KuppingerCole's Advisory stands out due to our regular communication with vendors and key clients, providing us with in-depth insight into the issues and knowledge required to address real-world challenges.
Unlock the power of industry-leading insights and expertise. Gain access to our extensive knowledge base, vibrant community, and tailored analyst sessions—all designed to keep you at the forefront of identity security.
Get instant access to our complete research library.
Access essential knowledge at your fingertips with KuppingerCole's extensive resources. From in-depth reports to concise one-pagers, leverage our complete security library to inform strategy and drive innovation.
Get instant access to our complete research library.
Gain access to comprehensive resources, personalized analyst consultations, and exclusive events – all designed to enhance your decision-making capabilities and industry connections.
Get instant access to our complete research library.
Gain a true partner to drive transformative initiatives. Access comprehensive resources, tailored expert guidance, and networking opportunities.
Get instant access to our complete research library.
Optimize your decision-making process with the most comprehensive and up-to-date market data available.
Compare solution offerings and follow predefined best practices or adapt them to the individual requirements of your company.
Configure your individual requirements to discover the ideal solution for your business.
Meet our team of analysts and advisors who are highly skilled and experienced professionals dedicated to helping you make informed decisions and achieve your goals.
Meet our business team committed to helping you achieve success. We understand that running a business can be challenging, but with the right team in your corner, anything is possible.
Dazu möchte ich ganz herzlich unsere Teilnehmer begrüßen. Das ist zum einen der Herr Doktor Ludwig Fuchs von der Nächstes AG, Wir haben Alpha Barry von der sechs Ida AG. Jetzt habe ich richtig ausgesprochen und wir haben neu dazugekommen.
Carsten Metzger von Bayer Net AG Hallo und schönen, Guten Morgen, guten Morgen schon wieder guten Nachmittag zusammen, Guten Tag, gedanklich, Hier ist alles abgedunkelt, deswegen ist es etwas schwierig mit den Tageszeiten, vielleicht zu Beginn einfach mal ganz kurz, jeder 30 Sekunden kurz Vorstellungen wie immer vor uns hier haben, weil vielleicht doch der ein oder andere Zuschauer später dazu geschaltet hat. Vielleicht fangen bei Alpha Barry an, gerne gut gerne von Marin, Sie unter Sekretär Rabbi.
Wir sind ein mittelständisches Beratungsunternehmen, arbeiten mit unseren Kunden an Themen rund um Absicherung von alte Infrastruktur mit dem Schwerpunkt auf Valentin Access Management Privileg Textes Absehen von Verzeichnis Diensten machen da eigentlich alles vom System Design ist zur Implementierung haben keine eigenen Produkte, sondern implementieren Produkte anderer, zum guten Teil auch Produkte von Anbietern, die heute auch hier sind.
Dann Ludwig, die Krux Geschäftsführer nächstes gehen Wir haben wir sind Spezialisten im Bereich der Berechtigung Verwaltung, berechtigtes Analytik, Räumen, Modellierung und rollen management bieten, deuten produkt und machen die letzten 11 jahre nichts anderes, als Unternehmen zu unterstützen, die situation zu verstehen, Verbesserung herbeizuführen und ihr richtiges Management unter kontrolle zu bekommen. Herr Metzger, noch im Abschluss?
Vielen dank karsten Metzger von der Firma bayer net ag persönlich auch schon seit beginn des jahrtausends mit den Themen identity and access management unterwegs und für die Firma bajonett hier mit dem Produkt exist manager, das einen gewissen Schwerpunkt beim Berechtigung ß management in die Daten ablage hat, aber auch andere module teams etcetera, was man heute eben noch braucht.
Daten liegen nicht nur in der daten ablage und freue mich heute hier sein zu dürfen super danke schön am fangen wir doch gleich mal damit an berechtigung ß management ist ein sag ich mal geliebt und gehasst es thema in unternehmen es ist kompliziert, es ist teuer, manchmal nicht erfolgsversprechend, manchmal doch was sind aus ihrer sicht? Fangen vielleicht am auch bei dem Herrn Metzger an? Was sind so die größten Herausforderungen im Berechtigung ß unter Management für Unternehmen?
Na ja, ich glaub die schiere Größe beziehungsweise.
