Rezertifizierung von Berechtigungen โ Bedeutung, Ablauf und Best Practices
Rezertifizierung bezeichnet die regelmรครige Kontrolle der Zugriffsrechte innerhalb einer Organisation, um Sicherheitsvorfรคllen und Datenschutzverletzungen vorzubeugen. Ein Audit der aktuellen Berechtigungen verhindert, dass Benutzer auf IT-Ressourcen zugreifen kรถnnen, die sie nicht bzw. nicht mehr fรผr ihre Arbeit benรถtigen. In diesem Beitrag sehen wir uns an, wie Unternehmen die Rezertifizierung von Berechtigungen durch eine Identity und Access Management Lรถsung schnell und effektiv abwickeln kรถnnen.
Rezertifizierung โ was ist das?
Bei einer Rezertifizierung werden IT-Berechtigungen auf Aktualitรคt geprรผft und nicht (mehr) benรถtigte Rechte entfernt. Diese รberprรผfung dient dem Schutz sensibler Informationen vor unberechtigten Zugriffen โ sowohl durch Insider Threats als auch im Fall eines Cyberangriffs. Die regelmรครige Kontrolle sรคmtlicher Berechtigungen wird auch als User Access Review oder Privilege Audit bezeichnet, zรคhlt zu den Best Practices der Informationssicherheit, trรคgt zur Einhaltung des Least Privilege Prinzips bei und wird von zahlreichen Sicherheitsstandards vorgeschrieben, etwa BAIT, NIST CSF und der KRITIS Verordnung.
Das hat auch einen guten Grund: Veraltete Berechtigungen รถffnen Tรผr und Tor fรผr Datenpannen, Datenlecks und sogar Datendiebstahl durch Mitarbeiter. Dennoch nehmen es viele Firmen bei der Kontrolle von Zugriffsrechten nicht so genau. Hand aufโs Herz: Wann haben Sie das letzte Mal รผberprรผft, ob jemand in Ihrem Unternehmen Zugriff auf Daten hat, die er oder sie eigentlich nicht haben sollte? Ziemlich lange her, oder? Fรผr Firmen, die Zugriffsrechte manuell verwalten, stellt die Rezertifizierung eine enorme logistische Herausforderung dar.
Zum Glรผck gibt es einen einfacheren Weg: Mit der IAM-Lรถsung tenfold lรคsst sich die Rezertifizierung schnell und einfach abwickeln. In tenfold werden zuvor definierte Dateneigentรผmer รผber automatische Benachrichtigungen in regelmรครigen Intervallen dazu aufgefordert, Berechtigungen in ihrem Zustรคndigkeitsbereich entweder zu bestรคtigen oder zu entfernen. So kรถnnen veraltete Zugriffsberechtigungen mit nur einem Klick entfernt werden.
Achtung: Der Begriff Rezertifizierung wird auch fรผr externe Kontroll-Audits, wie z.B. bei der Zertifizierung nach ISO 27001, verwendet.
Warum ist die Rezertifizierung so wichtig?
Kennen Sie das Sinnbild von dem Auszubildenden, der nach drei Jahren in einer Firma mehr Berechtigungen hat als der Vorstand? Darin steckt viel Wahrheit, denn wรคhrend es fรผr die Vergabe von Zugriffsberechtigungen meist einen strukturierten Prozess gibt, wird das Entfernen veralteter Rechte in vielen Unternehmen vergessen. Abteilungswechsel, Firmen-Austritte und die Vergabe von Sonderrechten, die nirgends vollstรคndig dokumentiert werden, mรผnden letztlich in einer chaotischen Berechtigungslandschaft. Man spricht auch vom sog. Privilege Creep.
