Erfahren Sie alles über die TOP-5 Risiken im Access Management

Dimensionen: Fehlt Ihnen bereits der Überblick?

Häufig fällt es IT-Abteilungen schwer zu beantworten, welcher Mitarbeiter konkret auf welche Unternehmensdaten zugreifen kann. Das Problem hat mehrere Dimensionen:

  • Viele Systeme: Meistens sind Benutzer nicht nur im Active Directory angelegt. Ihre Daten und Berechtigungen sind in mehreren Systemen verteilt, unter anderem in E-Mail-Lösungen, Geschäftsanwendungen und Cloudsystemen. Um nur ein Problem anzusprechen: Scheidet ein Mitarbeiter aus, müssen alle Systeme kontrolliert werden. Unterschiedliche Benutzernamen machen die Suche nach verwaisten Konten zusätzlich schwerer.
  • Dynamik: Es kommt laufend zu Veränderungen: Mitarbeiter werden eingestellt, wechseln Abteilungen, arbeiten individuell an vielen Projekten mit und scheiden wieder aus. Jede Änderung führt zu Anpassungen bei den IT-Berechtigungen. Es ist unmöglich, den Überblick zu behalten, ob allen Benutzern tatsächlich nur die benötigten Berechtigungen zugeordnet sind.
  • Schwache Tools: Speziell in der Microsoft-Welt sind die mitgelieferten Tools (Active Directory Benutzerkonsole und NTFS-Einstellungen) den Anforderungen der modernen Geschäftswelt nicht gewachsen. Die Tools bieten keinen brauchbaren Einblick in effektive Berechtigungen und bieten keine Reportfunktionen an. Die immer weiter steigenden Ordner- und Dateimengen vergrößern das Problem – und zwar jeden Tag. (Etwas Abhilfe wird durch den Einsatz von Best Practices geschaffen. Lesen Sie dazu unser Whitepaper)

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download

Können Sie Ihre Berechtigungen nachvollziehen?

Jeder Verantwortliche kennt die Frage aus dem Fachbereich: „Wieso und seit wann hat “Mustermann” denn Zugriff auf meine Projektdaten?!“. Ohne durchgehende Dokumentation ist diese Frage eigentlich nicht zu beantworten. So eine Dokumentation anzulegen und zu pflegen ist sehr schwierig und aufwändig – es darf nichts übersehen werden und es dürfen keine Fehler passieren.
Zumeist kommen für Workflows und deren Dokumentation Lösungen zum Einsatz, die nicht geeignet sind: Ticket- oder Helpdesk-Anwendungen oder – noch einfacher gestrickt – ein freigegebenes Postfach in Exchange, in dem alle Anfragen gespeichert werden. Ein vernünftiges Reporting kann darauf nicht aufgebaut werden – das wird spätestens beim ersten IT-Audit klar.

Verbringen Sie zu viel Zeit mit Access Management?

Wenn Sie der Meinung sind, dass Ihre IT-Abteilung zu viel Zeit damit verbringt, die Zugriffsrechte der Benutzer richtig einzustellen und den Lebenszyklus der Mitarbeiter in Form von IT-Konten abzubilden, dann machen Sie zuerst einen Schritt zurück. Denken Sie darüber nach, wie viel Aufwand Ihr Unternehmen insgesamt in diese Prozesse investiert:

  • Mitarbeiter, die Zugriffsrechte benötigen, müssen diese über E-Mail oder andere, oft ungeeignete, Tools anfordern.
  • Die IT muss zuerst herausfinden, wer für die Daten überhaupt zuständig ist, für die eine Anfrage vorliegt.
  • Dieser Verantwortliche muss kontaktiert werden. Es wird irgendeine Form von Workflow durchlaufen. Die Speicherung und vor allem das Reporting dazu sind, wie oben ausgeführt, kaum umsetzbar.
  • Die IT-Abteilung muss nach der Genehmigung durch den Verantwortlichen die Berechtigungen im jeweiligen System zuordnen.
  • Anschließend sollte der Verantwortliche, aber allen voran der Benutzer selbst, darüber informiert werden, dass der Zugriff von nun an funktioniert.

Man kann daraus schließen:

  • Es sind immer mehrere Personen mit jeder einzelnen Anfrage beschäftigt.
  • Die Prozesssteuerung ist aufwändig. Die Aufgabe muss meistens von der IT manuell übernommen werden.
  • Die IT-Tools, die zum Einsatz kommen, sind meistens dafür überhaupt nicht geeignet.

Vergessen Sie nicht: die Komplexität nimmt zu. Cloud-Anwendungen werden beispielsweise oft dezentral verwaltet. Das macht die Umsetzung von Workflows nochmals schwieriger.

Sind Ihre Daten Diebstahl und Missbrauch ausgesetzt?

Hand aufs Herz: den meisten Verantwortlichen ist bewusst, dass durch falsch gesetzte Berechtigungen eine signifikante Anzahl von Mitarbeitern auf viel mehr Daten und Systeme zugreifen kann, als sie das für ihre Tätigkeit benötigen würde.

