Manuelles Access Management und seine Risiken
Es ist ein alt bekanntes Problem: Eine Compliance-Prüfung steht ins Haus und plötzlich muss die IT-Abteilung so schnell wie möglich herausfinden, welche Mitarbeiter konkret auf welche Unternehmensdaten zugreifen können. Und damit nicht genug! Es muss deutlich werden, wer diese Rechte erteilt hat, und das Unternehmen muss beweisen, dass sämtliche Berechtigungen regelmäßig überprüft und rezertifiziert werden.
Für Unternehmen, die keine Berechtigungsmanagement-Software einsetzen, der reinste Alptraum! Wir schauen uns an, welche Herausforderungen das Identity und Access Management mit sich bringt, und warum die händische Administration häufig mehr als nur viele Ressourcen kostet.
Access Management – die größten Risiken
Identity und Access Management hat viele Facetten und bringt ebenso viele Herausforderungen mit sich. Aus diesem Grund schauen wir uns zunächst einmal an, was genau Berechtigungsmanagement so komplex macht, dass sich immer mehr Firmen dafür entscheiden, diese Prozess zu automatisieren.
Viele Systeme gleichzeitig managen
Normalerweise sind Benutzer nicht nur im Active Directory angelegt. Ihre Daten und Berechtigungen sind in mehreren Systemen verteilt, unter anderem in E-Mail-Lösungen wie Exchange, Geschäftsanwendungen und Cloudsystemen. Um nur ein Problem anzusprechen: Scheidet ein Mitarbeiter aus, müssen alle Systeme kontrolliert werden. Unterschiedliche Benutzernamen machen die Suche nach verwaisten Konten zusätzlich schwerer.
Dynamische Prozesse und hohe Fluktuation
In den meisten Unternehmen und Organisationen kommt es laufend zu Veränderungen. Mitarbeiter werden eingestellt, wechseln Abteilungen, arbeiten individuell an vielen Projekten mit und scheiden wieder aus. Jede Änderung führt zu Anpassungen bei den IT-Berechtigungen. Es ist unmöglich, den Überblick zu behalten, ob allen Benutzern tatsächlich nur die benötigten Berechtigungen zugeordnet sind.
Ungenügende oder falsche Tools
Speziell in der Microsoft-Welt sind die mitgelieferten Tools (Active Directory Benutzerkonsole und NTFS-Einstellungen) den Anforderungen der modernen Geschäftswelt nicht gewachsen. Die Tools bieten keinen brauchbaren Einblick in effektive Berechtigungen und bieten keine Reportfunktionen an. Die immer weiter steigenden Ordner- und Dateimengen vergrößern das Problem – und zwar jeden Tag. Ein wenig Abhilfe können Sie durch den Einsatz von Best Practices schaffen.
Best Practices im Access Management in Microsoft Umgebungen
Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.
Wie gut können Sie Ihre Berechtigungen nachvollziehen?
„Wieso und seit wann hat Mitarbeiter XY denn Zugriff auf meine Projektdaten?!“ Eine Frage aus dem Fachbereich, die jeder IT-Verantwortlich kennen dürfte. Ohne durchgehende Dokumentation ist diese Frage eigentlich nicht zu beantworten. Das Problem: Eine solche Dokumentation händisch anzulegen und zu pflegen ist sehr schwierig und aufwändig. Was Sie nämlich nicht vergessen dürfen: Die Dokumentation muss vollständig und fehlerfrei sein. Anderenfalls ist sie nicht revisionssicher.
In vielen Unternehmen kommen für Workflows und deren Dokumentation Lösungen zum Einsatz, die suboptimal sind. Bekannte Behelfsmittel sind z.B. Ticket- oder Helpdesk-Anwendungen bzw. ein freigegebenes Postfach in Exchange, in dem alle Anfragen gespeichert werden.