Zurรผck zu unserem Azubi โ nennen wir ihn Alex. Alex schnuppert in jede einzelne Abteilung hinein und erhรคlt dort die entsprechenden Zugriffsrechte, damit er seine Arbeit machen kann. Tut er sie gut, รผbernimmt die Firma ihn am Ende seiner Ausbildungszeit. Ab diesem Zeitpunkt arbeitet Alex zwar nur noch in einer einzigen Abteilung โ die Berechtigungen fรผr die anderen Abteilungen, die er wรคhrend seiner Ausbildung gesammelt hat, behรคlt er jedoch.
รberflรผssige Berechtigungen bedeuten Sicherheitslรผcken
Nun wollen wir unserem Azubi natรผrlich keine bรถsen Absichten unterstellen. Nur, weil er Zugriffe hat, die er nicht haben sollte, muss das ja nicht heiรen, dass er sie zu seinem Vorteil nutzt. Aber das Problem ist nicht nur potenzieller Datendiebstahl durch Mitarbeiter.
Je mehr Berechtigungen ein Benutzer hat, desto katastrophalere Folgen kรถnnen Malware-Angriffe und Datenlecks haben. Und je lรคnger die รผberflรผssigen Berechtigungen bestehen bleiben, desto grรถรer wird das Problem.
Das liegt daran, dass in vielen Unternehmen die Praxis des sogenannten Referenz-Users herrscht. Dabei wird fรผr neue Mitarbeiter ganz einfach ein bestehendes User-Profil (z.B. eines Mitarbeiters aus der gleichen Abteilung) kopiert. Inklusive der รผberflรผssigen Rechte, die dieser Mitarbeiter ohnehin schon hatte.
Stellen Sie sich nun vor, dass auch der neue Mitarbeiter in den kommenden Jahren mehr und mehr Berechtigungen sammelt, und auch sein User-Profil wieder kopiert wird, um einen neuen Mitarbeiter anzulegen usw. Sie sehen: Das Problem potenziert sich.
Rezertifizierung von Cloud-Daten
Das eigenstรคndige Teilen von Daten รผber Cloud-Dienste wie Teams, OneDrive und SharePoint ist fรผr Unternehmen Segen und Fluch zugleich. Das flexible und selbstbestimmte Teilen von Dokumenten sorgt fรผr bessere Zusammenarbeit, macht es Firmen jedoch praktisch unmรถglich nachzuvollziehen, wer Zugriff auf welche geteilten Dateien hat.
Umso wichtiger ist es, dass tenfold eine zentrale รbersicht von Freigaben in Microsoft 365 bereitstellt: So lassen sich das Teilen von Daten in Teams, OneDrive und SharePoint auf einen Blick nachvollziehen und durch Verantwortliche kontrollieren. Nรคheres zur Kontrolle von Cloud-Daten in tenfold erfahren Sie in unserem kostenlosen Webinar.
Hinter den Kulissen von Teams & OneDrive: Das geheime Leben geteilter Daten
Rezertifizierung verhindert Sicherheitslรผcken
Um das Risiko fรผr Datenmissbrauch und Datendiebstahl so gering wie mรถglich zu halten, benรถtigen Firmen strukturierte Prozesse fรผr die Vergabe, Anpassung und umgehende Entfernung von Berechtigungen, sobald diese nicht mehr benรถtigt werden.
Eine regelmรครige Kontrolle der IST-Situation ist dabei unumgรคnglich. Und genau das wird durch die Rezertifizierung erreicht! Sie wรคhlen Personen als Dateneigentรผmer aus (das kรถnnen z.B. Ihre Abteilungsleiter sein), die in definierten Abstรคnden alle Berechtigungen kontrollieren, fรผr die sie verantwortlich sind:
Mit tenfold definieren Sie den Rezertifizierungsprozess abgestimmt auf Ihr Unternehmen.
Haben Mitarbeiter die Abteilung gewechselt?
Sind Mitarbeiter aus dem Unternehmen ausgeschieden?
Gibt es veraltete Benutzerrechte, kann der Datenverantwortliche diese umgehend entfernen. Handelt es sich um aktuelle und korrekte Zugriffsberechtigungen, werden diese bestรคtigt.