Wie kommt es dazu? Es ist ein ganz simples und trotzdem weit verbreitetes Muster: Benutzer sammeln unweigerlich und laufend Berechtigungen. Für jede neue Aufgabe kommen weitere Berechtigungen hinzu. Der umgekehrte Prozess (Entzug von Berechtigungen) wird jedoch so gut wie nie abgebildet. Auch hier fehlt es an geeigneten Tools, die beispielweise Übergangszeiten und Ablauffristen für Berechtigungen abbilden können.

Benötigt wird ein Vorgang, bei dem – möglichst automatisiert – Berechtigungen entzogen werden, wenn sie nicht mehr notwendig sind. Darüber hinaus müssen die Verantwortlichen in die Lage versetzt werden, regelmäßig eine Kontrolle ihrer Berechtigungen durchführen zu können und nicht mehr aktuelle Berechtigungen auf einfachem Wege zu entfernen.

Ein tragischer Fall aus einer Gesundheitseinrichtung in Europa zeigt eindrucksvoll, wohin der lasche Umgang mit Berechtigungen führen kann: Fehlerhaftes Berechtigungsmanagement: 400.000 Euro Strafe für DSGVO Verstoß in Portugal”

Erfüllen Sie alle gesetzlichen Vorgaben?

Sie kennen die Vorschriften, an die sich Ihre Unternehmen halten muss, wenn es bestimmte Daten verarbeitet oder in bestimmten Regionen der Welt aktiv ist. Um jedoch trotzdem nur einige exemplarisch zu nennen:

  • Verarbeiten Sie Daten von Bürgern der Europäischen Union? Unabhängig von Ihrem Unternehmenssitz gelten für Sie die Vorschriften der Europäischen Datenschutzgrundverordnung (DSGVO). Lesen Sie dazu auch unser Whitepaper: Berechtigungsmanagement nach der EU-DSGVO
  • Ist Ihr Unternehmen an einer US-amerikanischen Wertpapierbörse gelistet? Dann müssen Sie die Transparenzvorschriften zur Rechnungslegung aus dem Sarbanes-Oxley-Act (SOX) erfüllen.
  • Verarbeiten Sie Kreditkarteninformationen? PCI-DSS schreibt wichtige Richtlinien zur Datensicherheit vor, an die Sie sich halten müssen.
  • Ist Ihr Unternehmen ISO-27001 zertifiziert, oder wollen Sie eine Zertifizierung erreichen? Machen Sie sich unverzüglich mit den Kontrollen der ISO-27002 vertraut. Lesen Sie speziell hierzu auch unser Whitepaper Berechtigungsmanagement in der ISO 27001 und dem BSI IT-Grundschutz”

Ausgehend von diesen Vorschriften sind die jeweilig als wichtig erachteten Daten (Personenbezogene Daten, Kreditkartendaten, Daten mit Einfluss auf die Rechnungslegung, usw.) effektiv vor unbefugten Zugriffen zu schützen. Auf breiter Basis hat sich inzwischen die Meinung durchgesetzt, dass dies mit Standardwerkzeugen nicht zu erreichen ist.

Alle Bemühungen jedoch sind letzten Endes wertlos, wenn die regelkonforme Vorgehensweise nicht auch im Rahmen eines Audits nachgewiesen werden kann. Ohne die zuvor erwähnte durchgängige und zuverlässige Nachvollziehbarkeit hat man hier eindeutig sehr schlechte Karten.

Wie lautet das Resultat?

Können Sie alle genannten Punkte positiv abhaken? Gratuliere, Sie sind gut für die Anforderungen gerüstet. Überprüfen Sie regelmäßig Ihre Maßnahmen und kontrollieren Sie, ob Sie noch den Anforderungen entsprechen.

Können Sie nicht alle Punkte positiv beantworten? Dann handeln Sie noch heute – im Interesse Ihres Unternehmens.

Wir unterstützen Sie gerne bei der Umsetzung eines zukunftsorientierten Benutzer- und Berechtigungsmanagement-Systems.

Melden Sie sich auch zu unserem Webinar an!

“Top 5 Gefahren im Access Management” –
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden

Melden Sie sich auch zu unserem Webinar an!

“Top 5 Gefahren im Access Management” –
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden
By |2019-05-02T11:28:55+00:0025 / 04 / 2019|BLOG|

About the Author:

Helmut Semmelmayer
Helmut Semmelmayer ist seit 2012 als Senior Manager Channel Sales beim Software-Hersteller tenfold tätig. Er ist damit für den Partnervertrieb und das Produktmarketing verantwortlich und schreibt in diesem Blog regelmäßig themenbezogene Beiträge aus dem Bereich Identity & Access Management.
📢 Melden Sie sich jetzt zu unserem kostenlosen Webinar "TOP 5 Gefahren im Access Management" an! 🔔🔔Jetzt anmelden!
+