Systeme verteilen, muss das IM alle umfassen.

IM muss auch Administrations-Accounts einbeziehen.

Durch eine übersichtliche Darstellung der Zugriffsrechte, zum Beispiel in Matrixform, sollte IM die interne Kontrolle unterstützen, beispielsweise indem Vorgesetzte einmal monatlich die Vergabe der Rechte überprüfen. Maßgeblich ist das „Need-to-know”-Prinzip.

IM sollte sowohl darüber informieren, wer welche Rechte hat, als auch, wer welche Rechte zu einem vorgegebenen Zeitpunkt hatte. Zusätzlich muss protokolliert werden, wer welche Änderungen veranlasst hat.

IM sollte Auffälligkeiten erkennbar machen, zum Beispiel länger nicht genutzte Accounts, fehlende Verantwortlichkeiten für Accounts, Kombination von eigentlich zu trennenden Rollen (beispielsweise sollten die Beschaffung und das Anweisen der Rechnungen nicht durch dieselben Personen ausgeführt werden).

Das IM muss der Unternehmens-Sicherheitspolicy genügen, beispielsweise durch die Definition von Minimalanforderungen an Passwörter, Mehrfaktor-Authentifizierung oder Verschlüsselung von Daten.

Mit dem Kauf und der Installation einer Identity-Management-Software ist es aber nicht getan. Stattdessen empfiehlt es sich, eine unternehmensweite Identity-Management-Strategie zu entwickeln, die auf klar definierten Verantwortlichkeiten und implementierten Prozessen beruht. Notwendig dafür ist eine aussagekräftige Dokumentation der Abläufe im Unternehmen von der Einstellung von Beschäftigten über Aufgabenveränderungen bis zum Weggang. All dies muss sich im Identity-Management widerspiegeln.

In der Regel müssen gemäß dem Datenschutzrecht für die im Unternehmen eingesetzten Verfahren, die automatisiert personenbezogene Daten verarbeiten, die Zwecke, die Datenkategorien, etwaige Empfänger(-kategorien), Regelfristen für die Löschung der Daten und eine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen dokumentiert sein (Paragraf 4e BDSG).

Diese Dokumentation wird in einem sogenannten Verfahrensverzeichnis vom betrieblichen Datenschutzbeauftragten geführt oder muss der Datenschutzaufsichtsbehörde gemeldet werden. Ziel ist, Transparenz über die Datenverarbeitung im Unternehmen herzustellen. Dies dient wiederum als Basis, Sicherheitsrisiken zu identifizieren und zu beheben. Für das Identity-Management ist neben den Verantwortlichkeiten und Funktionsweisen zu dokumentieren, welche Aktivitäten protokolliert werden, wer die anfallenden Protokolldaten zu welchen Zwecken auswerten darf und wie lange die Daten aufbewahrt werden müssen. Bereits beim Aufsetzen der Protokollierung sollte man auch die Löschroutinen planen, die automatisiert nach dem definierten Aufbewahrungszeitraum die Daten entfernen.

Schon seit vielen Jahren ist ein eigenes Gesetz für Beschäftigtendatenschutz im Gespräch. Im August 2010 legte die Bundesregierung einen vieldiskutierten Gesetzentwurf vor. Seitdem haben der Bundesrat und Parlamentarier Änderungsvorschläge eingebracht. Es ist aber unklar, ob das Gesetz noch im Jahr 2012 verabschiedet wird. Einen noch größeren Einfluss wird eine Entwicklung auf EU-Ebene haben: Im Januar 2012 präsentierte die EU-Kommission einen Entwurf für eine Datenschutz-Grundverordnung, die nach Verabschiedung für alle Mitgliedstaaten der EU unmittelbar anwendbar sein soll. Damit würde dieser Gesetzestext große Teile des Bundesdatenschutzgesetzes ersetzen.

Da auch das Datenschutzrecht der Beschäftigten (Paragraf 32 BDSG) berücksichtigt werden muss, darf nicht im Übermaß personenbezogen protokolliert werden, und die Protokolldaten unterliegen einer strengen Zweckbindung (zum Beispiel für Prüfzwecke durch betriebliche Datenschutzbeauftragte). Das Instrument der Einwilligung ist im Beschäftigungsverhältnis oft nicht nutzbar, weil es bedingt durch das Abhängigkeitsverhältnis an der Freiwilligkeit fehlt. Abhilfe können Betriebsvereinbarungen schaffen, die die Unternehmensleitung mit Interessenvertretungen wie dem Betriebsrat aushandelt.

Richtet sich das Identity-Management an Kunden, wird dies in der Regel auf einer Einwilligung beruhen, für die eine ausreichende Information über die Verarbeitung der personenbezogenen Daten erforderlich ist. Bei Telemedien, zum Beispiel Angeboten über eine Website, muss das Unternehmen bei der Gestaltung der Accounts Paragraf 13 Abs. 6 Telemediengesetz berücksichtigen, wonach der Diensteanbieter die Nutzung anonym oder unter Pseudonym zu ermöglichen hat, soweit dies technisch möglich und zumutbar ist. Die Nutzer müssen darüber informiert werden.

© IDG / In Zusammenarbeit mit computerwoche.de