Rezertifizierung von Berechtigungen – Bedeutung, Ablauf und Best Practices

Rezertifizierung bezeichnet die regelmäßige Kontrolle der Zugriffsrechte innerhalb einer Organisation, um Sicherheitsvorfällen und Datenschutzverletzungen vorzubeugen. Ein Audit der aktuellen Berechtigungen verhindert, dass Benutzer auf IT-Ressourcen zugreifen können, die sie nicht bzw. nicht mehr für ihre Arbeit benötigen. In diesem Beitrag sehen wir uns an, wie Unternehmen die Rezertifizierung von Berechtigungen durch eine Identity und Access Management Lösung schnell und effektiv abwickeln können.

Rezertifizierung – was ist das?

Bei einer Rezertifizierung werden IT-Berechtigungen auf Aktualität geprüft und nicht (mehr) benötigte Rechte entfernt. Diese Überprüfung dient dem Schutz sensibler Informationen vor unberechtigten Zugriffen – sowohl durch Insider Threats als auch im Fall eines Cyberangriffs. Die regelmäßige Kontrolle sämtlicher Berechtigungen wird auch als User Access Review oder Privilege Audit bezeichnet, zählt zu den Best Practices der Informationssicherheit, trägt zur Einhaltung des Least Privilege Prinzips bei und wird von zahlreichen Sicherheitsstandards vorgeschrieben, etwa BAIT, NIST CSF und der KRITIS Verordnung.

Das hat auch einen guten Grund: Veraltete Berechtigungen öffnen Tür und Tor für Datenpannen, Datenlecks und sogar Datendiebstahl durch Mitarbeiter. Dennoch nehmen es viele Firmen bei der Kontrolle von Zugriffsrechten nicht so genau. Hand auf’s Herz: Wann haben Sie das letzte Mal überprüft, ob jemand in Ihrem Unternehmen Zugriff auf Daten hat, die er oder sie eigentlich nicht haben sollte? Ziemlich lange her, oder? Für Firmen, die Zugriffsrechte manuell verwalten, stellt die Rezertifizierung eine enorme logistische Herausforderung dar.

Zum Glück gibt es einen einfacheren Weg: Mit der IAM-Lösung tenfold lässt sich die Rezertifizierung schnell und einfach abwickeln. In tenfold werden zuvor definierte Dateneigentümer über automatische Benachrichtigungen in regelmäßigen Intervallen dazu aufgefordert, Berechtigungen in ihrem Zuständigkeitsbereich entweder zu bestätigen oder zu entfernen. So können veraltete Zugriffsberechtigungen mit nur einem Klick entfernt werden.

Achtung: Der Begriff Rezertifizierung wird auch für externe Kontroll-Audits, wie z.B. bei der Zertifizierung nach ISO 27001, verwendet.

Warum ist die Rezertifizierung so wichtig?

Kennen Sie das Sinnbild von dem Auszubildenden, der nach drei Jahren in einer Firma mehr Berechtigungen hat als der Vorstand? Darin steckt viel Wahrheit, denn während es für die Vergabe von Zugriffsberechtigungen meist einen strukturierten Prozess gibt, wird das Entfernen veralteter Rechte in vielen Unternehmen vergessen. Abteilungswechsel, Firmen-Austritte und die Vergabe von Sonderrechten, die nirgends vollständig dokumentiert werden, münden letztlich in einer chaotischen Berechtigungslandschaft. Man spricht auch vom sog. Privilege Creep.

Zurück zu unserem Azubi – nennen wir ihn Alex. Alex schnuppert in jede einzelne Abteilung hinein und erhält dort die entsprechenden Zugriffsrechte, damit er seine Arbeit machen kann. Tut er sie gut, übernimmt die Firma ihn am Ende seiner Ausbildungszeit. Ab diesem Zeitpunkt arbeitet Alex zwar nur noch in einer einzigen Abteilung – die Berechtigungen für die anderen Abteilungen, die er während seiner Ausbildung gesammelt hat, behält er jedoch.