Der Umfang der Aufgaben und ich hab dann natürlich das Risiko, dass sich genau an einem Punkt starte, vielleicht, weil ich in Vorfall hatte, und an dem orientiere ich mich und verlieren bisschen aus dem Blick, dass es sehr viele Systeme gibt, es sehr viele Datenpools, sehr viele Aktivitäten, für die ich die Berechtigung managen muss, und dementsprechend ist die Herausforderungen, die richtige Mischung aus Sicherheit, Einfachheit und Verständlichkeit für die Anwender zu finden und das gesamte von Anfang an im Blick zu haben, sich erstmal zu informieren, anstatt gleich loszulegen oder vielleicht als allererstes katholischen ausgewählt zu haben.
Super, danke Ludwig deine Einschätzung Was sind die größten Herausforderungen, was sieht man so im Markt? Seine Praxis sieht man, dass die Unternehmen damit kämpfen zu wissen, was in der Absprung Seehöhe sie haben. Das heißt, sie wissen nicht, wo sie stehen?
Das heißt, dass unsere Sicht ist absolut notwendig, dass Unternehmen in unserem Fall das Tool gestützt, mal das jetzt in dem Vortrag da eins gesehen wissen, wo sie stehen, wie die ist, Situation ist und dann die zweite große Herausforderung zu verstehen das ist natürlich ein Tool, braucht, aber es ist kein technisches Thema, seinen organisatorisches Thema und die Frage ist Wie kann ich Stakeholder richtig einbeziehen? Was auch immer in dem Unternehmen die Steinkohle je nach Strategie und Schwerpunkt tatsächlich sein mögen, ob das Abteil leider sind.
Mit dem Versprechen muss Bereichsleiter Informations Sicherheitsleute rollen ohne Berechtigung. Sondern die wollen alle unterschiedlich angesprochen werden zu dem Thema, weil sie unterschiedliche Stärke und Maßnahmen oftmals wird es in den Projekten vernachlässigt, so dass man einfach eine technische Lösung in salopp gesprochen darüber klatscht und versucht, das mit dieser Lösung das Ganze abdeckt. Das geht oftmals nicht hundertprozentig gut.
Genau, wir haben vorhin einen Vortrag von der österreichischen Telekom gehört, wo war das so ein bisschen beleuchtet haben, vielleicht auch für die Zuschauer, da wurde so ein bisschen beleuchtet, wie man denn eben richtig vorgehen, und es ist einfach ein ganz spannendes Thema am Herr Barry, was sind denn so die ersten Schritte, wenn man seinen Berechtigung ß Management im Unternehmen auf Vordermann bringen möchte? Was? Wo fange ich an?
Also glaubst wichtig, dass man da Unternehmen spezifisch vorgeht, weil jedes Unternehmen geht er aus, aus unterschiedlichen Gründen in so einem Projekt tragen. Mag sein, dass das dann beim Bund ist man muss aus Compliance Gründen richtig und Management nachweisen, hat Feststellungen gehabt, da sollte man da natürlich ansetzen.
Mag sein, man hat einen Fall wie von mir vorhin geschildert, wie man im Rahmen der cloud transformation des zentralisieren möchte kann auch sein. Es gab in sicherheits Vorfall und ich möchte da angehen, ich glaube wichtig ist, dass man so ein projektmanagement seit ich entsprechend positiv auflegen das also klar ist projekt werden tatsächlich genau die herausforderungen adressiert, die das unternehmen für sich auch gesehen hat. Und dann krieg ich die star cola auch einigermaßen dahinter.
Ich glaube man muss man muss diese spezifische story haben warum ich da rein gehen, denn das thema selber ich formuliere mal vorsichtig wenn sie es nur wohin sagen und richtiges management löst es ja selten bravo von enthusiasmus aus, als löst man in euren auch schweiß aus. Das ist richtig wesen der aussicht von von nächstes als sage mal fach tool für genau diese themen. Womit fangt ihr an, es ist interessant zu sein, was der welt sagt genau das thema ziele also ziel definition warum gegen thema sein?
