Cyber-Ark: Risikomanagement wird bei Outsourcing vernachlässigt

(openPR) Heilbronn, 15. Juni 2010 - Auch bei der Auslagerung von IT oder Geschäftsprozessen sind Unternehmen verpflichtet, alle Anforderungen des Risikomanagements zu erfüllen. Die Verantwortung über die ausgelagerten Bereiche verbleibt also beim Auftraggeber. Sicherheitsexperte Cyber-Ark sieht an diesem Punkt bei vielen Unternehmen großen Handlungsbedarf und eine Verletzung gängiger Compliance-Vorschriften.

Als Nachweis, dass auch beim Outsourcing alle Anforderungen an das Risikomanagement und unternehmensinterne Kontrollsysteme erfüllt werden, hat sich auf internationaler Ebene der Prüfungsstandard SAS70 (Statement on Auditing Standard 70: Service Organizations) vom American Institute of Certified Public Accountants (AICPA) bewährt. In Deutschland gibt es seit 2007 mit dem vom Institut der Wirtschaftsprüfer veröffentlichten Standard IDW PS 951 eine vergleichbare Richtlinie, die die Anforderungen von SAS 70 aufgreift und zusätzlich nationale Besonderheiten berücksichtigt.

Jochen Koehler, Deutschland-Chef von Cyber-Ark, betont: "Outsourcing gehört heute für viele Unternehmen bereits zum Alltag - und zwar nicht nur bei großen, sondern auch bei kleineren Firmen: man denke nur an die weit verbreitete Auslagerung der Lohnbuchhaltung. Doch dass der Auftraggeber genau hinschaut, ob der Dienstleister alle erforderlichen Sicherheitsvorschriften einhält, ist nach wie vor die Ausnahme. Da liegt noch vieles im Argen. Allerdings wird sich hier kurzfristig einiges ändern müssen, denn immer mehr Wirtschaftsprüfer legen Wert auf Zertifizierungen nach dem Prüfungsstandard SAS70 beziehungsweise PS 951."

Die Problematik einer auch nur teilweisen IT-Auslagerung an ein externes Systemhaus oder einen Hoster liegt darin, dass in der Regel mehrere Administratoren mit dem gleichen Passwort auf die Kundensysteme zugreifen können. Bei diesen sogenannten Shared Accounts ist dann keine Nachvollziehbarkeit gegeben. Hat eine größere Gruppe von Administratoren Zugriff auf Passwörter, kann nicht kontrolliert werden, welche Person ein solches Passwort wann und wozu verwendet hat, das heißt, eine revisionssichere Überprüfung der Verwendung eines generischen Accounts bis auf die Personenebene ist nicht möglich.

Abhilfe kann hier nur eine Lösung schaffen, die es ermöglicht, privilegierte Benutzerkonten mit erweiterten Rechten automatisch zu verwalten. Speziell hierfür hat Cyber-Ark die Privileged-Identity-Management-Suite entwickelt, mit der administrative Accounts zentral verwaltet und überwacht werden können. Zur Lösungssuite gehört der Enterprise Password Vault, der die geschützte Verwahrung und regelmäßige, automatische Änderung von Passwörtern ermöglicht. Weiterer Lösungsbestandteil ist der Privileged Session Manager (PSM), mit dem privilegierte Zugänge nicht nur im Hinblick auf das „Wer", sondern auch auf das „Was" gesichert und überwacht werden können. Die Verbindung zum Zielsystem wird dabei über einen „Sprungbrett-Server" realisiert, der eine komplette Aufzeichnung der Admin-Session ermöglicht und damit eine jederzeitige Nachvollziehbarkeit sicherstellt, was in ihr konkret passiert ist. Weiterer Vorteil: Nur der PSM „kennt" die Passwörter der Zielsysteme und nur er darf sich mit diesen verbinden - so bekommt der Administrator zu keiner Zeit Passwörter zu Gesicht.


Diese Presseinformation kann unter www.pr-com.de abgerufen werden.