Mit axont ein KMU-freundliches ­Access Management realisieren

In einer zunehmend digitalisierten Welt stehen Unternehmen vor der Herausforderung, eine wachsende Anzahl an IT-Anwendungen und die damit einhergehenden Datenzugriffe zu verwalten. Durch die Digitalisierung steigen unter anderem die Heterogenität der IT-Anwendungstypen, wie etwa Cloud- oder On-Prem-Anwendungen, sowie die damit verbundene Komplexität der Zugriffsverwaltung. Die Verwaltung erfolgt etwa durch Zugriffsanfragen direkt in einer App (wie Microsoft Teams), durch eine zentrale Lizenzverwaltung oder durch die Vergabe von Berechtigungen über Zugriffsgruppen und -profile innerhalb einer IT-Anwendung.

Auf den ersten Blick scheint die Verwaltung von Zugriffsrechten oft einfach. Den betroffenen Personen müssen lediglich die für sie relevanten Berechtigungen in den jeweiligen IT-Anwendungen zugeteilt werden. Wenn dabei jedoch die Vielfältigkeit der IT-Anwendungen, die Kritikalität der Daten und die Gewaltentrennung zum Ausführen von Aufgaben angemessen berücksichtigt werden sollen, wird das Access Management schnell aufwändig, unübersichtlich und fehleranfällig. Besonders bei umfangreichen Systemen wie SAP oder Abacus ist es grundsätzlich nicht leicht, die passenden Zugriffsberechtigungen zu strukturieren, zu vergeben und den Überblick zu behalten. 

Wie viele IT-Anwendungen hat Ihr Unternehmen? 

Unsere Erfahrung zeigt, dass die Anzahl IT-Anwendungen in einem Unternehmen mit der Anzahl der Mitarbeitenden wächst. Kleinere Unternehmen haben jedoch tendenziell mehr IT-Anwendungen als Mitarbeitende und grössere eher etwas weniger. Ein Beispiel: Bei 15 Mitarbeitenden hat ein Unternehmen im Zürcher Unterland über 60 IT-Anwendungen. Das zeigt, wie schnell die IT-Landschaft wächst und hinsichtlich des Access Managements komplex werden kann. Es ist also besonders wichtig, dass ein Unternehmen den Überblick hat, welche IT-Anwendungen im Einsatz sind und wer darin welche Zugriffsberechtigung bekommen soll.

Für die Verwaltung von Berechtigungen haben Unternehmen bisher die Wahl zwischen zwei extremen Ansätzen: Auf der einen Seite bieten Softwarelösungen wie Okta ein umfassendes ­Access Management mit maximaler Automatisierung. Solche Lösungen sind teuer und aufgrund ihrer Komplexität aufwändig zu implementieren. Sie sind für viele Unternehmen überdimensioniert und erfordern zudem spezialisierte Ressourcen für den Betrieb und die Wartung. Auf der anderen Seite verlassen sich viele Unternehmen auf manuelle Methoden, die auf Excel oder Word basieren. Dieser scheinbar einfache und kostengünstige Ansatz ist jedoch fehleranfällig sowie zeitaufwändig und erhöht das Risiko, dass unbefugte Personen Zugriff auf Daten erhalten. Mit axont werden die Vorteile der beiden Ansätze vereint und die Nachteile minimiert.

Wann hatten Sie den letzten Audit? 

War es für die «ISO/IEC 27001»-Zertifizierung oder ein IT-Audit der jährlichen Revision? Oder war es ein Fragebogen, der aufgrund eines Kunden-Onboardings ausgefüllt werden musste? Der Anspruch von axont ist es, Audit-sicher zu sein und Ihrem Unternehmen gleichzeitig einen Mehrwert zu bieten. So können Sie die Fragen der Auditoren und Auditorinnen zum Access Management einfach und schnell in übersichtlicher Form beantworten.

Bei der Einführung von axont unterstützen wir unsere Kunden und Kundinnen auch dabei, relevante Weisungen zu erstellen und einzuführen. Getreu dem Grundsatz, dass eine Software für den vorgesehenen Zweck verwendet werden soll, um effektiv zu sein. 

"Bei axont liegt der Fokus auf einem gesamtheitlichen Ansatz"

Alex Hediger, Gründer und Ideengeber von axont und Senior Security Consultant bei camarque schweiz ag, erklärt, was beim Thema Access Management wichtig ist. 
Interview: axont

Welche Vorgaben gibt es im Access Management?

Alex Hediger: Im Mittelpunkt der Vorgaben in der Schweiz steht der Artikel 8 des Datenschutzgesetzes. Hier geht es um angemessene technische und organisatorische Massnahmen zum Schutz von (Personen-)Daten. Es gibt auch kantonale Vorgaben, wie etwa das IDG des Kantons Zürich, das in Paragraf 7 dieselben Vorgaben wie Artikel 8 des DSG macht. Wenn es um einen Best-Practice-Ansatz geht, wird meist auf den Anhang des «ISO/IEC 27001:2022»-Standards oder das Berechtigungs­management aus dem BSI-Grundschutz-Kompendium verwiesen. Es gibt ausserdem kantonale Datenschutzbeauftragte, welche die Einführung eines Rollen- und Berechtigungskonzepts fordern. Und hier geht es bereits um konkrete Anforderungen für die Einführung eines professionellen Access Managements.

