Berechtigungsverwaltung: Zugriffsrechte erfolgreich managen

Die Verwaltung von Berechtigungen ist eine der Kernaufgaben in der IT-Administration. Rechte müssen zielsicher vergeben werden, damit Benutzer an alle von benötigten Ressourcen kommen und sensible Daten gleichzeitig vor unerwünschten Zugriffen geschützt bleiben – egal ob es sich dabei um neugierige Kollegen, Gast-Accounts oder Cyberkriminelle handelt. In diesem Beitrag erfahren Sie, worauf es bei der Berechtigungsverwaltung ankommt und wie Admins die Berechtigungsverwaltung automatisieren und wertvolle Zeit sparen können.

Berechtigungsverwaltung – was ist das genau?

Einfach erklärt versteht man unter Berechtigungsverwaltung alle administrativen Aufgaben, die in Unternehmen rund um IT-Berechtigungen anfallen. Dazu gehört eine Vielzahl an Arbeitsschritten, die Admins laufend und in allen verknüpften Systemen durchführen müssen. Die Berechtigungsverwaltung lässt sich in drei Bereiche aufteilen:

  • Die initiale Berechtigungsvergabe (Provisionierung): Neue Benutzer müssen mit allen notwendigen Rechten ausgestattet werden, um ihrer Arbeit nachgehen zu können.

  • Die laufende Anpassung von Berechtigungen: Da sich die Aufgaben von Mitarbeitern laufend ändern, benötigen diese für neue Anwendungen, Arbeitsbereiche oder Projekte immer wieder zusätzliche Rechte. Zudem müssen nach dem Wechsel der Abteilung oder dem Abgang aus dem Unternehmen nicht mehr benötigte Rechte entfernt werden.

  • Das Berechtigungsreporting: Um Missstände erkennen und beheben zu können, ist auch das Auslesen von Berechtigungen für eine erfolgreiche Rechteverwaltung von zentraler Bedeutung. Da Standard-Werkzeuge wie die Bordmittel von Microsoft hier meist sehr eingeschränkt sind, ist dies keine triviale Aufgabe.

Die Verwaltung von Berechtigungen betrifft prinzipiell alle Anwendungen, die unterschiedliche Berechtigungsstufen bereitstellen. Zum Beispiel eine Software für die Buchrechnung, in der normale Anwender Transaktionen eintragen, aber nur Manager große Summen freigeben können.

Aufgrund seiner zentralen Rolle für IT-Abteilungen weltweit assoziieren die meisten Administratoren den Begriff Berechtigungsverwaltung jedoch in erster Linie mit den Berechtigungen in Windows-Systemen: Active Directory Berechtigungen, NTFS Berechtigungen und Freigabeberechtigungen im Fileserver, Exchange Postfach Berechtigungen, SharePoint Berechtigungen und so weiter.

Wie funktioniert Berechtigungsverwaltung?

In Microsoft Umgebungen, die auf Active Directory bzw. Azure Active Directory aufbauen, werden Berechtigungen über die sogenannte Access Control List (ACL) abgebildet. Jedes verwaltete Objekt verfügt über eine solche Liste. Darin sind die Security Identifier (SIDs) von Usern und die damit verbundenen Rechte eingetragen.

Damit der Administrator die Berechtigungen nicht für jedes Objekt einzeln festlegen müssen, wird die ACL im Normalfall auf Unterobjekte vererbt (z.B. Unterordner und -Dateien). Falls nicht anders festgelegt, sorgt die Vererbung von Berechtigungen dafür, dass Benutzer in Unterordnern dieselben Rechte erhalten, wie in jenem Ordner, für den eine explizite Berechtigung zugewiesen wurde.

Da es im Arbeitsalltag extrem aufwändig wäre, jeden User einzeln zu jeder benötigten Ressource hinzuzufügen, hat es sich als Best Practice etabliert, Benutzer-Gruppen für die Berechtigungsverwaltung zu verwenden: Benutzer mit der gleichen Geschäftsrolle (also dem gleichen Aufgabenbereich) werden zu einer Organisationsgruppe hinzugefügt, die über die Mitgliedschaft in Berechtigungsgruppen alle notwendigen Rechte erhält. So sieht es das AGDLP-Prinzip von Microsoft vor.