Interessant ist dann aber, dass die vorgehensweise eigentlich immer diese vorher schon angesprochene ist analyse benötigt weil ich muss wissen egal welche schwerpunkte ich setze wenn zum berechtigung geht wie schauen die jetzt aus? Wie ist die Situation heute? Und was wir gemerkt haben, ist Wir nutzen wir, wie es auch in dem Vortrag vorher schon 12 Folien kann, visuelle Darstellungen. Wir erleben, dass es sehr positiv ankommt, den Starkult oder Fachbereichen schon was liefern zu können, nicht mit Zettel und Stift zu kommen, zu erheben. Was sind denn bei euch?
Für Stellen für Positionen versucht man bei der Prozesse zu erklären, sondern zu sagen, so sieht es heute aus, und mit ihnen darüber eine Diskussion zu kommen.
Das heißt für uns diese ist, Situationen zu bestehen, auf Basis der Ziele, die man sich wir äußern, sagt Vorher setzt, weil wenn ich natürlich ein Vorfall hat, dann habe ich eine höhere Priorität in dem Gewissen Bereich, was zu machen, Aber Herr Metzger früher auch schon gesagt Man muss trotzdem das gesamte Bild irgendwo im Blick haben, eine punktuelle Aktion zu setzen, mag schön sein, wenn ich vielleicht kurz Budget habe, aber positiv aufgeladen ist grad gesprochen es ist dann auch noch nicht, sondern man muss ja auch irgendwo eine Strategie dahinter dann verfolgen, auch wenn man gewisse Ziele priorisiert.
Absolut, und dem kann ich nur zustimmen. Ich habe gesagt selber, ich habe mit der Thematik früher mal gearbeitet. Wir haben tatsächlich auch mit simpelsten Video Charles angefangen und Bäume gebaut. Das war natürlich schwierig umzusetzen.
Geh mal zum Herrn Metzger und das Thema hybride Umgebungen, vielleicht auch so ein bisschen Werk vom hohen, was wir heute alles gehört haben, was sind da so die besonderen Herausforderungen an ein zentrales Ritt Berechtigung ß Management oder an vielleicht rollen Modellierung, selbst wenn man es mal so in die Richtung betreibt betrachtet also Einerseits ist der Unterschied natürlich klein oder gar nicht vorhanden, weil ich mir Gedanken darum machen muss wer hat wo warum Zugriffsrechte und wie kann ich den einerseits den Anforderungen des Unternehmens in puncto Sicherheit gerecht werden, andererseits eben auch der Bedienbarkeit und und Handhabbarkeit ganz besonders schwierig, oder warum man das überhaupt einzeln erwähnen muss liegt dann tatsächlich, glaube ich, in der Tatsache begründet, dass das Tuning des mich dabei unterstützen kann, sich zumindest bis heute manchmal etwas unterscheidet, ob ich jetzt von klassischen und Bremm, Umgebungen oder Hybriden oder Cloud only Systemen spreche und je mehr ich eben in diese hybride Umgebung kommen, desto mehr habe ich auch zu tun mit Tools, wo für mich vielleicht sogar überraschend Puls an Aktionen und Informationen entstehen, wo ich Berechtigungen Management machen muss, nehmen Teams.
Das führe ich ein, weil ich will, dass die Leute miteinander unterhalten und sechs Monate später stelle ich fest, dass die Hälfte meiner Filme Geheimnisse in Form von wird. Dokumenten irgendwo in diesen Teams liegt und da liegt die große Herausforderung, das im Blick zu haben und gegebenenfalls vielleicht auch schmerz halt mal schmerzhaft mal einhalt gebieten den technischen features und fähigkeiten, die mir die hybride welt bieten kann, bevor ich nicht für mich sicheren klar bin, dass es auch dann entsprechend koordiniert passiert.
Wie sind denn dann also ich habe im interesse ein bisschen herausfordern gesagt rollen oder berechtigung management ist ein schwieriges thema oder auch ein verhasstes Thema muss man bisschen provokant zu sagen, in letzten jahren hat sich dann auch daraus entwickelt, dass man eher über police this entscheidungen macht, den kontext des benutzers dazu nimmt, das gerät mit dazunimmt was jetzt gerade unter wird vom hoben eine rolle spielt wie integrierte man denn dieses thema in einen s sinnvolles berechtigung skonto z dt.
