Grafische Darstellung von Berechtigungsmanagement; Struktur zum Managen von Berechtigungen innerhalb eines Unternehmens.

Wozu braucht man eigentlich Berechtigungsmanagement? Ganz einfach: In jedem Unternehmen gibt es mehrere Arten von Informationen: vertrauliche, geheime und streng geheime. Und dank DS-GVO ist es für Unternehmen heute nicht mehr nur ratsam, sensible Daten zu schützen, sondern es ist auch gesetzlich vorgeschrieben.

Aber wie können Unternehmen den Datenschutz sowohl intern als auch nach außen hin gewährleisten? Wir schauen uns an, worin die Vorteile von Berechtigungsmanagement liegen, und wie die Anforderungen an eine entsprechende Software aussehen.

Inhalte (verbergen)

Berechtigungsmanagement – was ist das?

Tatsächlich gibt es keine einheitliche Definition dafür, was genau Berechtigungsmanagement eigentlich ist. Sämtlichen Lösungen am Markt ist jedoch gemeinsam, dass sie das Reporting für das Active Directory (Microsoft), unterschiedliche Fileserver (Windows, Linux, diverse SAN/NAS Systeme) und andere Produkte wie z.B. Exchange oder SharePoint automatisieren.

Dadurch ermöglichen die Tools nicht nur revisionssichere Reports, sondern sie minimieren auch den administrativen Aufwand. Eine systemische Lösung für Berechtigungsmanagement ist normalerweise schnell auszurollen und unkompliziert in der täglichen Bedienung.

Hätten Sie eigentlich gewusst, dass…

  • mehr als die Hälfte aller Mitarbeiter leicht an sensible Daten kommt?

  • mehr als die Hälfte der Arbeitszeit von Administratoren durch händische Dokumentation gebunden wird?

  • Tag für Tag Daten innerhalb der Unternehmen verloren gehen?

Warum Berechtigungsmanagement?

Viele IT-Security-Beauftragte sehen die Gefahr für ihre Daten im berühmt-berüchtigten Hacker, der im schwarzen Kapuzenpulli vor sechs Bildschirmen sitzt und sich durch die Sicherheitssysteme coded. Natürlich ist die Firewall, die den Hacker draußen hält, wichtig. Aber in vielen Fällen kommt die Gefahr nicht von außen, sondern von innen.

Genauer: Sie geht von den Mitarbeitern aus. Das kann, muss aber nicht den bewussten Datendiebstahl durch Mitarbeiter meinen. In vielen Fällen führt der Data Breach nämlich schlicht und ergreifend dadurch zur Katastrophe, dass ein Mitarbeiter zu viele Zugriffsberechtigungen hat.

Berechtigungsmanagement schützt vor Datendiebstahl

Denken Sie beispielsweise an Ransomware. Laut phonixNAP beträgt der durchschnittliche Schaden eines Ransomware-Angriffs auf ein Unternehmen ca. 130.000 US-Dollar. Aber wie kommt die Ransomware überhaupt an die sensiblen Daten? (Leider) ganz einfach: Ein Mitarbeiter, der in Sachen Cybersicherheit vielleicht nicht optimal geschult ist, klickt auf einen bösartigen Link in einer Phishing-Email. Umgehend wird ein Verschlüsselungstrojaner geladen, der sämtliche Dateien verschlüsselt, auf die der jeweilige Benutzer Zugriff hat.

Eine Berechtigungsmanagement Software kann zwar den Link-Klick nicht verhindern, aber sie kann den Schaden erheblich eingrenzen. Wenn nämlich zu jeder Zeit sichergestellt ist, dass ein Mitarbeiter nur jene Zugriffsberechtigungen besitzt, die er tatsächlich für seine Arbeit benötigt, kann der Trojaner auch nur diese Daten verschlüsseln. Das ist zwar immer noch unerfreulich, aber normalerweise können Unternehmen größere Data Breaches auf diese Weise verhindern.

Wie funktioniert Berechtigungsmanagement?

Wie wir bereits gesehen haben, schützt die Firewall Ihre Daten vor externen Gefahren. Das Management von Berechtigungen setzt an einer anderen Stelle an, indem es vertrauliche Informationen innerhalb des Netzwerks sichert. Die Software verwaltet und bildet die Berechtigungen auf drei Ebenen ab: Personenebene, Verzeichnisebene und Entscheidungsebene:

  1. WER hat wo Zugriff? (Personen)
  2. WO hat wer Zugriff? (Verzeichnisse)
  3. Wer SOLLTE worauf Zugriff haben? (Qualifikation/Data-Owner-Konzept)
Berechtigungsmanagement, grafische Darstellung_tenfold

Berechtigungsmanagement nach BSI

Ein Unternehmen, in dem eine unklare Berechtigungssituation herrscht und niemand genau weiß, wer auf welche Ressourcen zugreifen kann, befindet sich grundsätzlich auf Kollisionskurs mit den Vorgaben des BSI (Bundesamt für Sicherheit in der Informationstechnik).

