Manuelles Access Management und seine Risiken
Es ist ein alt bekanntes Problem: Eineย Compliance-Prรผfungย steht ins Haus und plรถtzlich muss die IT-Abteilungย so schnell wie mรถglichย herausfinden, welche Mitarbeiterย konkretย auf welche Unternehmensdaten zugreifenย kรถnnen. Und damit nicht genug! Es muss deutlich werden,ย werย diese Rechte erteilt hat, und das Unternehmen muss beweisen, dass sรคmtliche Berechtigungen regelmรครig รผberprรผft und rezertifiziertย werden.
Fรผr Unternehmen, die keine Berechtigungsmanagement-Software einsetzen, der reinste Alptraum! Wir schauen uns an, welche Herausforderungen das Identity und Access Management mit sich bringt, und warum die hรคndische Administration hรคufig mehr als nur viele Ressourcen kostet.
Access Management โ die grรถรten Risiken
Identity und Access Management hat viele Facetten und bringt ebenso viele Herausforderungen mit sich. Aus diesem Grund schauen wir uns zunรคchst einmal an, was genau Berechtigungsmanagement so komplex macht, dass sich immer mehr Firmen dafรผr entscheiden, diese Prozess zu automatisieren.
Viele Systeme gleichzeitig managen
Normalerweise sind Benutzer nicht nur im Active Directory angelegt. Ihre Daten und Berechtigungen sind in mehreren Systemen verteilt, unter anderem in E-Mail-Lรถsungen wie Exchange, Geschรคftsanwendungen und Cloudsystemen. Um nur ein Problem anzusprechen: Scheidet ein Mitarbeiter aus, mรผssen alle Systeme kontrolliert werden. Unterschiedliche Benutzernamen machen die Suche nach verwaisten Konten zusรคtzlich schwerer.
Dynamische Prozesse und hohe Fluktuation
In den meisten Unternehmen und Organisationen kommt es laufend zu Verรคnderungen. Mitarbeiter werden eingestellt, wechseln Abteilungen, arbeiten individuell an vielen Projekten mit und scheiden wieder aus. Jede รnderung fรผhrt zu Anpassungen bei den IT-Berechtigungen. Es ist unmรถglich, den รberblick zu behalten, ob allen Benutzern tatsรคchlich nur die benรถtigten Berechtigungen zugeordnet sind.
Ungenรผgende oder falsche Tools
Speziell in der Microsoft-Welt sind die mitgelieferten Tools (Active Directory Benutzerkonsole und NTFS-Einstellungen) den Anforderungen der modernen Geschรคftswelt nicht gewachsen. Die Tools bieten keinen brauchbaren Einblick in effektive Berechtigungen und bieten keine Reportfunktionen an. Die immer weiter steigenden Ordner- und Dateimengen vergrรถรern das Problem โ und zwar jeden Tag. Ein wenig Abhilfe kรถnnen Sie durch den Einsatz von Best Practices schaffen.
Access Governance: Best Pratices fรผr Microsoft-Umgebungen
Ein umfassender Leitfaden zur Umsetzung bewรคhrter Best Practices fรผr die Zugriffsverwaltung in Microsoft-Umgebungen.
Wie gut kรถnnen Sie Ihre Berechtigungen nachvollziehen?
โWieso und seit wann hat Mitarbeiter XY denn Zugriff auf meine Projektdaten?!โ Eine Frage aus dem Fachbereich, die jeder IT-Verantwortlich kennen dรผrfte. Ohne durchgehende Dokumentation ist diese Frage eigentlich nicht zu beantworten. Das Problem: Eine solche Dokumentation hรคndisch anzulegen und zu pflegen ist sehr schwierig und aufwรคndig. Was Sie nรคmlich nicht vergessen dรผrfen: Die Dokumentation muss vollstรคndig und fehlerfrei sein. Anderenfalls ist sie nicht revisionssicher.
In vielen Unternehmen kommen fรผr Workflows und deren Dokumentation Lรถsungen zum Einsatz, die suboptimal sind. Bekannte Behelfsmittel sind z.B. Ticket- oder Helpdesk-Anwendungen bzw. ein freigegebenes Postfach in Exchange, in dem alle Anfragen gespeichert werden.
