Best Practices für Zugriffsanfragen: Genehmigungsworkflows statt Berechtigungen auf Zuruf

Fehlt einem Benutzer eine Berechtigung, die er für seine Arbeit braucht, dann stellt er eine Zugriffsanfrage. Das Anfragen von Zugriff ist im IT-Alltag ein gängiger Prozess. Doch wie lässt sich sicherstellen, dass Anfragen schnell bearbeitet, korrekt umgesetzt und vollständig dokumentiert werden?

Was ist eine Zugriffsanfrage?

Eine Zugriffsanfrage ist der formelle oder informelle Prozess, über den Benutzer zusätzliche IT-Berechtigungen anfordern können – entweder für sich selbst oder einen Kollegen. Braucht ein Benutzer zum Beispiel Zugriff auf einen Ordner, bestimmte Dokumente oder Programme, kann er eine Zugriffsanfrage stellen.

Auf die Anfrage folgt zunächst ein Genehmigungsprozess, bei dem der Verantwortliche für das jeweilige System die geforderte Berechtigung freigibt. Anschließend erhält der Benutzer diese entweder automatisch oder sie muss durch die IT-Abteilung zugewiesen werden.

Zugriffsanfragen sind ein normaler Prozess in jeder IT-Umgebung und ein wesentlicher Teilbereich des Identity & Access Management. Die Aufgaben von Mitarbeitern ändern sich im Laufe der Zeit. Entsprechend ist es keine Überraschung, dass User neue Rechte brauchen, um zusätzlichen Aufgaben nachgehen zu können. Zugriffsanfragen können aber auch zum Berechtigungschaos führen, wenn diese nicht korrekt gemanagt werden.

Warum braucht es Zugriffsanfragen?

Während des Onboardings erhalten Benutzer im Idealfall alle Zugriffsrechte, die für ihren Job vorgesehen sind. Der einfachste Weg, für zielsichere Berechtigungsvergabe zu sorgen, liegt in einem Rollenmodell für Berechtigungen und der Automatisierung über Role-Based Access Control.

Aber Verantwortungen ändern sich und irgendwann reicht der initiale Zugriff nicht mehr aus, um allen Aufgaben nachgehen zu können. Vielleicht soll der User an einem speziellen Projekt mitarbeiten. Vielleicht soll er eine andere Abteilung unterstützen. Oder einen abwesenden Kollegen vertreten.

Brauchen User mehr Berechtigungen, als sie aktuell haben, stellen sie eine Zugriffsanfrage. Diese Anfragen erlauben es Organisationen, Berechtigungen flexibel und nach Bedarf zu vergeben. Allerdings ist es wichtig sicherzustellen, dass Genehmigung und Implementierung korrekt ablaufen. Nur so lässt sich die richtige Balance zwischen schnellem und sicherem Zugriff gewährleisten.

Wie funktionieren Zugriffsanfragen?

Was simpel klingen mag ist in Wirklichkeit ein vielschichtiger Prozess: Der Ablauf einer Zugriffsanfrage lässt sich in verschiedene Schritte hinunterbrechen.

  • 1

    Anfrage: Im ersten Schritt fragt der User um Zugriff auf eine Ressource an. Als optimaler Kanal für Anfragen bietet sich eine Helpdesk-Lösung oder Self-Service Plattform an. Weniger gut geeignet ist die Anfrage per E-Mail oder Chatnachricht, die dennoch in vielen Organisationen üblich ist.

  • 2

    Genehmigung: Dass eine Anfrage gestellt wurde, bedeutet nicht zwangsläufig, dass der Zugriff sinnvoll oder notwendig ist. Bevor die Berechtigung erteilt wird, muss der Antrag von der zuständigen Person freigeben werden, die dieses System betreut. Im Idealfall geht der Antrag direkt an den Verantwortlichen, so dass dieser ihn schnell beantworten kann.

  • 3

    Provisionierung: Wird die Anfrage vom Verantwortlichen genehmigt, muss im nächsten Schritt der Zugriff des Users angepasst werden. Idealerweise erfolgt die Anpassung automatisch bei erteilter Genehmigung. Bei Hardware oder ähnliche Ressourcen ist dies jedoch nicht möglich. Hier sollte der Fortschritt dennoch über ein Helpdesk oder Ticket-System überwacht werden.

  • 4

    Dokumentation: Um den Überblick über angefragte und zugewiesene Rechte zu behalten, muss jede Anfrage vollständig dokumentiert werden – egal, ob diese freigegeben oder abgelehnt wurde.

  • 5

    Überprüfung: Benutzer sollten nicht länger als notwendig Zugriff erhalten. Die regelmäßige Kontrolle vergebener Rechte stellt sicher, dass diese rechtzeitig entfernt werden. Alternativ kann im Vorhinein ein festes Ablaufdatum für den Zugriff festgelegt werden.