Rezertifizierung Berechtigungen
Ohne Identity Management Lösung hat Alex nach drei Jahren mehr Zugriffsrechte als sein Chef. Adobe Stock, (c) fizkes

Überflüssige Berechtigungen bedeuten Sicherheitslücken

Nun wollen wir unserem Azubi natürlich keine bösen Absichten unterstellen. Nur, weil er Zugriffe hat, die er nicht haben sollte, muss das ja nicht heißen, dass er sie zu seinem Vorteil nutzt. Aber das Problem ist nicht nur potenzieller Datendiebstahl durch Mitarbeiter.

Je mehr Berechtigungen ein Benutzer hat, desto katastrophalere Folgen können Malware-Angriffe und Datenlecks haben. Und je länger die überflüssigen Berechtigungen bestehen bleiben, desto größer wird das Problem.

Das liegt daran, dass in vielen Unternehmen die Praxis des sogenannten Referenz-Users herrscht. Dabei wird für neue Mitarbeiter ganz einfach ein bestehendes User-Profil (z.B. eines Mitarbeiters aus der gleichen Abteilung) kopiert. Inklusive der überflüssigen Rechte, die dieser Mitarbeiter ohnehin schon hatte.

Stellen Sie sich nun vor, dass auch der neue Mitarbeiter in den kommenden Jahren mehr und mehr Berechtigungen sammelt, und auch sein User-Profil wieder kopiert wird, um einen neuen Mitarbeiter anzulegen usw. Sie sehen: Das Problem potenziert sich.

Rezertifizierung von Cloud-Daten

Das eigenständige Teilen von Daten über Cloud-Dienste wie Teams, OneDrive und SharePoint ist für Unternehmen Segen und Fluch zugleich. Das flexible und selbstbestimmte Teilen von Dokumenten sorgt für bessere Zusammenarbeit, macht es Firmen jedoch praktisch unmöglich nachzuvollziehen, wer Zugriff auf welche geteilten Dateien hat.

Umso wichtiger ist es, dass tenfold eine zentrale Übersicht von Freigaben in Microsoft 365 bereitstellt: So lassen sich das Teilen von Daten in Teams, OneDrive und SharePoint auf einen Blick nachvollziehen und durch Verantwortliche kontrollieren. Näheres zur Kontrolle von Cloud-Daten in tenfold erfahren Sie in unserem kostenlosen Webinar.

Gratis Webinar

Hinter den Kulissen von Teams & OneDrive: Das geheime Leben geteilter Daten

Rezertifizierung verhindert Sicherheitslücken

Um das Risiko für Datenmissbrauch und Datendiebstahl so gering wie möglich zu halten, benötigen Firmen strukturierte Prozesse für die Vergabe, Anpassung und umgehende Entfernung von Berechtigungen, sobald diese nicht mehr benötigt werden.

Eine regelmäßige Kontrolle der IST-Situation ist dabei unumgänglich. Und genau das wird durch die Rezertifizierung erreicht! Sie wählen Personen als Dateneigentümer aus (das können z.B. Ihre Abteilungsleiter sein), die in definierten Abständen alle Berechtigungen kontrollieren, für die sie verantwortlich sind:

  • Mit tenfold definieren Sie den Rezertifizierungsprozess abgestimmt auf Ihr Unternehmen.

  • Haben Mitarbeiter die Abteilung gewechselt?

  • Sind Mitarbeiter aus dem Unternehmen ausgeschieden?

Gibt es veraltete Benutzerrechte, kann der Datenverantwortliche diese umgehend entfernen. Handelt es sich um aktuelle und korrekte Zugriffsberechtigungen, werden diese bestätigt.

Wer führt die Rezertifizierung durch?

