Sicherheitsrisiko Referenzbenutzer (IT-Security)

Referenzbenutzer kopieren bedeutet Risiko

 

Gängige Praxis

Alle kennen es – im täglichen Leben ist es oft gängige Praxis, sehr zum Leid der IT-Security: das Kopieren der sogenannten Referenzbenutzer im Rahmen der Benutzer- und Berechtigungsverwaltung (Identity & Access Management). Wie läuft es ab? Der Administrator soll einen neuen Benutzer in einer bestimmten Abteilung und/oder einem bestimmten Standort des Unternehmens anlegen. Die konkrete Anforderung an das Berechtigungsmanagement lautet häufig: „Der neue Kollege macht genau das gleiche wie Herr Mustermann“. Der scheinbar einfachste Weg dies zu erreichen ist es, das Active Directory® Konto und das SAP® Konto, sowie alle anderen Konten, von Hr. Mustermann einfach zu kopieren (Referenzbenutzer ist somit angelegt) und lediglich die personenbezogenen Daten anzupassen. Der Account ist schnell bereitgestellt und alle sind fürs Erste scheinbar glücklich.

Problematische AbläufeSicherheitsrisiko Referenzbenutzer

Was hierbei jedoch oft übersehen – oder zwangsweise in Kauf genommen – wird ist, dass man durch das Kopieren nicht nur die aktuellen Abteilungsberechtigungen des Benutzers kopiert. Ganz im Gegenteil: Es wird unter Umständen die gesamte Karriere des Mitarbeiters in Berechtigungsform auf einen neuen Kollegen transferiert. Das bedeutet, dass häufig neue Mitarbeiter initial mit Berechtigungen in mehreren Abteilungen, Niederlassungen und Projekten ausgestattet sind – für das Berechtigungsmanagement im Sinne der IT-Security ein Alptraum. IT-Security Manager bestätigen: Je länger diese Praxis eingesetzt wird, desto chaotischer wird die Berechtigungslage, da entsprechende Skaleneffekte eintreten. Hinsichtlich der Compliance sind die Auditoren hellhörig auf diese Problematik geworden und stehen ihr aus gutem Grund zunehmend kritischer gegenüber.
Mit tenfold kann man für dieses Problem jedoch sehr unkompliziert Abhilfe schaffen: durch die Verwendung sogenannter Berechtigungsprofile oder Berechtigungsvorlagen. Damit lassen sich einfach alle für einen bestimmten Bereich (eine Abteilung, eine Position, ein Projekt) benötigten Berechtigungen (quer durch alle Systeme, von Active Directory® bis SAP® oder selbst entwickelten Datenbankanwendungen) zu einem globalen Profil zusammenfassen.

Abhilfe durch Profile

Diese Profile können anschließend über entsprechende Genehmigungsworkflows manuell vergeben werden oder über ein Regel-Set automatisch durch tenfold zugewiesen werden.
Das bedeutet, dass tenfold Mitarbeiter automatisch mit bestimmten Basisberechtigungen ausstatten kann, wenn Sie in der jeweilig dafür vorgesehenen Organisationseinheit tätig werden. Doch das ist bekanntlich nur die halbe Miete, denn dem Mitarbeiter müssen die nicht mehr benötigten Berechtigungen aus der alten Organisationseinheit zusätzlich noch entzogen werden. tenfold erledigt aber auch dies – und zwar sogar mit der Option, die Berechtigungen zeitverzögert zu entziehen, so dass der Mitarbeiter die Möglichkeit hat, für einen Übergangszeitraum in seiner Abteilung Tätigkeiten abzuschließen, Kollegen zu unterstützen und so weiter. Wie alles in tenfold, sind auch diese Vorgänge lückenlos und revisionssicher dokumentiert – Sie müssen sich keine Gedanken mehr über die manuelle Dokumentation in E-Mails oder Ticket-Systemen machen.

Interessiert Ihre IT-Security zu erhöhen?

Wenn Sie interessiert sind, wie tenfold dieses Problem in der Praxis löst, dann vereinbaren Sie doch einfach einen Webcast mit uns oder testen Sie tenfold in Ihrer eigenen Umgebung:
https://www.tenfold-security.com/testen/

By |2018-04-23T12:24:50+00:0027 / 10 / 2015|BLOG|

About the Author:

Helmut Semmelmayer
Helmut Semmelmayer ist Senior Manager Channel Sales beim Software-Hersteller tenfold. Er gilt als Visionär im Bereich Benutzer- und Berechtigungsmanagement sowie Identity- und Access Management. Unzählige Kundenprojekte und entsprechende Marktkenntnis in der IT-Security zeichnen den diplomierten IT-Profi aus. Er war maßgebend an der Entstehung des Standard-Software-Produkts tenfold beteiligt. // Helmut Semmelmayer is Senior Channel Sales Manager at tenfold. He is considered a visionary in the fields of user and permission management and identity and access management. The certified IT expert looks back at countless client projects and has extensive knowledge of the IT security market. He was significantly involved in the development of the standard software product tenfold.