Herr Barry, letzten Endes muss man ehrlich sein es ist halt eine zusätzliche Arbeit die gemacht werden muss was ich sehen und fand war der Ansatz von Doktor Funktionen zu sagen. Man muss versuchen, möglichst viel von der Institutionen in den Bericht im automatisiert zu erfassen, um an der Stelle in Aufwand zu minimieren. Nur ich muss mir dann schon die Gedanken machen, wenn ich jetzt in Richtung beispielsweise Conditional Access gehe, dann muss ich mir eben wenn ichs nicht schon irgendwo abgebildet habe in der Policy dann durchaus zu Anfang überlegen was ist denn für mich sinnvoll?
Man gut kann man in vielen unternehmen, wird sich nicht entscheiden hat wahrscheinlich ein paar unter die situation der mitarbeiter ist am eigenen Rechner im Unternehmen ist im eigenen Rechner woanders, je nachdem wir Moment Balkone, die Situation des Kraft aus dem Homeoffice zu die Fälle muss ich halt schon modellieren und dann auch eine Aussage darüber treffen, das sollte dann erlaubt oder nicht erlaubt sein, der Vorteil ist dann aber, dass sich das dann auch an einer Stelle sauber abbilden kann, und das sehe ich im Moment in dem Moment, wo ich Berechtigung Smash Männerrollen basiert, gemacht habe, dann muss ich.
Dieses ganze Thema konnte schnell Exist irgendwo anders abbilden und das macht sie natürlich auch wieder schwere. Eine ganzheitliche Sicht zu bekommen. Von daher halte ich in Summe den Ansatz mit dem policy basierten Konzept, wo ich das an einer Stelle sauber einmal abbilden kann, wenn ichs definiert habe, schon für hilfreichen. Das vereinfacht natürlich dann auch die automatisiert übertragen dieser Regeln dann ihnen Systeme wie beispielsweise die Microsoft laut hinein und da dann auch möglichst nicht händisch alles konfigurieren zu müssen.
Ludwig, wie siehst du das? Du bist ja in vielen Unternehmen unterwegs und manchmal in den Anfängen, manchmal auch schon zu dem späteren Schritt, wie integrieren die Police ist oder wie sie es los. Das muss man unterscheiden. Ob es Policy passierte, Zugangskontrolle zum Vergabe dazu zu gestaltung deshalb beim Vergabe Zeitpunkt ist, dann heißt sich vergebe Attribut passiert in eine Berechtigung des kann jedes Sage mal Marktübliche ihr n System kann es daraus Provision ihr nach Basis von irgendwelchen Attributen oder Konditionen dies überprüft.
Beim Vergabe Zeitpunkt ist es eine Sache weniger komplex und wird zum Beispiel so gemacht. Im In anfangs Rollen Konzept verstehen wir sowohl die statischen, also die klassischen Rollen als auch Bedingungen.
Es passierte Rollen, das heißt Rollen, die mit einer Bedingung verknüpft sind, war nicht die automatische kriegen soll, das kann man an ihr im System übertragen Es funktioniert beim Zugriffs Zeitpunkt ist es interessant, Weil natürlich muss ich dann aber wissen, wenn ich jetzt so was wie ist Analysen machen will, muss sie immer wissen welche Attribute, die für die Koalition relevant sind, haben die Leute und wie haben sich die geändert?
Und was mir oft übersieht also was Herr berger bisschen bin, die andere meinung zum Thema weil wir haben schon einige Lösung gesehen, wo man sagt ok wie möchte Bedingungen passierte Zugriff zum Zuges Zeitpunkt etablieren willen zentrale Systeme da habe ich dann 30 40 politik kann aber nie diese fein grano Labilität erreichen. Muss die Polizisten pflegen. Die Leute vergessen, dass die Polizei sie live zeige. Es brauchen muss policy kontrollen einführen, wert auf das ändern wer hat wann welche politik geändert?
Wie es das freigegeben worden und es natürlich auch eine Ebene, die ich sozusagen in Griff kriegen musste unsere zu abgebildet, dass diese live Seite ist für die polizei ist analog zu den Rollen gleichzeitig sind genaues glei sozusagen nur dass die Zuweisung beziehungsweise. Die kurdischen die statische zu weisungs liste von von Mitarbeitern beispielsweise ersetzt, also in unserer Praxis ist eine Kombination eigentlich aus drei Sachen Die erste sei die klassische direkt vergebene Berechtigung gibt es immer noch überall.
