Berechtigungsverwaltung: Zugriffsrechte erfolgreich managen

Einfach erklärt versteht man unter Berechtigungsverwaltung alle administrativen Aufgaben, die in Unternehmen rund um IT-Berechtigungen anfallen. Dazu gehört eine Vielzahl an Arbeitsschritten, die Admins laufend und in allen verknüpften Systemen durchführen müssen. Die Berechtigungsverwaltung lässt sich in drei Bereiche aufteilen:

Die Verwaltung von Berechtigungen betrifft prinzipiell alle Anwendungen, die unterschiedliche Berechtigungsstufen bereitstellen. Zum Beispiel eine Software für die Buchrechnung, in der normale Anwender Transaktionen eintragen, aber nur Manager große Summen freigeben können.

Aufgrund seiner zentralen Rolle für IT-Abteilungen weltweit assoziieren die meisten Administratoren den Begriff Berechtigungsverwaltung jedoch in erster Linie mit den Berechtigungen in Windows-Systemen: Active Directory Berechtigungen, NTFS Berechtigungen und Freigabeberechtigungen im Fileserver, Exchange Postfach Berechtigungen, SharePoint Berechtigungen und so weiter.

In Microsoft Umgebungen, die auf Active Directory bzw. Azure Active Directory aufbauen, werden Berechtigungen über die sogenannte Access Control List (ACL) abgebildet. Jedes verwaltete Objekt verfügt über eine solche Liste. Darin sind die Security Identifier (SIDs) von Usern und die damit verbundenen Rechte eingetragen.

Damit der Administrator die Berechtigungen nicht für jedes Objekt einzeln festlegen müssen, wird die ACL im Normalfall auf Unterobjekte vererbt (z.B. Unterordner und -Dateien). Falls nicht anders festgelegt, sorgt die Vererbung von Berechtigungen dafür, dass Benutzer in Unterordnern dieselben Rechte erhalten, wie in jenem Ordner, für den eine explizite Berechtigung zugewiesen wurde.

Da es im Arbeitsalltag extrem aufwändig wäre, jeden User einzeln zu jeder benötigten Ressource hinzuzufügen, hat es sich als Best Practice etabliert, Benutzer-Gruppen für die Berechtigungsverwaltung zu verwenden: Benutzer mit der gleichen Geschäftsrolle (also dem gleichen Aufgabenbereich) werden zu einer Organisationsgruppe hinzugefügt, die über die Mitgliedschaft in Berechtigungsgruppen alle notwendigen Rechte erhält. So sieht es das AGDLP-Prinzip von Microsoft vor.

Wenn Endanwender mit IT-Berechtigungen in Berührung kommen, werden diese oft als Hindernis erlebt: Ein Ordner verweigert den Zugriff, es fehlt die Lizenz für ein benötigtes Programm, etc. So kommt des Öfteren die Frage auf, ob es nicht sinnvoll wäre, Berechtigungen möglichst liberal zu konfigurieren.

Die Vorstellung sieht so aus: Mit wenigen Ausnahmen erhalten Benutzer Zugang zu allen Systemen und können deshalb ungehindert arbeiten, ohne sich bei neuen Aufgaben oder Projekten erst bei der IT melden zu müssen. Manch ein Administrator gibt diesem Druck tatsächlich nach, so dass Benutzer umfassende und nicht benötigte Privilegien “auf Verdacht” erhalten. Nur für den Fall, dass sie diese später einmal brauchen.

Achtung, Alarmstufe rot: In puncto Sicherheit ist die Vergabe nicht benötigter Rechte eine Katastrophe. Einerseits öffnen Unternehmen so Tür und Tor für Datendiebstahl durch Mitarbeiter, also das unerlaubte Kopieren und Mitnehmen von geschäftskritischen Informationen. Dazu kommt es häufiger, als man denkt: Die Gefahr von Insider Threats wird in vielen Firmen unterschätzt.

