Veraltete Berechtigungen loswerden: 3 Maßnahmen

Ohne professionelle Benutzerverwaltung weiß niemand mehr, wer im Unternehmen zu welchem Zeitpunkt Zugriff auf welche Daten hat. Und dieser Zustand öffnet Tür und Tor sowohl für internen Datendiebstahl als auch für Angriffe durch Cyberkriminelle. Deshalb schauen wir uns heute an, wie Sie veraltete und/oder falsch gesetzte Zugriffsberechtigungen wieder loswerden.

Eine einfache Methode zur Verwaltung von Berechtigungen ist das Arbeiten mit so genannten “Profilen”. Dabei werden alle Berechtigungen, die eine Benutzergruppe benötigt, zu einem Profil zusammengefasst. User können anschließend einem oder mehreren Profilen zugeordnet werden, zum Beispiel „Abteilung IT“ und „Teamleiter“. Dieses Konzept vereinfacht nicht nur die Vergabe von Berechtigungen, sondern auch deren Entfernung bei einem Abteilungswechsel.

In der Berechtigungsmanagement-Software tenfold kann der Admin die Profile einfach über die tenfold-Oberfläche konfigurieren. Mitarbeiter erhalten über die Zuordnung von Profilen automatisch alle Basisberechtigungen, die für ihre Abteilung, Kostenstelle, Position oder den Standort notwendig sind. Die Zuordnung zu Profilen erfolgt automatisch auf Basis der Stammdaten des jeweiligen Benutzers, die mit tenfold automatisch aus der HR-Datenbank importiert werden können.

Mitarbeiter können Zusatzberechtigungen über die Oberfläche von tenfold anfragen (Self Service). Mithilfe des Genehmigungsworkflows wird die Freigabe des zuständigen Dateneigentümers eingeholt (Data Owner Konzept).

Wechselt der betreffende Mitarbeiter in eine andere Organisationseinheit, passt tenfold die Basisberechtigungen automatisch (und bei Bedarf zeitlich verzögert) an. Wird ein Profil aktualisiert, können die Änderungen gleichzeitig an alle Mitarbeiter, die dem Profil zugeordnet sind, ausgerollt werden.

Wie wir gesehen haben, können Basisberechtigungen über Profile vergeben und bei Bedarf wieder entzogen werden. Doch was passiert mit Sonderberechtigungen, die z.B. nur für ein abteilungsübergreifendes Projekt genehmigt wurden? Nach Projektabschluss gibt es für die Entfernung dieser Zugriffsrechte oft keinen geregelten Prozess.

tenfold hat einen integrierten Rezertifizierungsprozess, der dafür sorgt, dass sämtliche Zugriffsberechtigungen dem jeweiligen Verantwortlichen in regelmäßigen Abständen vorgelegt werden. Sind sie noch aktuell, kann er sie bestätigen. Sind sie nicht mehr aktuell, entfernt er sie. Die Intervalle zur Wiedervorlage können Sie individuell definieren und somit optimal auf Ihr Unternehmen anpassen.

Während der Zugehörigkeit zu einem Unternehmen durchlaufen alle User mehrere Lifecycle-Phasen: Vom Eintritt in das Unternehmen über Abteilungswechsel bis hin zum Firmenaustritt. Zusätzlich dazu gibt es jede Menge Sonderfälle. Zum Beispiel, wenn ein Mitarbeiter seinen Wehrdienst leistet oder in Karenz geht. Was passiert während der Abwesenheit von Mitarbeitern mit ihren Berechtigungen? Die Szenarien sind vielfältig und sind für jedes Unternehmen ganz individuell.

In tenfold haben Sie die Möglichkeit, im Lifecycle-Management unterschiedliche Austritts-Szenarien zu konfigurieren, die individuell auf Ihr Unternehmen abgestimmt sind. So können Sie Abwesenheiten wie Karenz, Wehrdienst etc. ganz einfach abbilden und in Bezug auf Zugriffsrechte managen.