Cyber-Ark: Risikomanagement wird bei Outsourcing vernachlässigt
Datum: Dienstag, dem 15. Juni 2010
Thema: Software Infos
Heilbronn, 15. Juni 2010 - Auch bei der Auslagerung von IT oder Geschäftsprozessen sind Unternehmen verpflichtet, alle Anforderungen des Risikomanagements zu erfüllen. Die Verantwortung über die ausgelagerten Bereiche verbleibt also beim Auftraggeber. Sicherheitsexperte Cyber-Ark sieht an diesem Punkt bei vielen Unternehmen großen Handlungsbedarf und eine Verletzung gängiger Compliance-Vorschriften.
Als Nachweis, dass auch beim Outsourcing alle Anforderungen an das Risikomanagement und unternehmensinterne Kontrollsysteme erfüllt werden, hat sich auf internationaler Ebene der Prüfungsstandard SAS70 (Statement on Auditing Standard 70: Service Organizations) vom American Institute of Certified Public Accountants (AICPA) bewährt. In Deutschland gibt es seit 2007 mit dem vom Institut der Wirtschaftsprüfer veröffentlichten Standard IDW PS 951 eine vergleichbare Richtlinie, die die Anforderungen von SAS 70 aufgreift und zusätzlich nationale Besonderheiten berücksichtigt.
Jochen Koehler, Deutschland-Chef von Cyber-Ark, betont: "Outsourcing gehört heute für viele Unternehmen bereits zum Alltag - und zwar nicht nur bei großen, sondern auch bei kleineren Firmen: man denke nur an die weit verbreitete Auslagerung der Lohnbuchhaltung. Doch dass der Auftraggeber genau hinschaut, ob der Dienstleister alle erforderlichen Sicherheitsvorschriften einhält, ist nach wie vor die Ausnahme. Da liegt noch vieles im Argen. Allerdings wird sich hier kurzfristig einiges ändern müssen, denn immer mehr Wirtschaftsprüfer legen Wert auf Zertifizierungen nach dem Prüfungsstandard SAS70 beziehungsweise PS 951."
Die Problematik einer auch nur teilweisen IT-Auslagerung an ein externes Systemhaus oder einen Hoster liegt darin, dass in der Regel mehrere Administratoren mit dem gleichen Passwort auf die Kundensysteme zugreifen können. Bei diesen sogenannten Shared Accounts ist dann keine Nachvollziehbarkeit gegeben. Hat eine größere Gruppe von Administratoren Zugriff auf Passwörter, kann nicht kontrolliert werden, welche Person ein solches Passwort wann und wozu verwendet hat, das heißt, eine revisionssichere Überprüfung der Verwendung eines generischen Accounts bis auf die Personenebene ist nicht möglich.
Abhilfe kann hier nur eine Lösung schaffen, die es ermöglicht, privilegierte Benutzerkonten mit erweiterten Rechten automatisch zu verwalten. Speziell hierfür hat Cyber-Ark die Privileged-Identity-Management-Suite entwickelt, mit der administrative Accounts zentral verwaltet und überwacht werden können. Zur Lösungssuite gehört der Enterprise Password Vault, der die geschützte Verwahrung und regelmäßige, automatische Änderung von Passwörtern ermöglicht. Weiterer Lösungsbestandteil ist der Privileged Session Manager (PSM), mit dem privilegierte Zugänge nicht nur im Hinblick auf das "Wer", sondern auch auf das "Was" gesichert und überwacht werden können. Die Verbindung zum Zielsystem wird dabei über einen "Sprungbrett-Server" realisiert, der eine komplette Aufzeichnung der Admin-Session ermöglicht und damit eine jederzeitige Nachvollziehbarkeit sicherstellt, was in ihr konkret passiert ist. Weiterer Vorteil: Nur der PSM "kennt" die Passwörter der Zielsysteme und nur er darf sich mit diesen verbinden - so bekommt der Administrator zu keiner Zeit Passwörter zu Gesicht.
Diese Presseinformation kann unter www.pr-com.de abgerufen werden.
Über Cyber-Ark
Das 1999 gegründete Unternehmen Cyber-Ark ist Marktführer im Bereich "Privileged Identity Management". Cyber-Ark entwickelt und vertreibt auf Basis der patentierten Vaulting-Technologie Software-Lösungen zur Sicherung von vertraulichen und geheimen Informationen wie zum Beispiel Forschungsergebnissen, Finanzdaten oder Passwörtern von IT-Administratoren. Der Hauptsitz des Unternehmens befindet sich in Newton (Massachusetts, USA). In Deutschland ist Cyber-Ark seit 2008 mit einer eigenen Niederlassung vertreten.
Weitere Informationen:
Cyber-Ark Software Ltd.
