Benutzerverwaltung 1ร—1 fรผr Admins: Benutzer und Rechte zentral verwalten

Wer ist werย im Unternehmen und wer hat aufย welche Ressourcenย Zugriff? Zwei Fragen, die einย Administratorย beantworten kรถnnen muss. Der Admin ist in Sachen Benutzerverwaltung der zentrale Dreh- und Angelpunkt: Er richtet Benutzerkonten und Benutzerkennungย ein. AuรŸerdem sorgt er dafรผr, dass alle Mitarbeiter dieย korrekten Zugriffsberechtigungenย fรผr benรถtigte Systeme und Anwendungen haben.ย Wir schauen uns an, was alles zur Benutzerverwaltung gehรถrt, undย welche Schwierigkeitenย durchย hรคndische Administration entstehen kรถnnen.

Benutzerverwaltung โ€“ was ist das?

Unter Benutzerverwaltung, auch Benutzermanagement oder User Management genannt, versteht man verschiedene Tรคtigkeiten, die die Verwaltung der Benutzer sรคmtlicher Systeme und Anwendungen in einem Unternehmen oder einer Organisation betreffen. In der Regel ist der Administrator derjenige, der diese Tรคtigkeiten ausfรผhrt und/oder sie koordiniert. Eine effiziente Benutzerverwaltung leistet folgendes:

  • Schutz von IT-Systemen und Daten vor unbefugten Zugriffen (sowohl intern als auch extern)

  • eindeutige Identifizierung jedes Benutzers (z.B. รผber eine Kombination von Benutzernamen und Passwort)

  • Zurรผcksetzen des Passworts bei Bedarf

  • Vergabe von Zugriffsberechtigungen auf Systeme, Services und Anwendungen

  • Rechtzeitiges Sperren oder Lรถschen von Konten und Berechtigungen, wenn diese nicht mehr benรถtigt werden (z.B. bei Austritt aus dem Unternehmen)

Lokale und externe Benutzerverwaltung

Es gibt zwei Mรถglichkeiten, wie der Admin Benutzer verwalten kann: lokal (intern) und extern. Beim lokalen Benutzermanagement legt der Administrator die User direkt im jeweiligen System an. Bei der externen Benutzerverwaltung sind die verschiedenen Systeme und Anwendungen an einen externen Server angebunden, wo die Benutzer zentral verwaltet werden.

Interne Benutzerverwaltung

Beim internen bzw. lokalen Benutzermanagement werden die Zugriffsdaten (z.B. Benutzername und Passwort) verschlรผsselt in der internen Datenbank des Systems oder der Anwendung abgelegt und sind auch ausschlieรŸlich dafรผr gรผltig.

Arbeitet ein Unternehmen mit interner Benutzerverwaltung, muss der Admin einen neuen Mitarbeiter beispielsweise einzeln im Active Directory, in Exchange und in SAP anlegen. ร„ndern sich die Stammdaten des Benutzers, muss auch diese ร„nderung in jedem der Verzeichnisse einzeln durchgefรผhrt werden.

Benutzerverwaltung fรผr das Onboarding
Bei manueller interner Benutzerverwaltung bedeutet jedes Onboarding extra Aufwand. Adobe Stock, (c) flowertiare

Erschwerte Dokumentation

Die interne Benutzerverwaltung verursacht einen hohen administrativen Aufwand. Darรผber hinaus kann sie aber auch im Hinblick auf Compliance-Richtlinien problematisch sein, da Windows-Umgebungen standardmรครŸig kein zentrales Reporting unterstรผtzen. So ist das Auslesen von Berechtigungen in Microsoft Exchange z.B. nur mithilfe eines zusรคtzlichen Portals, der Exchange Verwaltungskonsole oder der PowerShell, mรถglich.

Das Reporting mithilfe dieser Boardmittel ist jedoch nicht nur kompliziert und zeitaufwรคndig, sondern hรคufig auch nicht umfassend genug. Warum das so ist, erfahren Sie im Artikel Exchange Postfach Berechtigungen auslesen.