Andererseits haben bei diesem Vorgehen auch Hacker leichtes Spiel: Kapern Cyberkriminelle das Konto eines Angestellten, erhalten Sie Zugriff auf alle dafür freigebenen Systeme. Ob es sich dabei um einen kleinen Teilbereich oder das komplette Firmennetzwerk handelt, macht bei Ransomware & Co. einen großen Unterschied. Nicht umsonst sehen Best Practices der IT-Security wie Least Privilege und Zero Trust vor, die Rechte von Usern auf ein notwendiges Minimum zu beschränken.

Auch wenn überbordende Rechte aus Sicherheitsgründen keine Option darstellen, sollten Organisationen das zugrundeliegende Problem nicht ignorieren, das User durch das Horden von Berechtigungen umgehen wollen: Die Berechtigungsvergabe durch die IT macht das Anfordern neuer Rechte zu einem lästigen und zeitaufwändigen Prozess. Bis im Detail geklärt ist, wer welche Berechtigungen in welchen Systemen für wie lange erhalten soll, braucht es einige E-Mails oder Anrufe.

Das Problem liegt hier letztlich in der Tatsache, dass IT-Administratoren zwar die Rechtevergabe kontrollieren, aber die Anforderungen der unterschiedlichen Abteilungen nicht kennen. Diese Distanz zu den eigentlichen Anwendern macht komplizierte Abstimmungsprozesse erforderlich. Doch es gibt eine Lösung: Der Weg zu benötigten Freigaben lässt sich erheblich kürzen, indem man Benutzern die Möglichkeit, neue Rechte über ein Self-Service-Menü anzufordern. So können Fachbereichsleiter benötigte Zugriffe direkt freigeben, ohne Umweg über den Admin. Für die korrekte Vergabe und Dokumentation sorgt die jeweilige Software im Hintergrund.

Bedenkt man, wie viel Arbeitszeit eines Admins in die Vergabe und Anpassung von Berechtigungen fließt, ist die Suche nach einer Lösung für die automatische Berechtigungverwaltung mehr als nachvollziehbar. Tatsächlich gibt es einige Möglichkeiten, wie sich Administratoren hier die Arbeit erleichtern können, sowohl was frei zugängliche Features als auch eigene Software für Berechtigungsverwaltung betrifft.

Da sich IT-Rechte nach den Anforderungen und der Organisationsstruktur des Unternehmens richten müssen, lässt sich das Problem der Berechtigungsverwaltung aber nicht auf rein technischer Ebene lösen. Im Folgenden erfahren Sie, welche Schritte notwendig sind, um die Vergabe, Anpassung und Kontrolle von Berechtigungen zu automatisieren.

Systeme für die automatische Berechtigungsverwaltung können Benutzern Rechte zuweisen, aber sie können nicht entscheiden, welche Rechte Benutzer brauchen. Dazu müssen Organisationen im Vorfeld ein Berechtigungskonzept erstellen. Klingt kompliziert, ist in Wahrheit aber einfacher als man denkt: Ein Berechtigungskonzept zu erstellen bedeutet nichts anderes als festzulegen, wer im Unternehmen worauf Zugriff haben soll.

Nehmen wir einen Ordner mit Support-Anfragen als Beispiel: Mitarbeiter aus dem Kundendienst brauchen Zugriff um neue Anliegen einzutragen. Auch Produkt-Manager benötigen Einsicht, da die Beschwerden von Kunden Hinweise auf Probleme oder mögliche Verbesserungen geben können. Anders als bei Benutzern aus dem Support, genügen hier aber Leserechte. Andere Unternehmensbereiche benötigen keinen Zugriff, etwa HR und Finanz.

In ähnlicher Weise gilt es nun, für alle Aufgabenbereiche im Unternehmen und alle IT-Ressourcen festzulegen, wer welche Zugriffsrechte braucht. Die aktuell vorhandenen Rechte von Usern können als Orientierung dienen, letztlich geben gewachsene Strukturen aber keine klare Auskunft darüber, ob eine Berechtigung tatsächlich notwendig ist. Auch Zugänge, an die sich User längst gewöhnt haben, erfüllen nicht zwangsläufig einen Zweck. Ein sicheres und somit minimalistisches Berechtigungskonzept sollte den Status Quo hinterfragen.