Welche Rolle spielen Zugriffsanfragen im Berechtigungsmanagement?

Zugriffsanfragen sind ein normaler Teil des IT-Alltags. Deshalb muss Berechtigungsmanagement es Benutzern möglich machen, zusätzliche Rechte anzufragen. Wichtig ist, dass der Prozess für Zugriffsanfragen gleichzeitig so sicher und angenehm wie möglich gestaltet werden muss.

Die oberste Priorität bei der Steuerung von Zugriffsrechten, sollte auf der Automatisierung von Routine-Aufgaben liegen. Durch rollenbasiertes Onboarding lässt sich etwa sicherstellen, dass jeder User automatisch die für ihn vorgesehenen Rechte erhält und diese bei Veränderungen automatisch angepasst werden.

Aber auch bei der automatischen Vergabe von Berechtigungen anhand von Rollen wird es immer wieder Fälle geben, in denen ein User zusätzliche Rechte benötigt, die nicht in seiner Rolle enthalten sind. Eine erfolgreiche Governance-Strategie muss daher Zugriffsanfragen unterstützen und sicherstellen, dass diese korrekt gemanagt werden.

Das Sicherheitsrisiko Privilege Creep

Sammeln Benutzer im Laufe der Zeit mehr und mehr nicht benötigte Rechte an, spricht man von Privilege Creep bzw. Permissions Creep. Der Grund für diese schleichende Ansammlung von Rechten liegt darin, dass User immer wieder neue Zugriffe anfragen, aber alte Zugriffe nie entfernt werden.

Das Problem? Je mehr Rechte ein Benutzer hat, desto mehr Schaden lässt sich anrichten, wenn durch einen Hackerangriff ein Konto in falsche Hände gerät oder der User selbst zum Insider Threat wird. Um dieses Risiko zu mindern sollten Benutzer nur zwingend notwendige Rechte haben. Diese Best Practice wird auch als Least Privilege Prinzip bezeichnet.

Zugriffsanfragen sind eine der häufigsten Quellen für Privilege Creep in Organisationen. Werden angefragte Rechte nicht dokumentiert und regelmäßig überprüft, besteht die Gefahr, dass User einmal Zugriff anfragen und nie wieder verlieren. Dagegen hilft nur die laufende Kontrolle bestehender Rechte.

Best Practices für Zugriffsanfragen

1

Automatisches User Lifecycle Management

Zugriffsanfragen sind ein wichtiger Bestandteil des Berechtigungsmanagements. Aber manuelle Anfragen sollten nicht der primäre Weg sein, über den Benutzer Zugriffsrechte erhalten. Ein automatisches User Lifecycle Management stellt sicher, dass Benutzer schon im Rahmen des Onboardings alle für ihre Position vorgesehenen Rechte erhalten.

Die automatische Vergabe von Standardrechten minimiert die Zahl an Zugriffsanfragen, die Benutzer stellen müssen um auf notwendige Systeme zuzugreifen. Je genauer das IT-Onboarding von Beginn an abläuft, desto weniger Anpassungen sind später nötig.

2

Zugriffsanfragen aus der IT-Abteilung auslagern

In vielen Organisationen ist die IT-Abteilung die erste Anlaufstelle, wenn ein Benutzer um Zugriff anfragt. Das Problem an der Sache? Admins können einem Benutzer zwar neue Rechte zuweisen, aber sie können nicht beurteilen, wer Zugriff braucht.

Die Entscheidung, wer Zugriff auf welche Ressourcen benötigt, wird an anderer Stelle gefällt. Diese treffen nämlich Verantwortliche innerhalb der Fachabteilungen, die tatsächlich mit den jeweiligen Systemen arbeiten.

Damit IT-Admins den Zuständigen also nicht hinterherlaufen müssen, sollten Anträge direkt an Verantwortliche innerhalb der Abteilung gehen. So können Fachbereiche den Zugriff auf ihre eigenen Daten selbstständig verwalten. Damit die IT-Abteilung weiterhin die Kontrolle behält, müssen Anfragen natürlich in geregelte Bahnen gelenkt, dokumentiert und überprüft werden.

3

Alle Anfragen und Änderungen aufzeichnen

Um Zugriffsanfragen erfolgreich zu verwalten ist langfristiges Denken gefragt. Es geht nicht nur um die Frage, wie Benutzer schnell Zugriff erhalten, wenn sie diesen brauchen. Sondern auch darum, was später mit dieser Berechtigung passiert.

Um alle Berechtigungen im Blick zu behalten, müssen Zugriffsanfragen detailliert aufgezeichnet werden: Wer hat angefragt? Um welche Berechtigung geht es? An wen ging der Antrag? Wurde er genehmigt oder abgelehnt? Wann wurde er bearbeitet?

