Berechtigungsverwaltung: Zugriffsrechte erfolgreich managen

Die Verwaltung von Berechtigungen ist eine der Kernaufgaben in der IT-Administration. Rechte mรผssen zielsicher vergeben werden, damit Benutzer an alle von benรถtigten Ressourcen kommen und sensible Daten gleichzeitig vor unerwรผnschten Zugriffen geschรผtzt bleiben โ€“ egal ob es sich dabei um neugierige Kollegen, Gast-Accounts oder Cyberkriminelle handelt. In diesem Beitrag erfahren Sie, worauf es bei der Berechtigungsverwaltung ankommt und wie Admins die Berechtigungsverwaltung automatisieren und wertvolle Zeit sparen kรถnnen.

Berechtigungsverwaltung โ€“ was ist das genau?

Einfach erklรคrt versteht man unter Berechtigungsverwaltung alle administrativen Aufgaben, die in Unternehmen rund um IT-Berechtigungen anfallen. Dazu gehรถrt eine Vielzahl an Arbeitsschritten, die Admins laufend und in allen verknรผpften Systemen durchfรผhren mรผssen. Die Berechtigungsverwaltung lรคsst sich in drei Bereiche aufteilen:

  • Die initiale Berechtigungsvergabe (Provisionierung): Neue Benutzer mรผssen mit allen notwendigen Rechten ausgestattet werden, um ihrer Arbeit nachgehen zu kรถnnen.

  • Die laufende Anpassung von Berechtigungen: Da sich die Aufgaben von Mitarbeitern laufend รคndern, benรถtigen diese fรผr neue Anwendungen, Arbeitsbereiche oder Projekte immer wieder zusรคtzliche Rechte. Zudem mรผssen nach dem Wechsel der Abteilung oder dem Abgang aus dem Unternehmen nicht mehr benรถtigte Rechte entfernt werden.

  • Das Berechtigungsreporting: Um Missstรคnde erkennen und beheben zu kรถnnen, ist auch das Auslesen von Berechtigungen fรผr eine erfolgreiche Rechteverwaltung von zentraler Bedeutung. Da Standard-Werkzeuge wie die Bordmittel von Microsoft hier meist sehr eingeschrรคnkt sind, ist dies keine triviale Aufgabe.

Die Verwaltung von Berechtigungen betrifft prinzipiell alle Anwendungen, die unterschiedliche Berechtigungsstufen bereitstellen. Zum Beispiel eine Software fรผr die Buchrechnung, in der normale Anwender Transaktionen eintragen, aber nur Manager groรŸe Summen freigeben kรถnnen.

Aufgrund seiner zentralen Rolle fรผr IT-Abteilungen weltweit assoziieren die meisten Administratoren den Begriff Berechtigungsverwaltung jedoch in erster Linie mit den Berechtigungen in Windows-Systemen: Active Directory Berechtigungen, NTFS Berechtigungen und Freigabeberechtigungen im Fileserver, Exchange Postfach Berechtigungen, SharePoint Berechtigungen und so weiter.

Wie funktioniert Berechtigungsverwaltung?

In Microsoft Umgebungen, die auf Active Directory bzw. Azure Active Directory aufbauen, werden Berechtigungen รผber die sogenannte Access Control List (ACL) abgebildet. Jedes verwaltete Objekt verfรผgt รผber eine solche Liste. Darin sind die Security Identifier (SIDs) von Usern und die damit verbundenen Rechte eingetragen.

Damit der Administrator die Berechtigungen nicht fรผr jedes Objekt einzeln festlegen mรผssen, wird die ACL im Normalfall auf Unterobjekte vererbt (z.B. Unterordner und -Dateien). Falls nicht anders festgelegt, sorgt die Vererbung von Berechtigungen dafรผr, dass Benutzer in Unterordnern dieselben Rechte erhalten, wie in jenem Ordner, fรผr den eine explizite Berechtigung zugewiesen wurde.

Da es im Arbeitsalltag extrem aufwรคndig wรคre, jeden User einzeln zu jeder benรถtigten Ressource hinzuzufรผgen, hat es sich als Best Practice etabliert, Benutzer-Gruppen fรผr die Berechtigungsverwaltung zu verwenden: Benutzer mit der gleichen Geschรคftsrolle (also dem gleichen Aufgabenbereich) werden zu einer Organisationsgruppe hinzugefรผgt, die รผber die Mitgliedschaft in Berechtigungsgruppen alle notwendigen Rechte erhรคlt. So sieht es das AGDLP-Prinzip von Microsoft vor.

