KuppingerCole Report
Executive View
By Matthias Reinwarth

Nexis Controle 3.0

Nexis Controle 3.0 setzt intelligente Analytics-Verfahren für Rollen und Identitäten um und legt damit die Grundlage für ein strategisches Lebenszyklusmanagement von Rollen, entweder als eigenständige Lösung oder als ergänzende Komponente zu bestehenden Identity- und Access Management-Infrastrukturen. Die bessere Einbindung von bestehendem Wissen im Unternehmen durch gezielte Workflow- und Interaktionsansätze stellt einen wichtigen Schritt hin zu einer nachhaltigen Enterprise Role Management- und Rezertifizierungsstrategie dar.

1 Einleitung

Die Verwaltung der Zugriffsrechte auf Unternehmensressourcen ist weiterhin eine unterschätzte Herausforderung in einer Vielzahl von Organisationen. Viele davon entscheiden sich dafür, ein Enterprise Role Design zu schaffen, in welchem die vorhandenen komplexen Strukturen in überschaubaren Rollen abgebildet werden, in der Absicht, sowohl ein Werkzeug für organisatorische Prozesse als auch ein effizientes Sicherheitsmanagement zu erhalten. Allerdings sind für die Definition, Implementierung und Pflege eines unternehmensweiten Rollenmodells ausgereifte Prozesse und eine Unterstützung durch leistungsfähige Werkzeuge notwendig.

KuppingerCole versteht das Enterprise Role Management (ERM) als strategischen Ansatz zur Strukturierung komplexer Organisationen, worüber gleichzeitig die Effizienz bei der Verwaltung und die Einhaltung gesetzlicher, regulatorischer und interner Anforderungen (Compliance) verbessert werden. Dabei geht es weit über den Ansatz hinaus, nur einmalig erste Rollen zu definieren. Stattdessen zielt es darauf ab, eine Menge klar definierter, nachhaltiger und kontinuierlich durchgeführter Rollenverwaltungs-Prozesse zu definieren und umzusetzen. Diese dienen als Rahmen zur Verwaltung, Pflege und stetigen Verfeinerung von Rollendefinitionen, sowie der Zuordnung damit verbundener Berechtigungen zu einzelnen Identitäten.

Aus betrieblicher Sicht sind die Anforderungen klar und einleuchtend: Das in einem IAM-System realisierte Rollenportfolio muss so ausgelegt sein, dass alle Zugriffsrechte, die jeder einzelne Mitarbeiter benötigt, zugeordnet werden können. Regulatorische und gesetzliche Anforderungen, aber auch Unternehmensrichtlinien und Sicherheits-Frameworks machen hingegen oft gegenläufige Vorgaben: Das Minimalprinzip erfordert, dass nur ein notwendiges Mindestmaß an Zugriffsrechten zugeordnet wird, während die Anforderungen der Funktionstrennung (SoD, „Segregation of Duties“) vorgeben, dass ein Benutzer nicht übermäßige Zugriffsrechte erhalten darf, so dass er nicht mehr als einen kritischen Schritt innerhalb eines einzelnen Geschäftsvorgangs bzw. eines Prozessablaufs ausführen kann.

Der Weg hin zu einem echten Enterprise Role Management (ERM) ist also sowohl eine organisatorische als auch eine technische Aufgabe. ERM benötigt das Know-how verschiedener Wissensträger einer Organisation und die Zusammenführung dieses Know-hows durch ein unternehmensweites Prozessrahmenwerk. Es erfordert die Einbindung von Experten unterschiedlicher Ausprägung und in einer Vielzahl organisatorischer Einheiten, sowie klar definierte und effiziente Verwaltungsprozesse und Unterstützung durch adäquate Werkzeuge.

Sowohl in dem Fall, dass eine Organisation gerade beginnt, geeignete Geschäftsrollen zu definieren beginnt, aber auch im Falle einer Überprüfung oder Rechtfertigung bestehender Rollenzusammensetzungen werden diese Werkzeuge typischerweise als Role Mining-Werkzeuge bezeichnet. Bei bereits definierten Rollen wird die benötigte Werkzeugfamilie in der Regel im Rahmen von GRC-Bemühungen als Engineering- oder Access Analytics-Werkzeug bezeichnet.  