Die Rezertifizierung von Berechtigungen liegt NICHT in der Verantwortung der IT-Abteilung. Und das hat einen logischen Grund: Wer aktuelle Rollen und Zugriffsrechte überprüft, muss inhaltlich mit den Aufgaben der Benutzer vertraut sein. Er oder sie muss ganz genau wissen, WER für seine Arbeit WELCHE Rechte benötigt. Und das wissen in der Regel nur die Verantwortlichen aus den Fachabteilungen, z.B. die Abteilungsleiter. Wichtig ist natürlich, dass den Prüfern alle relevanten Daten für eine Entscheidung vorliegen.

Rezertifizierung Berechtigungen
Die regelmäßige Kontrolle sämtlicher Berechtigungen dient der Sicherheit Ihrer Firmendaten. Adobe Stock, (c) Coloures Pic

Wie läuft der Rezertifizierungs-Prozess ab?

Die Anforderungen an den Rezertifizierungsprozess sind je nach Unternehmen unterschiedlich. Um den Aufwand gering zu halten, sollten Sie sich auf jene Bereiche fokussieren, die ein besonders großes Risikopotenzial haben. Dies sind beispielsweise Bereiche, in denen viel mit vertraulichen Informationen und/oder sensiblen Daten gearbeitet wird.

Die für diese Bereiche vergebenen Berechtigungen müssen naturgemäß häufiger überprüft werden als jene für weniger kritische Systeme.

Wie Rezertifizierung schnell und effizient gelingt

Natürlich ist den meisten Unternehmen vollkommen bewusst, dass veraltete und überflüssige Zugriffsberechtigungen ein Problem sind. Doch wer nicht die richtigen Tools hat, um sich schnell einen Überblick darüber verschaffen zu können, wer überhaupt welche Berechtigungen hat, der scheitert bereits an den Grundvoraussetzungen.

Das zweite Problem ist der Faktor Zeit: Selbst, wenn es den Verantwortlichen gelingt, sämtliche Berechtigungen lückenlos nachzuvollziehen, würde die händische Rezertifizierung so viel Zeit in Anspruch nehmen, dass der Verantwortliche, sobald er den Prozess abgeschlossen hat, direkt wieder von vorne beginnen müsste.

Aus diesem Grund ist es wichtig, den Prozess durch weitreichende Automatisierung so einfach wie möglich zu gestalten. Denn nur, wer sich schnell einen Gesamtüberblick verschaffen kann, ist auch in der Lage, die Rezertifizierung schnell und effizient durchzuführen. Die Berechtigungsmanagement-Lösung tenfold ermöglicht Ihnen genau das.

Wie funktioniert Rezertifizierung mit tenfold?

  • Mit tenfold definieren Sie den Rezertifizierungsprozess abgestimmt auf Ihr Unternehmen.

  • Die Datenverantwortlichen können sich einen schnellen Überblick über den Status-quo verschaffen.

  • Das System sendet automatisch eine Benachrichtigung, wenn eine neue Rezertifizierung ansteht.

  • Die Intervalle im Rezertifizierungsprozess können Sie selbst definieren.

  • Legen Sie fest, welche Bereiche (Profile, Ressourcen, Fileserver, etc.) im Rezertifizierungsprozess überprüft werden sollen.

  • Bestimmen Sie Backup-Aktionen, die bei einer Nicht-Rezertifizierung ausgelöst werden sollen.

  • Ihren Prüfern steht eine übersichtliche Benutzeroberfläche zur Verfügung, in der Sie alle Rechte schnell und einfach bestätigen oder verwerfen können.

  • Die Funktion kann mit wenig Aufwand konfiguriert werden und ist sofort einsatzbereit.

Whitepaper

Best Practices im Access Management in Microsoft Umgebungen

Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.

Verfasst von: Joe Köller

Als tenfolds Content Manager verantwortet Joe Köller den IAM Blog, wo er Themen rund um Compliance, Cybersecurity und digitale Identitäten tiefgehend beleuchtet. Komplexe Materie verständlich zu erklären ist sein oberstes Ziel, egal, ob es um gesetzliche Regelwerke oder technische Hintergründe der Zugriffssteuerung geht. Vor seiner Rolle bei tenfold hat Joe viele Jahre über Games und digitale Medien berichtet.