Das Problem mit direkten Berechtigungen: Anders als Gruppenmitgliedschaften scheinen diese nicht in den Eigenschaften eines Benutzers auf, sondern nur in den Einstellungen des jeweiligen Ordner. Bei tausenden von Verzeichnissen macht das das Nachvollziehen von Rechten praktisch unmöglich: Einmal vergeben findet man eine direkte Berechtigung niemals wieder.

Whitepaper

Best Practices für die Berechtigungsverwaltung in Microsoft Umgebungen

Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.

Berechtigungsverwaltung: Sicherheit vs. ungestörtes Arbeiten?

Wenn Endanwender mit IT-Berechtigungen in Berührung kommen, werden diese oft als Hindernis erlebt: Ein Ordner verweigert den Zugriff, es fehlt die Lizenz für ein benötigtes Programm, etc. So kommt des Öfteren die Frage auf, ob es nicht sinnvoll wäre, Berechtigungen möglichst liberal zu konfigurieren.

Die Vorstellung sieht so aus: Mit wenigen Ausnahmen erhalten Benutzer Zugang zu allen Systemen und können deshalb ungehindert arbeiten, ohne sich bei neuen Aufgaben oder Projekten erst bei der IT melden zu müssen. Manch ein Administrator gibt diesem Druck tatsächlich nach, so dass Benutzer umfassende und nicht benötigte Privilegien “auf Verdacht” erhalten. Nur für den Fall, dass sie diese später einmal brauchen.

Büro-Angestellter hinter riesigem Ordner-Stapel auf Schreibtisch
Achtung: Sicherheitsrisiko. Brauchen Mitarbeiter wirklich Zugriff auf so viele Ordner? Adobe Stock, (c) contrastwerkstatt

Achtung, Alarmstufe rot: In puncto Sicherheit ist die Vergabe nicht benötigter Rechte eine Katastrophe. Einerseits öffnen Unternehmen so Tür und Tor für Datendiebstahl durch Mitarbeiter, also das unerlaubte Kopieren und Mitnehmen von geschäftskritischen Informationen. Dazu kommt es häufiger, als man denkt: Die Gefahr von Insider Threats wird in vielen Firmen unterschätzt.

Andererseits haben bei diesem Vorgehen auch Hacker leichtes Spiel: Kapern Cyberkriminelle das Konto eines Angestellten, erhalten Sie Zugriff auf alle dafür freigebenen Systeme. Ob es sich dabei um einen kleinen Teilbereich oder das komplette Firmennetzwerk handelt, macht bei Ransomware & Co. einen großen Unterschied. Nicht umsonst sehen Best Practices der IT-Security wie Least Privilege und Zero Trust vor, die Rechte von Usern auf ein notwendiges Minimum zu beschränken.

Nicht zuletzt ist die Beschränkung von Zugriffsrechten auch ein rechtliches Thema, etwa rund um die DSGVO, die KRITIS-Verordnung oder Sicherheitsstandards wie ISO 27001.

Berechtigungsverwaltung per Self-Service: Kurze Wege, keine Tickets

Auch wenn überbordende Rechte aus Sicherheitsgründen keine Option darstellen, sollten Organisationen das zugrundeliegende Problem nicht ignorieren, das User durch das Horden von Berechtigungen umgehen wollen: Die Berechtigungsvergabe durch die IT macht das Anfordern neuer Rechte zu einem lästigen und zeitaufwändigen Prozess. Bis im Detail geklärt ist, wer welche Berechtigungen in welchen Systemen für wie lange erhalten soll, braucht es einige E-Mails oder Anrufe.

Das Problem liegt hier letztlich in der Tatsache, dass IT-Administratoren zwar die Rechtevergabe kontrollieren, aber die Anforderungen der unterschiedlichen Abteilungen nicht kennen. Diese Distanz zu den eigentlichen Anwendern macht komplizierte Abstimmungsprozesse erforderlich. Doch es gibt eine Lösung: Der Weg zu benötigten Freigaben lässt sich erheblich kürzen, indem man Benutzern die Möglichkeit, neue Rechte über ein Self-Service-Menü anzufordern. So können Fachbereichsleiter benötigte Zugriffe direkt freigeben, ohne Umweg über den Admin. Für die korrekte Vergabe und Dokumentation sorgt die jeweilige Software im Hintergrund.