Externe Benutzerverwaltung

Bei der externen Benutzerverwaltung muss der Administrator nicht in jedes System einzeln einsteigen, sondern er kann die Benutzer zentral auf einem externen Verzeichnisserver verwalten. Die Anbindung der einzelnen Systeme und Anwendungen erfolgt hรคufig รผber ein Lightweight Directory Access Protocol (LDAP).

Dabei handelt es sich um ein Netzwerkprotokoll zur Durchfรผhrung von Abfragen und ร„nderungen in einem verteilten Verzeichnisdienst. Eine andere Anbindungsmรถglichkeit besteht รผber eine API (Application Programming Interface).

Benutzerverwaltung รผber Gruppen

Einer der wichtigsten Aspekte der Benutzerverwaltung ist das Management von Zugriffsberechtigungen. Ein optimales User Management funktioniert nach dem Least-Privilege-Prinzip. Nach diesem Prinzip muss ein Mitarbeiter zu jedem Zeitpunkt seines User Lifecycles exakt รผber jene Berechtigungen verfรผgen, die er benรถtigt, um seine Arbeit zu machen. รœberflรผssige und/oder veraltete Berechtigungen dรผrfen nach diesem Prinzip nicht existieren.

Damit der Admin die Berechtigungen fรผr einen neuen Mitarbeiter nicht jeweils individuell zuweisen muss, arbeitet er in der Regel mit einer Gruppenstruktur. Das bedeutet, dass er verschiedene Gruppen mit unterschiedlichen Zugriffsrechten anlegt und die einzelnen Benutzer dann diesen Gruppen zuordnet. Das spart zwar Zeit, kann aber relativ schnell in einer unรผbersichtlichen Berechtigungsstruktur enden.

Whitepaper

Best Practices im Access Management in Microsoft Umgebungen

Dieses Whitepaper enthรคlt eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.

Vorsicht bei der Verwendung von Gruppen

Benutzerverwaltung mithilfe von Gruppen kann gut funktionieren. Microsoft macht im Active Directory beispielsweise vor, wie man die Struktur eines Netzwerks mit sรคmtlichen angeschlossenen Gerรคten mithilfe von Gruppen und Rollen der Struktur des Unternehmens nachbilden kann. Das Best Practice, von dem wir hier sprechen, ist das AGDLP-Prinzip.

Das Problem ist nur, dass dieses Prinzip an allen relevanten Stellen und konsequent immer auf die gleiche Weise angewendet muss. Anderenfalls funktioniert es nicht.

Lassen Sie uns dies am Beispiel von NTFS-Berechtigungen verdeutlichen. NTFS Berechtigungen steuern den Zugriff auf Verzeichnisse in Microsoft-Umgebungen. Um einem Mitarbeiter Ressourcen freizugeben, macht der Admin ihn zum Mitglied einer bestimmten Berechtigungsgruppe. Sofern alles korrekt lรคuft, wird dieser Berechtigungseintrag anschlieรŸend im Benutzerkonto des Mitarbeiters im Active Directory angezeigt.

An diesem Punkt kรถnnen aber schon erste Fehler passieren. Der Admin kรถnnte den User z.B. nicht รผber eine Gruppenmitgliedschaft, sondern direkt auf dem Verzeichnis berechtigen, wodurch der Eintrag anschlieรŸend nicht im AD-Benutzerkonto aufscheint. Andere hรคufige Fehler sind die Verwendung einer Organisationsgruppe als Berechtigungsgruppe und die mehrfache Verwendung einer Berechtigungsgruppe. Fehler wie diese wirken sich nicht nur negativ auf die Transparenz, sondern auch auf die Active Directory Sicherheit aus.

Manuelle Benutzerverwaltung gefรคhrdet Datenschutz

Das Management von Berechtigungen ist ohne die Hilfe durch eine entsprechende Software selbst fรผr sehr disziplinierte IT-Administratoren eine echte Herausforderung. Fragen, auf die es in jedem Unternehmen eine eindeutige Antwort geben muss, sind etwa:

  • Welcherย Benutzerย hat zu welchemย Zeitpunktย auf welcheย Datenย Zugriff?

  • Was passiert mit Rechten, wenn ein Mitarbeiter dieย Abteilung wechseltย oder dasย Unternehmen verlรคsst?