Um die Vergabe von Rechten auf Basis des neu erstellten Berechtigungskonzepts effizienter zu gestalten, gilt es als zweiten Schritt, diese zu bündeln und gesammelt zuzuweisen. Das bedeutet zunächst, Best Practices wie AGDLP gewissenhaft umzusetzen, um über Active Directory Gruppen die rollenbasierte Berechtigungsvergabe in Windows zu implementieren.

Für die weitere Automatisierung sind Admins natürlich von den bereitgestellten Funktionen abhängig, die die verwendeten Verzeichnisdienste und Geschäftsanwendungen bieten. In Active Directory und Microsoft 365 ist es etwa möglich, Benutzervorlagen für das Anlegen neuer Benutzer zu erstellen. Die Automatisierung der Berechtigungsverwaltung ist allerdings oft an Premium-Features gebunden, etwa im Fall der Microsoft Entra Zugriffspakete.

Ein weiteres Problem: Wer die Berechtigungsverwaltung mit Standard-Werkzeugen automatisieren möchte, stößt spätestens bei der Einbindung unterschiedlicher Systeme an Grenzen. Ein neuer Benutzer, der über eine AD-Gruppe alle nötigen Berechtigungen im Active Directory erhält, muss in Microsoft 365, in der HR-Datenbank und in Geschäftsprogrammen separat verwaltet werden.

Für die automatische Berechtigungsverwaltung in der gesamten IT braucht es eine geeignete Software-Lösung, die über Schnittstellen mit den jeweiligen Systemen kommunizieren und die Vergabe von Rechten so zentral steuern kann.

Auch wenn sich Admins genau an das erstellte Berechtigungskonzept halten, können Benutzer im Laufe der Zeit trotzdem überflüssige Rechte ansammeln. Warum? Weil sich Aufgaben und Strukturen im Unternehmen laufend ändern. Da Zugriffsrechte die reale Organisationsstruktur eines Betriebs auf IT-Ebene abbilden sollen, genügt es nicht, diese nach einem abstrakten Konzept zu vergeben. Es muss auch laufend kontrolliert werden, ob der Bedarf tatsächlich noch besteht.

Diese Kontrolle wird auch als Rezertifizierung von Berechtigungen bezeichnet und sollte zum Schutz von Daten und Systemen mindestens alle drei Monate durchgeführt werden. So sehen es mittlerweile auch viele Sicherheitsstandards vor. Da Admins nicht beurteilen können, welche Rechte noch benötigt werden und welche nicht, müssen Unternehmen die unterschiedlichen Fachbereiche eng in diesen Prozess einbinden.

Im Idealfall können Verantwortliche aus der jeweiligen Abteilung den Zugriff ihrer Mitarbeiter selbst überprüfen und Rechte über eine entsprechende Checkliste je nach Bedarf erneuern oder löschen. Da die Rezertifizierung wiederum alle verwendeten Systeme betrifft, empfiehlt sich auch hier eine zentrale Lösung. Insbesondere, da das Auslesen der effektiven Rechte ansonsten extrem viel Zeit beansprucht.

Nehmen wir an, ein gewissenhafter IT-Admin recherchiert alle Best Practices für die Berechtigungsvergabe in unterschiedlichen Systemen und möchte die Verwaltung von Rechten im Unternehmen nun effizienter gestalten. Selbst für Administratoren, die alle vorhandenen Möglichkeiten ausreizen, bleiben drei große Probleme:

Um die Berechtigungsverwaltung langfristig und nachhaltig für alle IT-Bereiche zu automatisieren, braucht es die passende Software, die all diese Probleme löst. Die Identity und Access Management Lösung tenfold leistet genau das:

Sie möchten mehr über tenfold erfahren? In unserem Feature-Überblick sehen sie die wichtigsten Funktionen im Einsatz. Oder melden Sie sich direkt für einen kostenlosen Test an, um sich selbst von den Vorteilen von tenfold zu überzeugen!