Sie sehen: Ein vernünftiges Reporting kann auf diesen Mitteln schlichtweg nicht aufgebaut werden. Und das wird spätestens beim ersten IT-Audit deutlich.
Wieviel Zeit verbringen Sie mit Ihrem Access Management?
Sie sind der Meinung, dass Ihre IT-Abteilung zu viel Zeit damit verbringt, die Zugriffsrechte der Benutzer richtig einzustellen? Und dass es zu lange dauert, den Lebenszyklus der Mitarbeiter in Form von IT-Konten abzubilden? Stellen Sie sich zunächst folgende Frage: Wie viel Aufwand entsteht in Ihrem Unternehmen denn insgesamt aufgrund dieser Prozesse?
Mitarbeiter, die Zugriffsrechte benötigen, müssen diese über E-Mail oder andere, oft ungeeignete, Tools anfordern.
Die IT muss zuerst herausfinden, wer für die Daten überhaupt zuständig ist, für die eine Anfrage vorliegt.
Dieser Verantwortliche muss kontaktiert werden. Es wird irgendeine Form von Workflow durchlaufen. Die Speicherung und vor allem das Reporting dazu sind, wie oben ausgeführt, kaum umsetzbar.
Die IT-Abteilung muss nach der Genehmigung durch den Verantwortlichen die Berechtigungen im jeweiligen System zuordnen.
Anschließend sollte der Verantwortliche, aber allen voran der Benutzer selbst, darüber informiert werden, dass der Zugriff von nun an funktioniert.
Das sind ziemlich viele Einzelschritte, nicht wahr? Und vergessen Sie nicht, dass diese Komplexität in Zukunft noch weiter zunehmen wird, weil Cloud-Anwendungen beispielsweise häufig dezentral verwaltet werden. Das erschwert die Workflows zusätzlich. Zum gegenwärtigen Zeitpunkt haben Sie es bei manueller Benutzerverwaltung also (nur) mit folgenden Problemen zu tun:
Es sind immer mehrere Personen mit jeder einzelnen Anfrage beschäftigt.
Die Prozesssteuerung ist aufwändig und die IT muss diese Aufgabe manuell bewältigen.
Die IT-Tools, die zum Einsatz kommen, sind dafür meistens überhaupt nicht geeignet.
Sind Ihre Daten Diebstahl oder Missbrauch ausgesetzt?
Hand aufs Herz: den meisten Verantwortlichen ist bewusst, dass durch falsch gesetzte Berechtigungen eine signifikante Anzahl von Mitarbeitern auf viel mehr Daten und Systeme zugreifen kann, als sie für ihre Tätigkeit tatsächlich benötigen. Das liegt daran, dass das oberste Gebot der Berechtigungsverwaltung, das Least-Privilege-Prinzip, in den wenigsten Unternehmen konsequente Anwendung findet.
Aber wie kommt es dazu? Im Grunde ganz einfach: Benutzer sammeln unweigerlich und laufend Berechtigungen. Für jede neue Aufgabe kommen weitere Berechtigungen hinzu. Außerdem wenden viele Admins die Praxis des sog. Referenzusers an. Das bedeutet, dass sie einfach einen vorhandenen Benutzer (inklusive aller Berechtigungen, die dieser Mitarbeiter besitzt) kopieren, um einen neuen User im System anzulegen.
Das Problem: Überflüssige und/oder veraltete Berechtigungen öffnen Tür und Tor Datendiebstahl und/oder Missbrauch durch Mitarbeiter und machen Ihr Unternehmen außerdem anfälliger für Angriffe mit Ransomware.
Werden Berechtigungen rechtzeitig entzogen?
Wie wir gesehen haben, funktioniert der Workflow “Berechtigungen vergeben” in den meisten Unternehmen sehr gut. Der umgekehrte Prozess (Entzug von Berechtigungen) wird jedoch so gut wie nie abgebildet. Auch hier fehlt es an geeigneten Tools, die beispielweise Übergangszeiten und Ablauffristen für Berechtigungen abbilden können.