Jochen Koehler
Director of Sales DACH
Tel. +49-7131-6441095
Fax +49-7131-6441096
jochen.koehler@cyber-ark.com
www.cyber-ark.com
PR-COM GmbH
Susanne Koerber
Account Manager
Tel. +49-89-59997-758
Fax +49-89-59997-999
susanne.koerber@pr-com.de
www.pr-com.de
Amtsgericht München, HRB-Nummer 114932
Geschäftsführer: Alain Blaes
Veröffentlicht von >> PRCOM << auf Freie-PresseMitteilungen.de
Heilbronn, 15. Juni 2010 - Auch bei der Auslagerung von IT oder Geschäftsprozessen sind Unternehmen verpflichtet, alle Anforderungen des Risikomanagements zu erfüllen. Die Verantwortung über die ausgelagerten Bereiche verbleibt also beim Auftraggeber. Sicherheitsexperte Cyber-Ark sieht an diesem Punkt bei vielen Unternehmen großen Handlungsbedarf und eine Verletzung gängiger Compliance-Vorschriften.
Als Nachweis, dass auch beim Outsourcing alle Anforderungen an das Risikomanagement und unternehmensinterne Kontrollsysteme erfüllt werden, hat sich auf internationaler Ebene der Prüfungsstandard SAS70 (Statement on Auditing Standard 70: Service Organizations) vom American Institute of Certified Public Accountants (AICPA) bewährt. In Deutschland gibt es seit 2007 mit dem vom Institut der Wirtschaftsprüfer veröffentlichten Standard IDW PS 951 eine vergleichbare Richtlinie, die die Anforderungen von SAS 70 aufgreift und zusätzlich nationale Besonderheiten berücksichtigt.
Jochen Koehler, Deutschland-Chef von Cyber-Ark, betont: "Outsourcing gehört heute für viele Unternehmen bereits zum Alltag - und zwar nicht nur bei großen, sondern auch bei kleineren Firmen: man denke nur an die weit verbreitete Auslagerung der Lohnbuchhaltung. Doch dass der Auftraggeber genau hinschaut, ob der Dienstleister alle erforderlichen Sicherheitsvorschriften einhält, ist nach wie vor die Ausnahme. Da liegt noch vieles im Argen. Allerdings wird sich hier kurzfristig einiges ändern müssen, denn immer mehr Wirtschaftsprüfer legen Wert auf Zertifizierungen nach dem Prüfungsstandard SAS70 beziehungsweise PS 951."
Die Problematik einer auch nur teilweisen IT-Auslagerung an ein externes Systemhaus oder einen Hoster liegt darin, dass in der Regel mehrere Administratoren mit dem gleichen Passwort auf die Kundensysteme zugreifen können. Bei diesen sogenannten Shared Accounts ist dann keine Nachvollziehbarkeit gegeben. Hat eine größere Gruppe von Administratoren Zugriff auf Passwörter, kann nicht kontrolliert werden, welche Person ein solches Passwort wann und wozu verwendet hat, das heißt, eine revisionssichere Überprüfung der Verwendung eines generischen Accounts bis auf die Personenebene ist nicht möglich.
Abhilfe kann hier nur eine Lösung schaffen, die es ermöglicht, privilegierte Benutzerkonten mit erweiterten Rechten automatisch zu verwalten. Speziell hierfür hat Cyber-Ark die Privileged-Identity-Management-Suite entwickelt, mit der administrative Accounts zentral verwaltet und überwacht werden können. Zur Lösungssuite gehört der Enterprise Password Vault, der die geschützte Verwahrung und regelmäßige, automatische Änderung von Passwörtern ermöglicht. Weiterer Lösungsbestandteil ist der Privileged Session Manager (PSM), mit dem privilegierte Zugänge nicht nur im Hinblick auf das "Wer", sondern auch auf das "Was" gesichert und überwacht werden können. Die Verbindung zum Zielsystem wird dabei über einen "Sprungbrett-Server" realisiert, der eine komplette Aufzeichnung der Admin-Session ermöglicht und damit eine jederzeitige Nachvollziehbarkeit sicherstellt, was in ihr konkret passiert ist. Weiterer Vorteil: Nur der PSM "kennt" die Passwörter der Zielsysteme und nur er darf sich mit diesen verbinden - so bekommt der Administrator zu keiner Zeit Passwörter zu Gesicht.
Diese Presseinformation kann unter www.pr-com.de abgerufen werden.
Über Cyber-Ark
Das 1999 gegründete Unternehmen Cyber-Ark ist Marktführer im Bereich "Privileged Identity Management". Cyber-Ark entwickelt und vertreibt auf Basis der patentierten Vaulting-Technologie Software-Lösungen zur Sicherung von vertraulichen und geheimen Informationen wie zum Beispiel Forschungsergebnissen, Finanzdaten oder Passwörtern von IT-Administratoren. Der Hauptsitz des Unternehmens befindet sich in Newton (Massachusetts, USA). In Deutschland ist Cyber-Ark seit 2008 mit einer eigenen Niederlassung vertreten.
Weitere Informationen:
Cyber-Ark Software Ltd.
Jochen Koehler
Director of Sales DACH
Tel. +49-7131-6441095
Fax +49-7131-6441096
jochen.koehler@cyber-ark.com
www.cyber-ark.com
PR-COM GmbH
Susanne Koerber
Account Manager
Tel. +49-89-59997-758
Fax +49-89-59997-999
susanne.koerber@pr-com.de
www.pr-com.de
Amtsgericht München, HRB-Nummer 114932
Geschäftsführer: Alain Blaes
Veröffentlicht von >> PRCOM << auf Freie-PresseMitteilungen.de
|
|