Berechtigungsverwaltung automatisieren: Schritt für Schritt

Bedenkt man, wie viel Arbeitszeit eines Admins in die Vergabe und Anpassung von Berechtigungen fließt, ist die Suche nach einer Lösung für die automatische Berechtigungverwaltung mehr als nachvollziehbar. Tatsächlich gibt es einige Möglichkeiten, wie sich Administratoren hier die Arbeit erleichtern können, sowohl was frei zugängliche Features als auch eigene Software für Berechtigungsverwaltung betrifft.

Da sich IT-Rechte nach den Anforderungen und der Organisationsstruktur des Unternehmens richten müssen, lässt sich das Problem der Berechtigungsverwaltung aber nicht auf rein technischer Ebene lösen. Im Folgenden erfahren Sie, welche Schritte notwendig sind, um die Vergabe, Anpassung und Kontrolle von Berechtigungen zu automatisieren.

1

Berechtigungskonzept erstellen

Systeme für die automatische Berechtigungsverwaltung können Benutzern Rechte zuweisen, aber sie können nicht entscheiden, welche Rechte Benutzer brauchen. Dazu müssen Organisationen im Vorfeld ein Berechtigungskonzept erstellen. Klingt kompliziert, ist in Wahrheit aber einfacher als man denkt: Ein Berechtigungskonzept zu erstellen bedeutet nichts anderes als festzulegen, wer im Unternehmen worauf Zugriff haben soll.

Nehmen wir einen Ordner mit Support-Anfragen als Beispiel: Mitarbeiter aus dem Kundendienst brauchen Zugriff um neue Anliegen einzutragen. Auch Produkt-Manager benötigen Einsicht, da die Beschwerden von Kunden Hinweise auf Probleme oder mögliche Verbesserungen geben können. Anders als bei Benutzern aus dem Support, genügen hier aber Leserechte. Andere Unternehmensbereiche benötigen keinen Zugriff, etwa HR und Finanz.

In ähnlicher Weise gilt es nun, für alle Aufgabenbereiche im Unternehmen und alle IT-Ressourcen festzulegen, wer welche Zugriffsrechte braucht. Die aktuell vorhandenen Rechte von Usern können als Orientierung dienen, letztlich geben gewachsene Strukturen aber keine klare Auskunft darüber, ob eine Berechtigung tatsächlich notwendig ist. Auch Zugänge, an die sich User längst gewöhnt haben, erfüllen nicht zwangsläufig einen Zweck. Ein sicheres und somit minimalistisches Berechtigungskonzept sollte den Status Quo hinterfragen.

IT-Admin beim Erstellen eines Berechtigungskonzepts
Das Berechtigungskonzept verbindet Unternehmensbereiche mit notwendigen Berechtigungen. Adobe Stock, (c) Pakin
2

Berechtigungen bündeln und zuweisen

Um die Vergabe von Rechten auf Basis des neu erstellten Berechtigungskonzepts effizienter zu gestalten, gilt es als zweiten Schritt, diese zu bündeln und gesammelt zuzuweisen. Das bedeutet zunächst, Best Practices wie AGDLP gewissenhaft umzusetzen, um über Active Directory Gruppen die rollenbasierte Berechtigungsvergabe in Windows zu implementieren.

Für die weitere Automatisierung sind Admins natürlich von den bereitgestellten Funktionen abhängig, die die verwendeten Verzeichnisdienste und Geschäftsanwendungen bieten. In Active Directory und Microsoft 365 ist es etwa möglich, Benutzervorlagen für das Anlegen neuer Benutzer zu erstellen. Die Automatisierung der Berechtigungsverwaltung ist allerdings oft an Premium-Features gebunden, etwa im Fall der Microsoft Entra Zugriffspakete.

Ein weiteres Problem: Wer die Berechtigungsverwaltung mit Standard-Werkzeugen automatisieren möchte, stößt spätestens bei der Einbindung unterschiedlicher Systeme an Grenzen. Ein neuer Benutzer, der über eine AD-Gruppe alle nötigen Berechtigungen im Active Directory erhält, muss in Microsoft 365, in der HR-Datenbank und in Geschäftsprogrammen separat verwaltet werden.

Für die automatische Berechtigungsverwaltung in der gesamten IT braucht es eine geeignete Software-Lösung, die über Schnittstellen mit den jeweiligen Systemen kommunizieren und die Vergabe von Rechten so zentral steuern kann.