Das Problem mit direkten Berechtigungen: Anders als Gruppenmitgliedschaften scheinen diese nicht in den Eigenschaften eines Benutzers auf, sondern nur in den Einstellungen des jeweiligen Ordner. Bei tausenden von Verzeichnissen macht das das Nachvollziehen von Rechten praktisch unmรถglich: Einmal vergeben findet man eine direkte Berechtigung niemals wieder.

Whitepaper

Best Practices fรผr die Berechtigungsverwaltung in Microsoft Umgebungen

Dieses Whitepaper enthรคlt eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.

Berechtigungsverwaltung: Sicherheit vs. ungestรถrtes Arbeiten?

Wenn Endanwender mit IT-Berechtigungen in Berรผhrung kommen, werden diese oft als Hindernis erlebt: Ein Ordner verweigert den Zugriff, es fehlt die Lizenz fรผr ein benรถtigtes Programm, etc. So kommt des ร–fteren die Frage auf, ob es nicht sinnvoll wรคre, Berechtigungen mรถglichst liberal zu konfigurieren.

Die Vorstellung sieht so aus: Mit wenigen Ausnahmen erhalten Benutzer Zugang zu allen Systemen und kรถnnen deshalb ungehindert arbeiten, ohne sich bei neuen Aufgaben oder Projekten erst bei der IT melden zu mรผssen. Manch ein Administrator gibt diesem Druck tatsรคchlich nach, so dass Benutzer umfassende und nicht benรถtigte Privilegien “auf Verdacht” erhalten. Nur fรผr den Fall, dass sie diese spรคter einmal brauchen.

Bรผro-Angestellter hinter riesigem Ordner-Stapel auf Schreibtisch
Achtung: Sicherheitsrisiko. Brauchen Mitarbeiter wirklich Zugriff auf so viele Ordner? Adobe Stock, (c) contrastwerkstatt

Achtung, Alarmstufe rot: In puncto Sicherheit ist die Vergabe nicht benรถtigter Rechte eine Katastrophe. Einerseits รถffnen Unternehmen so Tรผr und Tor fรผr Datendiebstahl durch Mitarbeiter, also das unerlaubte Kopieren und Mitnehmen von geschรคftskritischen Informationen. Dazu kommt es hรคufiger, als man denkt: Die Gefahr von Insider Threats wird in vielen Firmen unterschรคtzt.

Andererseits haben bei diesem Vorgehen auch Hacker leichtes Spiel: Kapern Cyberkriminelle das Konto eines Angestellten, erhalten Sie Zugriff auf alle dafรผr freigebenen Systeme. Ob es sich dabei um einen kleinen Teilbereich oder das komplette Firmennetzwerk handelt, macht bei Ransomware & Co. einen groรŸen Unterschied. Nicht umsonst sehen Best Practices der IT-Security wie Least Privilege und Zero Trust vor, die Rechte von Usern auf ein notwendiges Minimum zu beschrรคnken.

Nicht zuletzt ist die Beschrรคnkung von Zugriffsrechten auch ein rechtliches Thema, etwa rund um die DSGVO, die KRITIS-Verordnung oder Sicherheitsstandards wie ISO 27001.

Berechtigungsverwaltung per Self-Service: Kurze Wege, keine Tickets

Auch wenn รผberbordende Rechte aus Sicherheitsgrรผnden keine Option darstellen, sollten Organisationen das zugrundeliegende Problem nicht ignorieren, das User durch das Horden von Berechtigungen umgehen wollen: Die Berechtigungsvergabe durch die IT macht das Anfordern neuer Rechte zu einem lรคstigen und zeitaufwรคndigen Prozess. Bis im Detail geklรคrt ist, wer welche Berechtigungen in welchen Systemen fรผr wie lange erhalten soll, braucht es einige E-Mails oder Anrufe.

Das Problem liegt hier letztlich in der Tatsache, dass IT-Administratoren zwar die Rechtevergabe kontrollieren, aber die Anforderungen der unterschiedlichen Abteilungen nicht kennen. Diese Distanz zu den eigentlichen Anwendern macht komplizierte Abstimmungsprozesse erforderlich. Doch es gibt eine Lรถsung: Der Weg zu benรถtigten Freigaben lรคsst sich erheblich kรผrzen, indem man Benutzern die Mรถglichkeit, neue Rechte รผber ein Self-Service-Menรผ anzufordern. So kรถnnen Fachbereichsleiter benรถtigte Zugriffe direkt freigeben, ohne Umweg รผber den Admin. Fรผr die korrekte Vergabe und Dokumentation sorgt die jeweilige Software im Hintergrund.