Wie erfüllt ein Tool wie axont diese Anforderungen?

Es führen viele Wege nach Rom. Das heisst, ein Access Management einzuführen, das den genannten Ansprüchen gerecht wird, kann auf verschiedene Arten erreicht werden. Die Frage, die sich ein Unternehmen stellen sollte, ist, welche Maturität erreicht und in welchem Zeitrahmen das Tool oder die Methode eingeführt werden soll. Mit axont bedienen wir KMUs, die eine pragmatische, aber trotzdem sehr durchdachte und komplette Lösung suchen. Wir bieten eine Implementierung, die, wenn es sein muss, innert Wochenfrist abgeschlossen ist. Dabei liefern wir die notwendigen Weisungen sowie das erfahrene Projektteam gleich mit.

Wieso ist das Thema Access Management so wichtig?

Aus meiner Zeit als Auditor bei der KMPG kommen mir als Erstes die Beispiele der Leaver und Mover in den Sinn. Bei den Leavern ist es wichtig, dass die Zugriffsberechtigungen innerhalb «angemessener» Frist nach dem jeweils letzten Arbeitstag entzogen werden. Und die Mover dürfen keine Ansammlung von abteilungsübergreifenden Zugriffsberechtigungen haben – Stichwort Lernende. Aber auch beim Eintritt von neuen Mitarbeitenden sollte mit einem rollenbasierten Berechtigungskonzept sichergestellt werden, dass die Zugriffsberechtigungen nur für die bestimmte Abteilung vergeben werden.

Was unterscheidet Sie von anderen Anbietern?

Es gibt viele Player auf dem Markt. Viele davon sind international tätig und kommen aus Übersee. Wir sind ein Schweizer Produkt und unser gesamtes Team ist in Zürich. Wir zeichnen uns durch Kundennähe und einen einfachen Umgang aus. Bei axont liegt der Fokus auf dem gesamtheitlichen Ansatz. Kunden erhalten also nicht nur eine Software, sondern wir stellen auch die für das Access Management relevanten Weisungen zur Verfügung, bieten Schulungen vor Ort an und begleiten die Implementierung bis zur operativen Einführung. Zudem sind wir mit axont nicht darauf aus, alles vollständig und bis zum Äussersten zu automatisieren. Manuelle Eingaben im Access Management sind sinnvoll und notwendig. Die meisten Daten in axont «managen» sich durch Workflows aber von selbst. Etwa, wenn ein Vorgesetzter Berechtigungen für seine Mitarbeitenden beantragt oder genehmigt.

axont

Heinrichstrasse 267k | 8005 Zürich 
hello@axont.ch | axont.io

Die Konzeption und Entwicklung von axont begann 2021, als sich Luca Da Costa und Alex Hediger dem Problem annahmen, das sie während ihrer Tätigkeit als IT-Revisoren bei den Big 4 sowie als CISO-as-a-Service bei so vielen Unternehmen gesehen hatten: nämlich dem Mangel an bewusstem und kontrolliertem Umgang mit Zugriffsrechten. Die Idee für axont entstand aus Erfahrungen bei Unternehmen, die ein Excel mit Applikationen und Berechtigungen von ihren Mitarbeitenden führen, die Zugriffsberechtigungen über Papierformulare beantragen, oder die bei jedem Mitarbeitenden-Austritt unsicher sind, welche Berechtigungen die Person hatte. Das Resultat? Durch fehlende Transparenz und ineffiziente Abläufe entstehen potenzielle Sicherheitsrisiken. Hier setzt axont an.

Bei axont handelt es sich um eine Softwarelösung, welche die Prozesse zur Beantragung, Vergabe, zum Entzug sowie zur regelmässigen Überprüfung von Zugriffsberechtigungen abbildet und benutzerfreundlich darstellt. Für die Bewirtschaftung dieser Prozesse wird ein Inventar der IT-Anwendungen gepflegt. Darin ist für jede IT-Anwendung ein Berechtigungskonzept dokumentiert, das erstens die Kritikalität der IT-Anwendung, zweitens die zur Verfügung stehenden Zugriffsprofile, drittens die Informationen zu den notwendigen Genehmigungen für die Vergabe der Zugriffsprofile, sowie viertens die Informationen zur regelmässigen Überprüfung umfasst. Mit den Informationen aus dem Inventar der IT-Anwendungen und den genannten Access-Management- Prozessen stellt axont sicher, dass jederzeit klar ist, welche Personen welche Zugriffsberechtigungen haben.