Wie gehe ich vor bei der Auswahl eines IP-Management-Systems?
Bei der Suche nach einem passenden IPM-System, würde ich heutzutage natürlich eine Cloud-Anwendung bevorzugen. Sie müsste schnell, einfach zu bedienen und leicht zu verstehen sein. Angefangen von Aufgaben, die den Teammitgliedern zugewiesen werden, bis hin zu Dokumenten, die hochgeladen und archiviert werden sollen, würde ich mich auf einen Anbieter konzentrieren, der einen Cloud-Service garantiert. Ich würde aber sehr darauf achten, dass der Cloud-Service folgende technische Mindestanforderungen hat:
- Härtung des Systems.
- Patch-Management.
- 2-Faktor-Authentifizierung.
- Ende-zu-Ende-Verschlüsselung mit mindestens AES256 (Standard). Wichtig ist, dass die Verschlüsselung an dem physikalischen System endet, auf dem die Daten verarbeitet werden und kein Zwischensystem (wie ein Proxy) die Daten entschlüsselt. Nur dann kann man von einer Ende-zu-Ende-Verschlüsselung sprechen.
- Festplattenverschlüsselung am Speicherort. Vergessen Sie nie, dass man theoretisch einfach die Festplatte stehlen kann, denn nicht jeder Anbieter hat einen Hochsicherheitstrakt zur Verfügung. Kurzum: Die Daten auf der Festplatte müssen verschlüsselt werden.
- Monitoring und Logging gemäß den gesetzlichen Anforderungen.
- Hohe Passwortkomplexität. Was ist hoch wenn man von Passwortkomplexität spricht? Wir denken, dass in Verbindung mit 2-Faktor-Authentifizierung 8 Zeichen ausreichend sind, aber nur dann.
- Rollenbasierter Zugriff. Dies ist eine Grundvoraussetzung in einer Unternehmensumgebung, aber nicht notwendig für einen einzelnen Benutzer.
- Least-Privilege-Prinzip. Normalerweise ein Thema in größerer Unternehmensumgebung. Beispiel: die Funktionalität, einem anderen Benutzer Aufgaben zuzuweisen: Voraussetzung ist, dass reale Benutzer nach anderen realen Benutzern suchen können. Dazu benötigen sie ein spezielles Recht, was eigentlich gegen das Least-Privilege-Prinzip sprechen würde. Aber trotzdem. Das Least-Privilege-Prinzip ist ein Muss. Elif Levin