In unserem Beitrag zum Thema finden Sie Tipps zur Auswahl der richtigen Berechtigungsmanagement-Software.

3

Berechtigungen regelmäßig prüfen

Auch wenn sich Admins genau an das erstellte Berechtigungskonzept halten, können Benutzer im Laufe der Zeit trotzdem überflüssige Rechte ansammeln. Warum? Weil sich Aufgaben und Strukturen im Unternehmen laufend ändern. Da Zugriffsrechte die reale Organisationsstruktur eines Betriebs auf IT-Ebene abbilden sollen, genügt es nicht, diese nach einem abstrakten Konzept zu vergeben. Es muss auch laufend kontrolliert werden, ob der Bedarf tatsächlich noch besteht.

Diese Kontrolle wird auch als Rezertifizierung von Berechtigungen bezeichnet und sollte zum Schutz von Daten und Systemen mindestens alle drei Monate durchgeführt werden. So sehen es mittlerweile auch viele Sicherheitsstandards vor. Da Admins nicht beurteilen können, welche Rechte noch benötigt werden und welche nicht, müssen Unternehmen die unterschiedlichen Fachbereiche eng in diesen Prozess einbinden.

Im Idealfall können Verantwortliche aus der jeweiligen Abteilung den Zugriff ihrer Mitarbeiter selbst überprüfen und Rechte über eine entsprechende Checkliste je nach Bedarf erneuern oder löschen. Da die Rezertifizierung wiederum alle verwendeten Systeme betrifft, empfiehlt sich auch hier eine zentrale Lösung. Insbesondere, da das Auslesen der effektiven Rechte ansonsten extrem viel Zeit beansprucht.

Automatische Berechtigungsverwaltung mit Identity und Access Management

Nehmen wir an, ein gewissenhafter IT-Admin recherchiert alle Best Practices für die Berechtigungsvergabe in unterschiedlichen Systemen und möchte die Verwaltung von Rechten im Unternehmen nun effizienter gestalten. Selbst für Administratoren, die alle vorhandenen Möglichkeiten ausreizen, bleiben drei große Probleme:

  • Der Aufbau der notwendigen Strukturen wie Berechtigungsgruppen für AGDLP ist initial sehr zeitaufwändig, auch wenn das Modell langfristig enorme Vorteile für Sicherheit und Transparenz bedeutet.

  • Ohne geeignete Schnittstellen müssen in Business-Anwendungen, Cloud-Diensten und sonstigen Systemen Berechtigungen separat verwaltet werden, was Zeit kostet und Fehler begünstigt.

  • Das Reporting von Berechtigungen bleibt mangels geeigneter Werkzeuge ein enorme Hürde, die die langfristige Kontrolle von Rechten nahezu unmöglich macht.

Um die Berechtigungsverwaltung langfristig und nachhaltig für alle IT-Bereiche zu automatisieren, braucht es die passende Software, die all diese Probleme löst. Die Identity und Access Management Lösung tenfold leistet genau das:

  • tenfold erstellt benötigte Gruppen automatisch anhand gängiger Best Practices und der zuvor definierten Rollen. Der Installations-Assistent unterstützt Sie sogar beim Anlegen von Rollen und der Auswahl von Rechten.

  • Über eine Reihe an Schnittstellen automatisiert tenfold das Berechtigungsmanagment in lokalen Microsoft-Systemen, der Microsoft Cloud und in Third-Party Anwendungen.

  • Das übersichtliche Reporting von tenfold fasst die effektiven Rechte auf Benutzer- und Dateiebene auf einen Blick zusammen. Sogar die Rezertifizierung von Rechten lässt sich über das User Access Review Feature automatisieren.

Sie möchten mehr über tenfold erfahren? In unserem Feature-Überblick sehen sie die wichtigsten Funktionen im Einsatz. Oder melden Sie sich direkt für einen kostenlosen Test an, um sich selbst von den Vorteilen von tenfold zu überzeugen!

tenfold Produkt-Demo

So gelingt die automatische Berechtigungsverwaltung mit tenfold

Verfasst von: Joe Köller

Joe Köller ist Content Manager bei tenfold und beschäftigt sich auf diesem Blog mit Themen wie Compliance, IT-Sicherheit und Access Management. Außerdem zählen digitale Medien, amerikanische Literatur und das Gärtnern zu seinen Leidenschaften.