Sie sehen: Ein vernรผnftiges Reporting kann auf diesen Mitteln schlichtweg nicht aufgebaut werden. Und das wird spรคtestens beim ersten IT-Audit deutlich.
Wieviel Zeit verbringen Sie mit Ihrem Access Management?
Sie sind der Meinung, dass Ihre IT-Abteilung zu viel Zeit damit verbringt, die Zugriffsrechte der Benutzer richtig einzustellen? Und dass es zu lange dauert, den Lebenszyklus der Mitarbeiter in Form von IT-Konten abzubilden? Stellen Sie sich zunรคchst folgende Frage: Wie viel Aufwand entsteht in Ihrem Unternehmen denn insgesamt aufgrund dieser Prozesse?
Mitarbeiter, die Zugriffsrechte benรถtigen, mรผssen diese รผber E-Mail oder andere, oft ungeeignete, Tools anfordern.
Die IT muss zuerst herausfinden, wer fรผr die Daten รผberhaupt zustรคndig ist, fรผr die eine Anfrage vorliegt.
Dieser Verantwortliche muss kontaktiert werden. Es wird irgendeine Form von Workflow durchlaufen. Die Speicherung und vor allem das Reporting dazu sind, wie oben ausgefรผhrt, kaum umsetzbar.
Die IT-Abteilung muss nach der Genehmigung durch den Verantwortlichen die Berechtigungen im jeweiligen System zuordnen.
Anschlieรend sollte der Verantwortliche, aber allen voran der Benutzer selbst, darรผber informiert werden, dass der Zugriff von nun an funktioniert.
Das sind ziemlich viele Einzelschritte, nicht wahr? Und vergessen Sie nicht, dass diese Komplexitรคt in Zukunft noch weiter zunehmen wird, weil Cloud-Anwendungen beispielsweise hรคufig dezentral verwaltet werden. Das erschwert die Workflows zusรคtzlich. Zum gegenwรคrtigen Zeitpunkt haben Sie es bei manueller Benutzerverwaltung also (nur) mit folgenden Problemen zu tun:
Es sind immer mehrere Personen mit jeder einzelnen Anfrage beschรคftigt.
Die Prozesssteuerung ist aufwรคndig und die IT muss diese Aufgabe manuell bewรคltigen.
Die IT-Tools, die zum Einsatz kommen, sind dafรผr meistens รผberhaupt nicht geeignet.
Sind Ihre Daten Diebstahl oder Missbrauch ausgesetzt?
Hand aufs Herz: den meisten Verantwortlichen ist bewusst, dass durch falsch gesetzte Berechtigungen eine signifikante Anzahl von Mitarbeitern auf viel mehr Daten und Systeme zugreifen kann, als sie fรผr ihre Tรคtigkeit tatsรคchlich benรถtigen. Das liegt daran, dass das oberste Gebot der Berechtigungsverwaltung, das Least-Privilege-Prinzip, in den wenigsten Unternehmen konsequente Anwendung findet.
Aber wie kommt es dazu? Im Grunde ganz einfach: Benutzer sammeln unweigerlich und laufend Berechtigungen. Fรผr jede neue Aufgabe kommen weitere Berechtigungen hinzu. Auรerdem wenden viele Admins die Praxis des sog. Referenzusers an. Das bedeutet, dass sie einfach einen vorhandenen Benutzer (inklusive aller Berechtigungen, die dieser Mitarbeiter besitzt) kopieren, um einen neuen User im System anzulegen.
Das Problem: รberflรผssige und/oder veraltete Berechtigungen รถffnen Tรผr und Tor Datendiebstahl und/oder Missbrauch durch Mitarbeiter und machen Ihr Unternehmen auรerdem anfรคlliger fรผr Angriffe mit Ransomware.
Werden Berechtigungen rechtzeitig entzogen?
Wie wir gesehen haben, funktioniert der Workflow โBerechtigungen vergebenโ in den meisten Unternehmen sehr gut. Der umgekehrte Prozess (Entzug von Berechtigungen) wird jedoch so gut wie nie abgebildet. Auch hier fehlt es an geeigneten Tools, die beispielweise รbergangszeiten und Ablauffristen fรผr Berechtigungen abbilden kรถnnen.