Benötigt wird ein (idealerweise automatisierter) Vorgang, bei dem Berechtigungen entzogen werden, wenn sie nicht mehr notwendig sind. Darüber hinaus müssen die Verantwortlichen in die Lage versetzt werden, regelmäßig eine Kontrolle ihrer Berechtigungen durchführen zu können und nicht mehr aktuelle Berechtigungen auf einfachem Wege zu entfernen.
Ein tragischer Fall aus einer Gesundheitseinrichtung in Europa zeigt eindrucksvoll, wohin der lasche Umgang mit Berechtigungen führen kann: Fehlerhaftes Berechtigungsmanagement: 400.000 Euro Strafe für DSGVO Verstoß in Portugal
Erfüllen Sie alle gesetzlichen Vorgaben?
Natürlich kennen Sie die Vorschriften, an die sich Ihr Unternehmen halten muss, wenn es bestimmte Daten verarbeitet oder in bestimmten Regionen der Welt aktiv ist. Wir wollen uns dennoch ein paar dieser Vorschriften etwas genauer ansehen.
Verarbeiten Sie Daten von Bürgern der Europäischen Union? Unabhängig von Ihrem Unternehmenssitz gelten für Sie die Vorschriften der Europäischen Datenschutzgrundverordnung (DSGVO). Lesen Sie dazu auch unser Whitepaper: Berechtigungsmanagement nach der EU-DSGVO
Ist Ihr Unternehmen an einer US-amerikanischen Wertpapierbörse gelistet? Dann müssen Sie die Transparenzvorschriften zur Rechnungslegung aus dem Sarbanes-Oxley-Act (SOX) erfüllen.
Verarbeiten Sie Kreditkarteninformationen? PCI-DSS schreibt wichtige Richtlinien zur Datensicherheit vor, an die Sie sich halten müssen.
Ist Ihr Unternehmen ISO-27001 zertifiziert, oder wollen Sie eine Zertifizierung erreichen? Machen Sie sich unverzüglich mit den Kontrollen der ISO-27002 vertraut. Lesen Sie speziell hierzu auch unser Whitepaper ISO 27001: Anforderungen an das Access Management
Was besagen die Vorschriften?
Die gesetzlichen Bestimmungen, welche Unternehmen befolgen müssen, besagen in variierendem Wortlaut alle das gleiche: Die jeweils als wichtig erachteten Daten (Personenbezogene Daten, Kreditkartendaten, Daten mit Einfluss auf die Rechnungslegung, usw.) sind effektiv vor unbefugten Zugriffen zu schützen. Die Überzeugung, dass dies mit Standardwerkzeugen nicht zu bewerkstelligen ist, hat sich mittlerweile durchgesetzt.
Wie können Sie das Problem lösen?
Wenn keines der zuvor genannten Risiken Ihnen Kopfzerbrechen bereitet und Sie absolut sicher sind, dass Ihre Benutzer- und Berechtigungsverwaltung nicht nur fehlerfrei funktioniert, sondern auch lückenlos dokumentiert wird, können wir Ihnen nur gratulieren! In diesem Fall sind Sie gut für die nächste Compliance-Prüfung vorbereitet!
Sind Sie bei dem einen oder anderen Punkt jedoch unsicher geworden und könnten eigentlich gar nicht so genau sagen, welche Maßnahmen in Ihrem Unternehmen im Einsatz sind und welche nicht, ist es an der Zeit, sich eingehend mit der Berechtigungsverwaltung in Ihrer Firma zu beschäftigen.
Wenn Sie wissen möchten, wie tenfold Ihnen helfen kann, Ihre Workflows zu automatisieren und sämtliche Zugriffsberechtigungen zentral und Compliance-gerecht zu verwalten, melden Sie sich gerne zu unserem kostenlosen Webinar an!
Die TOP 5 Gründe für Identity & Access Management