Berechtigungsverwaltung automatisieren: Schritt fรผr Schritt

Bedenkt man, wie viel Arbeitszeit eines Admins in die Vergabe und Anpassung von Berechtigungen flieรŸt, ist die Suche nach einer Lรถsung fรผr die automatische Berechtigungverwaltung mehr als nachvollziehbar. Tatsรคchlich gibt es einige Mรถglichkeiten, wie sich Administratoren hier die Arbeit erleichtern kรถnnen, sowohl was frei zugรคngliche Features als auch eigene Software fรผr Berechtigungsverwaltung betrifft.

Da sich IT-Rechte nach den Anforderungen und der Organisationsstruktur des Unternehmens richten mรผssen, lรคsst sich das Problem der Berechtigungsverwaltung aber nicht auf rein technischer Ebene lรถsen. Im Folgenden erfahren Sie, welche Schritte notwendig sind, um die Vergabe, Anpassung und Kontrolle von Berechtigungen zu automatisieren.

1

Berechtigungskonzept erstellen

Systeme fรผr die automatische Berechtigungsverwaltung kรถnnen Benutzern Rechte zuweisen, aber sie kรถnnen nicht entscheiden, welche Rechte Benutzer brauchen. Dazu mรผssen Organisationen im Vorfeld ein Berechtigungskonzept erstellen. Klingt kompliziert, ist in Wahrheit aber einfacher als man denkt: Ein Berechtigungskonzept zu erstellen bedeutet nichts anderes als festzulegen, wer im Unternehmen worauf Zugriff haben soll.

Nehmen wir einen Ordner mit Support-Anfragen als Beispiel: Mitarbeiter aus dem Kundendienst brauchen Zugriff um neue Anliegen einzutragen. Auch Produkt-Manager benรถtigen Einsicht, da die Beschwerden von Kunden Hinweise auf Probleme oder mรถgliche Verbesserungen geben kรถnnen. Anders als bei Benutzern aus dem Support, genรผgen hier aber Leserechte. Andere Unternehmensbereiche benรถtigen keinen Zugriff, etwa HR und Finanz.

In รคhnlicher Weise gilt es nun, fรผr alle Aufgabenbereiche im Unternehmen und alle IT-Ressourcen festzulegen, wer welche Zugriffsrechte braucht. Die aktuell vorhandenen Rechte von Usern kรถnnen als Orientierung dienen, letztlich geben gewachsene Strukturen aber keine klare Auskunft darรผber, ob eine Berechtigung tatsรคchlich notwendig ist. Auch Zugรคnge, an die sich User lรคngst gewรถhnt haben, erfรผllen nicht zwangslรคufig einen Zweck. Ein sicheres und somit minimalistisches Berechtigungskonzept sollte den Status Quo hinterfragen.

IT-Admin beim Erstellen eines Berechtigungskonzepts
Das Berechtigungskonzept verbindet Unternehmensbereiche mit notwendigen Berechtigungen. Adobe Stock, (c) Pakin
2

Berechtigungen bรผndeln und zuweisen

Um die Vergabe von Rechten auf Basis des neu erstellten Berechtigungskonzepts effizienter zu gestalten, gilt es als zweiten Schritt, diese zu bรผndeln und gesammelt zuzuweisen. Das bedeutet zunรคchst, Best Practices wie AGDLP gewissenhaft umzusetzen, um รผber Active Directory Gruppen die rollenbasierte Berechtigungsvergabe in Windows zu implementieren.

Fรผr die weitere Automatisierung sind Admins natรผrlich von den bereitgestellten Funktionen abhรคngig, die die verwendeten Verzeichnisdienste und Geschรคftsanwendungen bieten. In Active Directory und Microsoft 365 ist es etwa mรถglich, Benutzervorlagen fรผr das Anlegen neuer Benutzer zu erstellen. Die Automatisierung der Berechtigungsverwaltung ist allerdings oft an Premium-Features gebunden, etwa im Fall der Microsoft Entra Zugriffspakete.

Ein weiteres Problem: Wer die Berechtigungsverwaltung mit Standard-Werkzeugen automatisieren mรถchte, stรถรŸt spรคtestens bei der Einbindung unterschiedlicher Systeme an Grenzen. Ein neuer Benutzer, der รผber eine AD-Gruppe alle nรถtigen Berechtigungen im Active Directory erhรคlt, muss in Microsoft 365, in der HR-Datenbank und in Geschรคftsprogrammen separat verwaltet werden.

Fรผr die automatische Berechtigungsverwaltung in der gesamten IT braucht es eine geeignete Software-Lรถsung, die รผber Schnittstellen mit den jeweiligen Systemen kommunizieren und die Vergabe von Rechten so zentral steuern kann.

In unserem Beitrag zum Thema finden Sie Tipps zur Auswahl der richtigen Berechtigungsmanagement-Software.