Dann rollen passiert vergebene Berechtigungen, die sowohl statisch, also klassisch über irgendein ihr n system beantragt oder irgendwie beantragt oder dynamisch zugewiesen werden als auf basis von irgendwelchen heuer steuer attribut. Mmh das ist der klassiker den man in allen unternehmen finden.
Und manche beginnen ganz sanft sozusagen wirklich zum zugriffs zeitpunkt regeln noch aufzusetzen als nächste dimension genau, aber natürlich hat es ein bisschen andere implikationen heutige ihr ein systeme müssen müssen ja nicht als polytheistischen point agieren, wenn er tatsächlich zu zugriff ja wenn ich irgendwo zugreifen und dann die regel auswerten muss genau am herr metzger in systemen also wird vom hohen wir haben sollte öfters mal gehört.
Wir arbeiten von überall und haben potenziell zugriff auch auf systeme auf dezentrale systeme wie beispielsweise microsoft teams wo jede menge daten informationen digitale es sitzt drinnen liegen wie in die kriegt diese systeme in ein zentrales unternehmens berechtigung ß management also erst mal hoffe ich, dass sie es tun, weil es tatsächlich gewisses risiko gibt, dass sich solche dezentralen tools von selber einführen, teils gewollt, teils geduldet, zeit sogar unbewusst, wobei ich glaube das würde jetzt wirklich zu weit führen. Das auch noch zu betrachten.
Wenn wir es denn dann betrachten, was in dem Zusammenhang wichtig ist, dann würde ich eigentlich erst mal nicht prinzipiell anders tun als für alle anderen zentralen Tools auch, jedenfalls wenn sie sich nicht sicher sind das keine kritischen Informationen. Oder Aktionsmöglichkeiten da rein wandern, also alles was jetzt auch die Kollegen schon gesagt haben zum Wie kann ich vorgehen mit einer Analyse und wie nähere ich mich und habe ich durchaus ja auch schon gute Erfahrungen gemacht, auch mit dem Tool von Wandern, Doktor Fuchs zum Beispiel.
Also was will man immer da haben und glauben Sie mir so was wollen Sie auch dabei haben? Wenn Sie dezentrale Tools einführen und man muss noch eins damit eigentlich hinterher ergänzen Scheuen Sie sich im Zweifel nicht, diese dezentralen Tools in der Funktion zu limitieren. Ansonsten glaube ich, dass wir nicht mehr hinterher kommen werden. Wir haben gelernt, dass Rollen Berechtigung ß Management ist ein bisschen ungeliebt, das wissen wir.
Warum das so ist, weil es aufwendig ist und die tollen Erfolge, die bunten Apps, das zeigt sich dann eben nicht direkt, aber wir wissen genau so, wie wichtig es ist und hier jetzt zu sagen toll jedes die zentrale Tool das mir netten produktions produktiven nutzen bringt, führe ich ein und das mit der sicherheit krieg ich dann schon irgendwie in den Griff, das halte ich für ein irrweg.
Also im prinzip die gleichen ansätze nicht davor scheuen, zur not am anfang die fischer reichhaltigkeit auch mal zu limitieren und dann gegebenenfalls eben wieder die passende tool auswahl was kann wir es analysieren und was kannst mir provision ihren was kann mir die informationen dokumentieren audi tieren etcetera anlegen wie bei den zentralen tools auch ist dafür da wieder an einen ergänzenden satz sagen ich glaube es stimmt genau überein das ist im prinzip ja nix anderes von prozessen, aber es kommt noch mehr weil der trend ist diese dezentrale vergabe zu erlauben.
Es kommt noch mehr auf die stakeholder und deren verständnis an. Wenn ich ein zeit auch nirgendwo bin wenn ich teams ohne und berechtigung vergeben werden beispiel einen Partner der Selbstsucht der herstellt, die sagen für unser pfeil management für datei Ablage ist das brauchen wir genau solche Visualisierung bei wenn das Deck oder selbst als ein ohne einer Seite oder eines eines Bereichs nicht weiß, wem er was vergeben hat, dann ist für ihn schwierig, das zu kontrollieren, weil letzten Endes ist er derjenige, der Dinge verwaltet.