Die Definition und die Überprüfung entsprechender Rollenportfolios dahingehend, dass jeder Rolle die richtige Menge zugrundeliegender individueller Berechtigungen zugeordnet werden, so wie sie für die Systeme, Infrastrukturen und Anwendungen erforderlich sind, darf keine einmalige Aufgabe sein. Vielmehr sollte dies ein fortlaufender Prozess sein, der die definierte Menge an Rollen anpasst:

  • Durch Anpassung der enthaltenen Zugriffsrechte;
  • Durch Ergänzung zusätzlich erforderlicher Rollen;
  • Durch die Aufnahme neu hinzukommender Anwendungen und deren neu definierten Berechtigungen und
  • Durch Widerruf bzw. Deaktivierung obsoleter Rollen.

Derzeit gibt es auf dem Markt hauptsächlich zwei verschiedene Produktansätze, welche sich der Bereiche Role Management und Role Mining annehmen. Mehrere IAM-Anbieter bieten als Teil ihrer IAM-Suites grundlegende Unterstützung für diese Art von Aufgabe an. Parallel dazu hat sich ein eigenständiges, hoch spezialisiertes Marktsegment entwickelt, das sich auf die Bereitstellung effizienter Role Mining-Funktionalitäten, Role Engineering- und Access Analytics-Werkzeuge und Arbeitsabläufe für Bereinigungsmaßnahmen konzentriert, wobei diese Elemente als Ergänzung zu bestehenden IAM-Infrastruktursystemen (unabhängig von Anbieter oder Design) konzipiert sind. Nexis Controle 3.0 ist ein ausgereifter Vertreter dieser zweiten Gruppe. Es kann sowohl eigenständig betrieben werden als auch mit bestehenden Identity- und Access-Management-Systemen interagieren und diese dann um — wie der Anbieter sie nennt — „Identity und Access Intelligence“ erweitern.

Der Anbieter Nexis spezialisiert sich auf das Bereitstellen von Lösungen und Dienstleistungen rund um die Bestimmung und nachhaltige Verwaltung unternehmens- und systemspezifischer Rollen und deren Zuordnung zum betrieblichen Benutzer. Nexis wurde 2009 als Spin-off der Universität Regensburg gegründet.

2 Produktbeschreibung

Nexis Controle ist ein hoch spezialisiertes Werkzeug, das entweder ergänzend zu bestehenden Identity- und Access-Management-Infrastruktursystemen ode ...

Login Get full Access

3 Strengths and Challenges

Nexis Controle ist ein hoch fokussiertes Produkt, das gezielt für einen klar definierten Aufgabenbereich entworfen wurde. Mit diesem Fokus auf der An ...

Login Get full Access

Copyright

©2021 KuppingerCole Analysts AG all rights reserved. Reproduction and distribution of this publication in any form is forbidden unless prior written permission. All conclusions, recommendations and predictions in this document represent KuppingerCole´s initial view. Through gathering more information and performing deep analysis, positions presented in this document will be subject to refinements or even major changes. KuppingerCole disclaim all warranties as to the completeness, accuracy and/or adequacy of this information. Even if KuppingerCole research documents may discuss legal issues related to information security and technology, KuppingerCole do not provide any legal services or advice and its publications shall not be used as such. KuppingerCole shall have no liability for errors or inadequacies in the information contained in this document. Any opinion expressed may be subject to change without notice. All product and company names are trademarks™ or registered® trademarks of their respective holders. Use of them does not imply any affiliation with or endorsement by them.

KuppingerCole Analysts support IT professionals with outstanding expertise in defining IT strategies and in relevant decision-making processes. As a leading analyst ompany, KuppingerCole provides first-hand vendor-neutral information. Our services allow you to feel comfortable and secure in taking decisions essential to your business.

KuppingerCole, founded in 2004, is a global, independent analyst organization headquartered in Europe. We specialize in providing vendor-neutral advice, expertise, thought leadership, and practical relevance in Cybersecurity, Digital Identity & IAM (Identity and Access Management), Cloud Risk and Security, and Artificial Intelligence, as well as for all technologies fostering Digital Transformation. We support companies, corporate users, integrators and software manufacturers in meeting both tactical and strategic challenges and make better decisions for the success of their business. Maintaining a balance between immediate implementation and long-term viability is at the heart of our philosophy.

For further information, please contact clients@kuppingercole.com.

top