Wer fรผhrt die Rezertifizierung durch?
Die Rezertifizierung von Berechtigungen liegt NICHT in der Verantwortung der IT-Abteilung. Und das hat einen logischen Grund: Wer aktuelle Rollen und Zugriffsrechte รผberprรผft, muss inhaltlich mit den Aufgaben der Benutzer vertraut sein. Er oder sie muss ganz genau wissen, WER fรผr seine Arbeit WELCHE Rechte benรถtigt. Und das wissen in der Regel nur die Verantwortlichen aus den Fachabteilungen, z.B. die Abteilungsleiter. Wichtig ist natรผrlich, dass den Prรผfern alle relevanten Daten fรผr eine Entscheidung vorliegen.
Wie lรคuft der Rezertifizierungs-Prozess ab?
Die Anforderungen an den Rezertifizierungsprozess sind je nach Unternehmen unterschiedlich. Um den Aufwand gering zu halten, sollten Sie sich auf jene Bereiche fokussieren, die ein besonders groรes Risikopotenzial haben. Dies sind beispielsweise Bereiche, in denen viel mit vertraulichen Informationen und/oder sensiblen Daten gearbeitet wird.
Die fรผr diese Bereiche vergebenen Berechtigungen mรผssen naturgemรคร hรคufiger รผberprรผft werden als jene fรผr weniger kritische Systeme.
Wie Rezertifizierung schnell und effizient gelingt
Natรผrlich ist den meisten Unternehmen vollkommen bewusst, dass veraltete und รผberflรผssige Zugriffsberechtigungen ein Problem sind. Doch wer nicht die richtigen Tools hat, um sich schnell einen รberblick darรผber verschaffen zu kรถnnen, wer รผberhaupt welche Berechtigungen hat, der scheitert bereits an den Grundvoraussetzungen.
Das zweite Problem ist der Faktor Zeit: Selbst, wenn es den Verantwortlichen gelingt, sรคmtliche Berechtigungen lรผckenlos nachzuvollziehen, wรผrde die hรคndische Rezertifizierung so viel Zeit in Anspruch nehmen, dass der Verantwortliche, sobald er den Prozess abgeschlossen hat, direkt wieder von vorne beginnen mรผsste.
Aus diesem Grund ist es wichtig, den Prozess durch weitreichende Automatisierung so einfach wie mรถglich zu gestalten. Denn nur, wer sich schnell einen Gesamtรผberblick verschaffen kann, ist auch in der Lage, die Rezertifizierung schnell und effizient durchzufรผhren. Die Berechtigungsmanagement-Lรถsung tenfold ermรถglicht Ihnen genau das.
Wie funktioniert Rezertifizierung mitย tenfold?
Mit tenfold definieren Sie den Rezertifizierungsprozess abgestimmt auf Ihr Unternehmen.
Die Datenverantwortlichen kรถnnen sich einen schnellen รberblick รผber den Status-quo verschaffen.
Das System sendet automatisch eine Benachrichtigung, wenn eine neue Rezertifizierung ansteht.
Die Intervalle im Rezertifizierungsprozess kรถnnen Sie selbst definieren.
Legen Sie fest, welche Bereiche (Profile, Ressourcen, Fileserver, etc.) im Rezertifizierungsprozess รผberprรผft werden sollen.
Bestimmen Sie Backup-Aktionen, die bei einer Nicht-Rezertifizierung ausgelรถst werden sollen.
Ihren Prรผfern steht eine รผbersichtliche Benutzeroberflรคche zur Verfรผgung, in der Sie alle Rechte schnell und einfach bestรคtigen oder verwerfen kรถnnen.
Die Funktion kann mit wenig Aufwand konfiguriert werden und ist sofort einsatzbereit.
Best Practices im Access Management in Microsoft Umgebungen
Dieses Whitepaper enthรคlt eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.