Und je mehr man ihnen Steinkohle spezifisch darauf hinweist, dass es nach Policy riskant, wenn du diese Art von Datei hier hoch letzte beispielsweise oder wir markieren das ihm sonderlich oder wir haben eigene Prozess im Hintergrund, damit man ihn darauf hinweist, dass wirklich will, dann kann man glaube mehr noch die Sicherheit sicherstellen, weil letzten Endes nie benutzen.
Die gleichen Prozesse aber müssen noch mehr mit den Streik vor der letzten Endes einnebeln, in seinem kleinen Umfeld zu bestehen, was er macht, und zur Not stimme ich voll mit dem der Metzger war ein gewisse Dinge per Policy oder wie auch immer zu regulieren, zu sagen Stopp des darfst jetzt im machen Entschuldigung so tatsächlich ich hab schon auf die Uhr geschielt, eine total spannende Diskussion, die wir zuletzt leider auch so ein bisschen auslagern müssen, gerne in die Chat Möglichkeiten, die die Käse die Live Plattform hat.
Ich möchte mich ganz herzlich bei Alpha Barry, bei Doktor Ludwig Fuchs und bei Carsten Metzger bedanken und gerne auch noch mal jedem die Chance geben, kurz 20 Sekunden zu nennen Was sind so die ersten Schritte. Wenn ich meine Berechtigung Snatch Ment auf Vordermann bringen möchte, fangen wir bei Herr Barry an. Letztlich wie von gesagt, hängt davon ab, was genau ist der Pampa und den Jahren adressieren sollte.
Aber immer ein Thema heraus, Thema Sicherheit ich arbeit relativ viel mit Mittelständlern, die vor mit dem Thema wenig Berührung haben und wo das leicht mal auch einer von vielen Aspekten ist bei der Absicherung der Infrastruktur. Ich würde jedem empfehlen, sowohl und remis als auch in der klar und erst mal anzufangen mit Berechtigung, die gewisse Privilegien aufweisen. Gerade wenn ich in das Cloud Thema rein gehe, da vermischt sich dann ist das ein privilegiertes Konto, das ist ein normales konnte, weil ich im Zweifel ein User mit beliebigen Berechnung aufstocken kann, der dann Rechte hat.
Da muss ich reingehen, das sollte ich vernünftig machen, dass wir was womit ich anfangen oder in den nicht regulierten Bereich Ludwig, ich würde mal damit auf Basis der Ziele der Fragen Kunden immer Was sind die wichtigsten Systeme, was sind eure Pein Polens? Die ist Analyse zu machen. Das läuft innerhalb von vorher wieder.
Eins gehört fünf Werktagen durch, wo wir wissen Wo stehen wir und was kann man machen und die Unternehmen sind immer in ähnliche Klassen zu unterteilen Unternehmen, bei dem die ist Situation so ausschaut geht diesen weg ein Unternehmen mit anderen ist da zum Gehen den anderen weg ermöglicht mir die Projekt Kontrolle fiel deutlich zu verbessern und deutlich an Aufwenden zu sparen. Super Herr Metzger, noch jetzt ist dazu schon wahnsinnig viel Richtiges gesagt worden, deswegen laufe ich Gefahr, mich zu wiederholen.
Um das zu vermeiden, will ich vielleicht einen anderen Aspekt, den ich noch nicht gehört habe, einbringen. Manchmal lohnt sich tatsächlich auch zu schauen, was funktioniert denn heute schon, also wo im Unternehmen habe ich den schon Berechtigung ß Management etabliert für gewisse Teilaspekte, für gewisse Bereiche und was funktioniert da und was funktioniert nicht, worüber beschweren sich die Leute, was es vielleicht auch in dem Audit als Feindin aufgetreten.
Das ist auch noch zusätzlich zu diesen ganzen wichtigen Punkte ist Analyse, Organisationsstruktur, Stakeholder einbinden das ist mein Mann noch nicht entspannen die Informationsquelle Manchmal hilft mir auch nix, aber eine Überlegung ist es wert. Super, dann nochmal vielen Dank zusammen an die Runde
