IT-Sicherheit und Compliance ergänzen sich
Der Druck, immer wieder neue Compliance-Vorschriften einzuhalten, stellt in vielen Unternehmen die bisherigen Modelle der IT-Sicherheit in Frage. Denn es werden nicht nur dringend benötigte Mittel aus Security-Projekten abgezogen, manchmal verringern die gesetzlichen Auflagen sogar die allgemeine Sicherheit.
Der Nutzeffekt kann dabei durchaus nach Einsatzfall oder branchenspezifisch variieren. So dominieren im Firmenumfeld beispielsweise besonders die Kostenaspekte. Bei Behörden können dagegen andere Argumente, wie die spezifischen Anforderungen an den Datenschutz oder die Rechtssicherheit, entscheidend sein. In regulierten Branchen wie der Pharmaindustrie oder den Banken beispielsweise, kommen meist weitere spezifische Compliance-Anforderungen dazu. In der Universität oder beim E-Government dagegen spielen zunehmend virtuelle Prozesse bei trotzdem großer Verbindlichkeit eine wichtige Rolle, während im Gesundheitswesen Nachvollziehbarkeit und Datenschutz bei allen Kostenaspekten durch elektronische Verfahren von entscheidender Bedeutung sind.
Allen Anforderungen ist jedoch eines gemeinsam: Die Sicherheit einer elektronischen Identität, ihrer zweifelsfreien Zuordnung an die Person und ihre Verwaltung muss viel näher an die Anforderungen des Geschäftsprozesses rücken als dies bisher der Fall war. Denn Sicherheit kann nicht im “Huckepack-Verfahren” auf die Anwendungen gesetzt werden, sondern muss ihr integraler Bestandteil sein. Erst damit ist sie sinnvolles Mittel zum Zweck geworden, angemessen Geschäfte elektronisch abzuwickeln. Erst damit wird Sicherheit wirklich zum Business Enabler.
Anforderungen, die zunehmend auch von den IT-Dienstleistern erkannt werden. Siemens Enterprise Communications beispielsweise bietet dafür eine “Totally Integrated Security Architecture” (TISA). Ziel ist besserer Investitionsschutz für zukünftige Szenarien im Rahmen des Einsatzes von elektronischen Identitäten z.B. mit Hilfe von Multiapplikationskarten. Dabei sollen Basisprodukte auf der Infrastrukturebene, wie Karten, Leser, Middleware, Systemsoftware, etc. mit Lösungsanforderungen auf der betriebswirtschaftlichen Ebene stärker als bisher harmonieren.
Der Schutz von digitalen Identitäten mittels SmartCards in einer Public Key Infrastruktur wird im Innenverhältnis einer Organisation im Rahmen eines Identity- und Access-Managements zunehmend wirtschaftlich sinnvoll und sicherheitspolitisch opportun. Mit zunehmender Digitalisierung der Geschäftsprozesse rechnet sich ein solches Vorgehen oft schon über deutlich reduzierte Anfragen am User-Help-Desk durch ein zertifikatsbasiertes Single-Sign-On. Help-Desk-Anfragen aufgrund vergessener Passworte werden deutlich minimiert, die Kosten sinken.
Sichere elektronische Identitäten und damit verbundenes Identity- und Access-Management schützen somit nicht nur die kritischen Ressourcen des Unternehmens oder der Organisation, sondern machen Geschäftsprozesse effektiver und somit Organisationen effizienter. Und sie unterstützen die Einhaltung der immer komplexer werdenden Compliance-Anforderungen. Rein technologisch getriebene Lösungsansätze auf diesem Gebiet – so die Erfahrung – scheitern allerdings nicht selten aufgrund organisatorischer Hemmnisse, Akzeptanzproblemen oder fehlender Umsetzbarkeit auf Geschäftsebene. Die eigentliche Aufgabe geht deshalb weit über die technische Realisierbarkeit hinaus.