Benรถtigt wird ein (idealerweise automatisierter) Vorgang, bei dem Berechtigungen entzogen werden, wenn sie nicht mehr notwendig sind. Darรผber hinaus mรผssen die Verantwortlichen in die Lage versetzt werden, regelmรครig eine Kontrolle ihrer Berechtigungen durchfรผhren zu kรถnnen und nicht mehr aktuelle Berechtigungen auf einfachem Wege zu entfernen.
Ein tragischer Fall aus einer Gesundheitseinrichtung in Europa zeigt eindrucksvoll, wohin der lasche Umgang mit Berechtigungen fรผhren kann: Fehlerhaftes Berechtigungsmanagement: 400.000 Euro Strafe fรผr DSGVO Verstoร in Portugal
Erfรผllen Sie alle gesetzlichen Vorgaben?
Natรผrlich kennen Sie die Vorschriften, an die sich Ihr Unternehmen halten muss, wenn es bestimmte Daten verarbeitet oder in bestimmten Regionen der Welt aktiv ist. Wir wollen uns dennoch ein paar dieser Vorschriften etwas genauer ansehen.
Verarbeiten Sie Daten von Bรผrgern der Europรคischen Union? Unabhรคngig von Ihrem Unternehmenssitz gelten fรผr Sie die Vorschriften der Europรคischen Datenschutzgrundverordnung (DSGVO). Lesen Sie dazu auch unser Whitepaper:ย Berechtigungsmanagement nach der EU-DSGVO
Ist Ihr Unternehmen an einer US-amerikanischen Wertpapierbรถrse gelistet? Dann mรผssen Sie die Transparenzvorschriften zur Rechnungslegung aus dem Sarbanes-Oxley-Act (SOX) erfรผllen.
Verarbeiten Sie Kreditkarteninformationen? PCI-DSS schreibt wichtige Richtlinien zur Datensicherheit vor, an die Sie sich halten mรผssen.
Ist Ihr Unternehmen ISO-27001 zertifiziert, oder wollen Sie eine Zertifizierung erreichen? Machen Sie sich unverzรผglich mit den Kontrollen der ISO-27002 vertraut. Lesen Sie speziell hierzu auch unser Whitepaperย ISO 27001: Anforderungen an das Access Management
Was besagen die Vorschriften?
Die gesetzlichen Bestimmungen, welche Unternehmen befolgen mรผssen, besagen in variierendem Wortlaut alle das gleiche: Die jeweils als wichtig erachteten Daten (Personenbezogene Daten, Kreditkartendaten, Daten mit Einfluss auf die Rechnungslegung, usw.) sind effektiv vor unbefugten Zugriffen zu schรผtzen. Die รberzeugung, dass dies mit Standardwerkzeugen nicht zu bewerkstelligen ist, hat sich mittlerweile durchgesetzt.
Wie kรถnnen Sie das Problem lรถsen?
Wenn keines der zuvor genannten Risiken Ihnen Kopfzerbrechen bereitet und Sie absolut sicher sind, dass Ihre Benutzer- und Berechtigungsverwaltung nicht nur fehlerfrei funktioniert, sondern auch lรผckenlos dokumentiert wird, kรถnnen wir Ihnen nur gratulieren! In diesem Fall sind Sie gut fรผr die nรคchste Compliance-Prรผfung vorbereitet!
Sind Sie bei dem einen oder anderen Punkt jedoch unsicher geworden und kรถnnten eigentlich gar nicht so genau sagen, welche Maรnahmen in Ihrem Unternehmen im Einsatz sind und welche nicht, ist es an der Zeit, sich eingehend mit der Berechtigungsverwaltung in Ihrer Firma zu beschรคftigen.
Wenn Sie wissen mรถchten, wie tenfold Ihnen helfen kann, Ihre Workflows zu automatisieren und sรคmtliche Zugriffsberechtigungen zentral und Compliance-gerecht zu verwalten, melden Sie sich gerne zu unserem kostenlosen Webinar an!
Die TOP 5 Grรผnde fรผr Identity & Access Management