3

Berechtigungen regelmรครŸig prรผfen

Auch wenn sich Admins genau an das erstellte Berechtigungskonzept halten, kรถnnen Benutzer im Laufe der Zeit trotzdem รผberflรผssige Rechte ansammeln. Warum? Weil sich Aufgaben und Strukturen im Unternehmen laufend รคndern. Da Zugriffsrechte die reale Organisationsstruktur eines Betriebs auf IT-Ebene abbilden sollen, genรผgt es nicht, diese nach einem abstrakten Konzept zu vergeben. Es muss auch laufend kontrolliert werden, ob der Bedarf tatsรคchlich noch besteht.

Diese Kontrolle wird auch als Rezertifizierung von Berechtigungen bezeichnet und sollte zum Schutz von Daten und Systemen mindestens alle drei Monate durchgefรผhrt werden. So sehen es mittlerweile auch viele Sicherheitsstandards vor. Da Admins nicht beurteilen kรถnnen, welche Rechte noch benรถtigt werden und welche nicht, mรผssen Unternehmen die unterschiedlichen Fachbereiche eng in diesen Prozess einbinden.

Im Idealfall kรถnnen Verantwortliche aus der jeweiligen Abteilung den Zugriff ihrer Mitarbeiter selbst รผberprรผfen und Rechte รผber eine entsprechende Checkliste je nach Bedarf erneuern oder lรถschen. Da die Rezertifizierung wiederum alle verwendeten Systeme betrifft, empfiehlt sich auch hier eine zentrale Lรถsung. Insbesondere, da das Auslesen der effektiven Rechte ansonsten extrem viel Zeit beansprucht.

Automatische Berechtigungsverwaltung mit Identity und Access Management

Nehmen wir an, ein gewissenhafter IT-Admin recherchiert alle Best Practices fรผr die Berechtigungsvergabe in unterschiedlichen Systemen und mรถchte die Verwaltung von Rechten im Unternehmen nun effizienter gestalten. Selbst fรผr Administratoren, die alle vorhandenen Mรถglichkeiten ausreizen, bleiben drei groรŸe Probleme:

  • Der Aufbau der notwendigen Strukturen wie Berechtigungsgruppen fรผr AGDLP ist initial sehr zeitaufwรคndig, auch wenn das Modell langfristig enorme Vorteile fรผr Sicherheit und Transparenz bedeutet.

  • Ohne geeignete Schnittstellen mรผssen in Business-Anwendungen, Cloud-Diensten und sonstigen Systemen Berechtigungen separat verwaltet werden, was Zeit kostet und Fehler begรผnstigt.

  • Das Reporting von Berechtigungen bleibt mangels geeigneter Werkzeuge ein enorme Hรผrde, die die langfristige Kontrolle von Rechten nahezu unmรถglich macht.

Um die Berechtigungsverwaltung langfristig und nachhaltig fรผr alle IT-Bereiche zu automatisieren, braucht es die passende Software, die all diese Probleme lรถst. Die Identity und Access Management Lรถsung tenfold leistet genau das:

  • tenfold erstellt benรถtigte Gruppen automatisch anhand gรคngiger Best Practices und der zuvor definierten Rollen. Der Installations-Assistent unterstรผtzt Sie sogar beim Anlegen von Rollen und der Auswahl von Rechten.

  • รœber eine Reihe an Schnittstellen automatisiert tenfold das Berechtigungsmanagment in lokalen Microsoft-Systemen, der Microsoft Cloud und in Third-Party Anwendungen.

  • Das รผbersichtliche Reporting von tenfold fasst die effektiven Rechte auf Benutzer- und Dateiebene auf einen Blick zusammen. Sogar die Rezertifizierung von Rechten lรคsst sich รผber das User Access Review Feature automatisieren.

Sie mรถchten mehr รผber tenfold erfahren? In unserem Feature-รœberblick sehen sie die wichtigsten Funktionen im Einsatz. Oder melden Sie sich direkt fรผr einen kostenlosen Test an, um sich selbst von den Vorteilen von tenfold zu รผberzeugen!

tenfold Produkt-Demo

So gelingt die automatische Berechtigungsverwaltung mit tenfold

Verfasst von: Joe Kรถller

Als tenfolds Content Manager verantwortet Joe Kรถller den IAM Blog, wo er Themen rund um Compliance, Cybersecurity und digitale Identitรคten tiefgehend beleuchtet. Komplexe Materie verstรคndlich zu erklรคren ist sein oberstes Ziel, egal, ob es um gesetzliche Regelwerke oder technische Hintergrรผnde der Zugriffssteuerung geht. Vor seiner Rolle bei tenfold hat Joe viele Jahre รผber Games und digitale Medien berichtet.