Nach Baustein ORP.4 des BSI ist der “Zugang zu schützenswerten Ressourcen einer Institution” nämlich immer “auf berechtigte Benutzer und berechtigte IT-Komponenten einzuschränken“. Ferner müssen “Benutzer und IT-Komponenten […] zweifelsfrei identifiziert und authentisiert werden” und es “MUSS dokumentiert werden, welche Benutzerkennungen, angelegte Benutzergruppen und Rechteprofile zugelassen und angelegt wurden“.

Anforderungen an Berechtigungsmanagement nach BSI

Das Bundesamt für Sicherheit in der Informationstechnik fordert von Unternehmen eine lückenlose Dokumentation sämtlicher Vorgänge und Prozesse. Die Verwendung einer entsprechenden Software minimiert also nicht nur den administrativen Aufwand, sondern sie sorgt auch für rechtliche Absicherung, indem sie folgendes ermöglicht:

  • revisionssichere Reports
  • Monitoring und Nachvollzug sämtlicher Zugriffe auf allen Ebenen
  • Einbinden der jeweiligen Fachabteilungen zur Überprüfung (Data-Owner-Konzept)
  • Schwachstellenanalyse
  • automatisierte Überprüfungen und Aktualisierungen

Berechtigungen managen, Ressourcen sparen

Wussten Sie, dass die händische Dokumentation von Berechtigungen in Unternehmen unnötig viele Ressourcen bindet? Ohne entsprechende Software müssen die Sicherheitsbeauftragten bzw. Administratoren sämtliche Prozesse und Workflows (z.B. Useranlage, Rechtevergabe, Kontomanagement usw.) für jeden User einzeln durchführen.

Um den Vorgaben des BSI gerecht zu werden, müsste außerdem jede noch so kleine administrative Änderung genauestens dokumentiert werden (inklusive Zeitpunkt, Art und Ort der Änderung, ausführendem Nutzer sowie Begründung der Änderung).

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download

Verantwortung an Fachbereiche auslagern

Ein weiteres Problem bei der händischen Dokumentation betrifft das Konzept des Data-Owners: Häufig wissen die Administratoren nämlich gar nicht, wo wichtige Daten liegen, und wer für seine Tätigkeit im Unternehmen tatsächlich den Zugriff benötigt.

Aus diesem Grund delegiert ein Access Rights Management die Rechtevergabe an die jeweilige Fachabteilung. Der Abteilungsleiter entscheidet als Dateneigner, wer in seinem Bereich worauf Zugriff erhält. Darüber hinaus spart das professionelle Management von Berechtigungen Ressourcen durch

  • Standardisierung und Vereinfachung der Abläufe
  • Entlastung der Administratoren und Helpdesk Mitarbeiter
  • automatisierte Dokumentation

Ist Berechtigungsmanagement Identity & Access Management?

Die Begriffe Berechtigungsmanagement und Identity/Access Management werden zwar häufig synonym verwendet, tatsächlich sind sie jedoch nicht deckungsgleich.

Wie wir gesehen haben, besteht Software für Berechtigungsmanagement üblicherweise aus Tools, mit denen das Reporting und die Administration für unterschiedliche Systeme, Fileserver und Anwendungen enorm erleichtert werden kann, indem Gruppen- und Rollenstrukturen angelegt und sämtliche Prozesse und Abläufe standardisiert werden.

Mit der richtigen Berechtigungsmanagement-Software ist es beispielsweise möglich, sämtliche Berechtigungen in Exchange unkompliziert auszulesen und das AD mit SAP zu synchronisieren.


Das Problem: Was in der Software nicht per Programmierung durch den Hersteller vorgesehen ist, wird nicht unterstützt. Aus diesem Grund geraten Unternehmen, bei denen anspruchsvollere Aufgaben abgebildet oder zusätzliche Systeme in den Workflow eingebunden werden müssen, bei diesen Lösungen schnell an ihre Grenzen.

Mehr Funktionen bei Identity und Access Management

Aus diesem Grund gibt es das Identity & Access Management, welches speziell auf die Anforderungen von sehr großen Organisationen ausgerichtet ist.

In Identity & Access Management Lösungen werden sowohl komplexe Workflows als auch die Einbindung von unterschiedlichen Systemen über vordefinierte Schnittstellen unterstützt. In vielen Fällen erfordert es jedoch einen enormen Aufwand, diese Schnittstellen in einer konkreten Kundenumgebung in Betrieb zu nehmen.

Im Beitrag Berechtigungsmanagement vs. Identity & Access Management erfahren Sie Genaueres über den Unterschied zwischen diesen beiden Lösungen. Außerdem verraten wir Ihnen, wie es tenfold gelingt, das Beste aus beiden Welten zu vereinen.

Software für Berechtigungsmanagement testen

tenfold Download

Mit der tenfold-Testversion lernen Sie den vollen Funktionsumfang unserer Software kennen und erfahren, wie Sie Ihre Berechtigungen in Zukunft einfach und effizient managen können. Selbstverständlich ist dieser Test für Sie kostenlos und unverbindlich!

tenfold testen

Quellen:

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/ORP/ORP_4_Identit%C3%A4ts-_und_Berechtigungsmanagement.html?nn=10137172#doc10095784bodyText10