  • Wer trรคgt dieย Verantwortungย รผber die Rollen- und Rechtevergabe?

  • Werdenย Verรคnderungen im Mitarbeiterstandย rechtzeitig kommuniziert, um dieย Sicherheit der Datenย zu gewรคhrleisten?

Bleiben Fragen wie diese unbeantwortet, entstehen Sicherheitslรผcken. Und diese รถffnen nicht nur Tรผr und Tor fรผr Datenlecks, Datenpannen und Datendiebstahl, sondern machen Ihr Unternehmen auch verwundbar fรผr Angriffe mit Mal- und Ransomware. Darรผber hinaus ist ein Compliance-gerechtes Reporting bei manueller Benutzerverwaltung nur mit enormem zeitlichem und personellem Aufwand zu bewerkstelligen.

Benutzerverwaltung automatisieren

Fรผr den Administrator besteht die Benutzerverwaltung aus einer Vielzahl von sich wiederholenden Tรคtigkeiten. Und wie wir gesehen haben, mรผssen diese Tรคtigkeiten jedes Mal auf die exakt gleiche Art und Weise ausgefรผhrt werden, damit die Prozesse optimal funktionieren. Darin liegt einerseits die Herausforderung dieser Aufgabe, zugleich aber auch der Schlรผssel zu ihrer Bewรคltigung.

Da die Vorgรคnge innerhalb der Benutzerverwaltung sich gut standardisieren lassen, ist es auch mรถglich, sie zu automatisieren. Und das ist es, was eine Software fรผr Berechtigungsmanagement bzw. eine IAM-Software leistet.

Automatisierte Benutzerverwaltung mitย tenfold

tenfold ist eine Software, die ein systemรผbergreifendes Benutzermanagement inkl. Rechteverwaltung ermรถglicht und perfekt an die Erfordernisse in Microsoft-Umgebungen angepasst ist. Die Software unterstรผtzt die Anbindung von mehr als 60 Drittanbieter-Systemen, darunter Exchange, HCL Notes, Sharepoint, Dynamics NAV und HR-Systeme.

Mit tenfold kรถnnen Sie den kompletten Lebenszyklus eines Mitarbeiters abbilden: vom Einstieg รผber den Abteilungswechsel bis hin zum Austritt. Der tenfold Profilassistent analysiert, welche Berechtigungen in den einzelnen Abteilungen zum Standardset gehรถren. AnschlieรŸend teilt die Software die Standardrechte vollautomatisch und quer durch alle Systeme (u.a. Active Directory und SAP) zu.

ร„ndert sich der Status eines Mitarbeiters (z.B. aufgrund eines Abteilungswechsels), passt die Software die Rechte und Rollen automatisch an. Tritt ein Mitarbeiter aus dem Unternehmen aus, lรถscht tenfold sรคmtliche Konten und Zugangsrechte.

Automatische Dokumentation

Sรคmtliche Vorgรคnge im tenfold Benutzermanagement werden automatisch dokumentiert und revisionssicher abgelegt. Dies gilt sowohl fรผr die Zuteilung der Standardrechte als auch fรผr sรคmtliche Vorgรคnge im integrierten Self-Service. Hier kรถnnen die Mitarbeiter รผber eine anwenderfreundliche Oberflรคche selbst Zugriffsberechtigung anfordern.

Die Kontrolle der Zugriffe erfolgt รผber Genehmigungsworkflows und die automatische Provisionierung entlastet die IT. Darรผber hinaus sorgt ein geregelter Rezertifizierungs-Prozess dafรผr, dass die Data Owner der jeweiligen Fachabteilung sรคmtliche Berechtigungen, fรผr die sie verantwortlich sind, in fix definierten Abstรคnden รผberprรผfen und entweder bestรคtigen oder entfernen mรผssen.

Webinar

Die TOP 5 Grรผnde fรผr Identity & Access Management

Verfasst von: Nele Nikolaisen

Nele Nikolaisen ist Spezialistin fรผr Conversion-Content und Suchmaschinenoptimierung. AuรŸerdem ist sie Bรผcherfreundin mit Thomas-Mann-Faible, Cineastin mit Horror-Spleen und leidenschaftliche Kuriositรคtensammlerin.