Diese genaue Dokumentation lässt sich in der Praxis nur über automatische Workflows gewährleisten: Sämtliche Anfragen und Änderungen manuell zu dokumentieren ist zu aufwändig und fehleranfällig.

4

Zugriffsrechte regelmäßig überprüfen

Eine Zugriffsanfrage sollte nur für den Zeitraum gewährt werden, während dem der Benutzer tatsächlich Zugriff benötigt. Oft lässt sich aber nicht genau sagen, wie lange ein Projekt dauern wird.

Damit Benutzer nicht länger als notwendig Zugang zu sensiblen Daten und Systemen haben, müssen Zugriffsrechte durch eine regelmäßige Rezertifizierung überprüft werden. Während dieser Kontrolle wird der Verantwortliche, der die Zugriffsanfrage initial genehmigt hat, dazu aufgefordert zu überprüfen, ob der Zugriff nach wie vor benötigt wird. So lässt sich sicherstellen, dass ein Zugriff nicht versehentlich vergessen wird.

Aber um Berechtigungen überprüfen zu können, müssen Verantwortliche erinnert werden, welche Rechte sie überhaupt freigegeben haben – am besten in Form einer einfachen Checkliste, die der Zuständige schnell abarbeiten kann. Dieser Review-Prozess lässt sich am schnellsten über eigene Reporting- und Auditing-Tools abwickeln.

tenfold: Self-Service Anfragen per No-Code Tool

Sie suchen nach einem einfachen und sicheren Weg, Zugriffsanfragen zu ermöglichen? tenfold, unsere komfortable No-Code IAM Lösung, bietet alles, was Sie dafür brauchen – vom Self-Service für Endanwender über anpassbare Genehmigungsworkflows bis hin zur automatischen Dokumentation und Auditierung.

Benutzerfreundlicher Self-Service

Über tenfold‘s benutzerfreundliches Self-Service Portal können User zusätzliche Berechtigungen oder Passwort-Resets anfordern. Die Anfrage geht direkt an den Dateneigentümer, der für die jeweilige Ressource festgelegt wurde. So kann die Anfrage mit wenigen Klicks beantwortet werden.

Das Self-Service Interface ist sowohl für User als auch für Admins einfach zu bedienen. Über einen grafischen Editor können ganz nach Wunsch eigene Freigabeworkflows erstellt werden – von simplen Genehmigungsprozessen bis hin zu komplexen, mehrstufigen Abläufen.

Automatische Provisionierung

Wird die Zugriffsanfrage vom Dateneigentümer bestätigt, vergibt tenfold automatisch die vorgesehen Berechtigung an den User. Dadurch können Anwender in wenigen Minuten auf benötigte Systeme zugreifen, anstatt auf die manuelle Anpassung durch einen IT-Admin zu warten.

Detailliertes Reporting

tenfold dokumentiert jeden Schritt einer Zugriffsanfrage: vom Antragssteller über die Antwort des Dateneigentümers bis hin zum Zeitpunkt der Freigabe und der eingetragenen Begründung. Über dieses detaillierte Change Log haben Admins jederzeit den Überblick und können Abläufe für Audits problemlos nachvollziehen.

Simpler Review-Prozess

In tenfold werden Dateneigentümer regelmäßig dazu aufgefordert, freigegebene Berechtigungen auf Aktualität zu prüfen. Dazu wird jeder Verantwortliche automatisch kontaktiert und erhält eine persönliche Checkliste an zu kontrollierenden Freigaben. Häufigkeit und Ablauf der Rezertifizierung lassen sich pro System anpassen um individuelle Security-Anforderungen bestmöglich abzudecken.

Jetzt persönliche Demo buchen & selbst überzeugen!

Sie möchten mehr über die Umsetzung von Zugriffsanfragen in tenfold erfahren? Informieren Sie sich jetzt bei einer persönlichen Demo unserer Identity & Access Management Lösung. Unsere Experten beraten Sie gerne zu den Vorteilen und dem Funktionsumfang unserer Software.

Berechtigungen spielend einfach managen:
Entdecken Sie jetzt tenfold!

Verfasst von: Joe Köller

Als tenfolds Content Manager verantwortet Joe Köller den IAM Blog, wo er Themen rund um Compliance, Cybersecurity und digitale Identitäten tiefgehend beleuchtet. Komplexe Materie verständlich zu erklären ist sein oberstes Ziel, egal, ob es um gesetzliche Regelwerke oder technische Hintergründe der Zugriffssteuerung geht. Vor seiner Rolle bei tenfold hat Joe viele Jahre über Games und digitale Medien berichtet.