3 Maßnahmen, um überflüssige Berechtigungen loszuwerden

Die Vergabe von Berechtigungen erfolgt in vielen Unternehmen nach klar definierten Vorgaben. Im Gegensatz dazu gibt es für das Entfernen von Zugriffsrechten, die nicht mehr benötigt werden, häufig keinen strukturierten Prozess. Abteilungswechsel, Firmen-Austritte und Sonderrechte hinterlassen ein regelrechtes Chaos in der Berechtigungslandschaft. Nicht umsonst heißt es, dass Auszubildende nach drei Jahren Betriebszugehörigkeit mehr Berechtigungen besitzen als der Vorstand. Im Zuge ihrer Ausbildung durchlaufen Azubis die unterschiedlichsten Abteilungen und sammeln so immer mehr Zugriffsrechte.

Dieser Zustand birgt ein enormes Sicherheitsrisiko für Ihr Unternehmen. Denn die Wahrscheinlichkeit, dass die veralteten Zugriffsrechte auch Zugang zu sensiblen Firmendaten ermöglichen, ist hoch.

IT-Security Experten empfehlen daher die Einhaltung des so genannten “Least-Privilege” Prinzips. Jeder User soll nur jene Zugriffe besitzen, die er für seine Tätigkeit auch tatsächlich benötigt.

So werden Sie überflüssige Berechtigungen los

Maßnahme 1: Profile (Standardberechtigungen werden automatisch angepasst)

Eine einfache Methode zur Verwaltung von Berechtigungen ist das Arbeiten mit so genannten “Profilen”.  Dabei werden alle Berechtigungen, die eine Benutzergruppe benötigt, zu einem Profil zusammengefasst. User können anschließend einem oder mehreren Profilen zugeordnet werden, zum Beispiel „Abteilung IT“ und „Teamleiter“.

Dieses Konzept vereinfacht nicht nur die Vergabe von Berechtigungen, sondern auch deren Entfernung bei einem Abteilungswechsel.

Lösung in tenfold

Profile können über die tenfold Oberfläche durch den Administrator konfiguriert werden. Mitarbeiter erhalten über die Zuordnung von Profilen automatisch alle Basisberechtigungen, die für ihre Abteilung, Kostenstelle, Position oder den Standort notwendig sind. Die Zuordnung zu Profilen passiert automatisch auf Basis der Stammdaten des jeweiligen Benutzers.
Gewünschte Zusatzberechtigungen können über die Oberfläche von tenfold angefragt werden. Mithilfe des Genehmigungsworkflows wird damit die Freigabe des zuständigen Dateneigentümers eingeholt. Wechselt der betreffende Mitarbeiter in eine andere Organisationseinheit, so werden die Basisberechtigungen automatisch – bei Bedarf zeitlich verzögert – angepasst. Wird ein Profil aktualisiert, so können die Änderungen gleichzeitig an alle Mitarbeiter, die dem Profil zugeordnet sind, ausgerollt werden.

Maßnahme 2: Rezertifizierung (Individualberechtigungen werden regelmäßig einem Review unterzogen)

Wie oben erwähnt, können Basisberechtigungen über Profile vergeben und bei Bedarf wieder entzogen werden. Doch was passiert mit Sonderberechtigungen, die zum Beispiel nur für ein abteilungsübergreifendes Projekt genehmigt wurden? Nach Projektabschluss gibt es für die Entfernung dieser Zugriffsrechte oft keine Zuständigkeit und keinen Workflow.

Für diese Fälle empfehlen wir Ihnen einen “Rezertifizierungsprozess” aufzusetzen. Dabei müssen Datenverantwortliche alle Berechtigungen, für die sie verantwortlich sind, regelmäßig auf ihre Aktualität überprüfen und bei Bedarf entfernen. Was auf den ersten Blick sehr simpel klingt, ist in der Praxis ohne einer entsprechenden Software schwer umzusetzen und mit einem hohen manuellen Aufwand verbunden.

Lösung in tenfold

Eine Berechtigungsmanagement-Lösung wie tenfold kann Sie im Rezertifizierungsprozess erheblich unterstützen.

  • Mit tenfold definieren Sie den Rezertifizierungsprozess abgestimmt auf Ihr Unternehmen.
  • Die Datenverantwortlichen können sich einen schnellen Überblick über den Status-quo verschaffen.
  • Das System sendet automatisch eine Benachrichtigung, wenn eine neue Rezertifizierung ansteht.
  • Die Intervalle im Rezertifizierungsporzess können Sie selbst definieren.
  • Legen Sie fest, welche Bereiche (Profile, Ressourcen, Fileserver, etc.) im Rezertifizierungsprozess überprüft werden sollen.
  • Bestimmen Sie Backup-Aktionen, die bei einer Nicht-Rezertifizierung ausgelöst werden sollen.
  • Ihren Prüfern steht eine übersichtliche Benutzeroberfläche zur Verfügung, in der Sie alle Rechte schnell und einfach bestätigen oder verwerfen können.

Maßnahme 3: User Lifecycle Phasen (Phasen wie Elternzeit werden flexibel abgebildet)

Während der Zugehörikeit zu einem Unternehmen durchlaufen alle User mehrere Lifecycle Phasen: Vom Eintritt in das Unternehmen über Abteilungswechsel bis hin zum Firmenaustritt. Zusätzlich dazu gibt es jede Menge Sonderfälle. Zum Beispiel, wenn ein Mitarbeiter seinen Wehrdienst leistet oder in Karenz geht. Was passiert während seiner Abwesenheit mit seinen Berechtigungen? Muss er weiterhin auf bestimmte Systeme zugreifen können? Die Szenarien sind vielfältig und sind für jedes Unternehmen ganz individuell.

Berücksichtigen Sie auch diese Fälle in Ihrem Berechtigungskonzept. Nur so werden Sie in der Lage sein, Ihr Lifecycle Management vollständig abzubilden.

Lösung in tenfold

In tenfold haben Sie die Möglichkeit, im Lifecycle Management unterschiedliche Austritt Szenarien zu konfigurieren, die individuell auf Ihr Unternehmen abgestimmt sind. So können Sie Abwesenheiten wie Karenz, Wehrdienst etc. ganz einfach abbilden und im Bezug auf Zugriffsrechte managen.

Fazit

Mit diesen Maßnahmen sind Sie bestens gerüstet, um veraltete und gefährliche Berechtigungen in den Griff zu bekommen. Für alle drei Methoden gilt: Ohne einer entsprechenden Berechtigungsmanagement-Software ist die Umsetzung dieser Prozesse zwar möglich, aber mit einem enormen manuellen Aufwand verbunden und darüber hinaus auch fehleranfällig. Informieren Sie sich jetzt, wie tenfold Sie dabei unterstützen kann Ihre Berechtigungslandschaft in den Griff zu bekommen.

By |2019-11-11T11:32:32+00:0015 / 10 / 2019|BLOG|

About the Author:

Helmut Semmelmayer
Helmut Semmelmayer ist seit 2012 als Senior Manager Channel Sales beim Software-Hersteller tenfold tätig. Er ist damit für den Partnervertrieb und das Produktmarketing verantwortlich und schreibt in diesem Blog regelmäßig themenbezogene Beiträge aus dem Bereich Identity & Access Management.
📢 Melden Sie sich jetzt zu unserem kostenlosen Webinar "TOP 5 Gefahren im Access Management" an! 🔔🔔Jetzt anmelden!
+