Im Fall von Zugriffsberechtigungen in der IT lassen sich die Anforderungen der DSGVO durch den Einsatz einer geeigneten Software schnell und einfach erfüllen. Eine entsprechende Lösung analysiert und kontrolliert die Mitarbeiterberechtigungen innerhalb eines Unternehmens und bringt Transparenz. Auf diese Weise deckt die Software das Risiko fehlerhafter Berechtigungen auf und erschwert den Missbrauch von Überberechtigungen.
Am 25. Mai endet die zweijährige Übergangsfrist für die Umsetzung der Europäischen Datenschutzgrundverordnung (EU-DSGVO). Trotz des nahen Stichtages überwiegt bei vielen Unternehmen die Unsicherheit. Welche Veränderungen erwarten sie, und was ist zu tun?
Sicherheitsrisiken durch unbefugte Datenzugriffe sind heute präsenter denn je. Der deutschen Wirtschaft entstehen durch nicht entzogene Berechtigungen jedes Jahr Schäden in Millionenhöhe [1]. Dabei spielt der sogenannte »Azubi-Effekt« eine ernstzunehmende Rolle. Zum Beispiel: Ein Auszubildender durchläuft während seiner Ausbildung verschiedene Abteilungen und erhält jedes Mal neue Berechtigungen für seine Tätigkeit. Beim nächsten Wechsel müssen ihm die Berechtigungen des alten Arbeitsbereichs wieder entzogen werden. Häufig wird dies neben dem Alltagsgeschäft übersehen oder schlichtweg vergessen. So kann der Auszubildende auf sensible Firmendaten aus mehreren Bereichen zugreifen, die eigentlich strikt voneinander getrennt sein müssten. Diese Überberechtigung kann zu Datenmissbräuchen und schweren finanziellen sowie Imageschäden führen: Gelangen die Zugangsdaten des Azubis in die falschen Hände oder dringt ein Angreifer von außen in die IT-Systeme ein, können Überberechtigungen leicht ausgenutzt werden. Kriminelle erlangen so einfachen Zugriff auf sensible Unternehmensinformationen, personenbezogene Daten oder sogar auf Bankkonten.
Diese Gefahr bleibt in den meisten Fällen unsichtbar. Um sie aufzudecken und im nächsten Schritt zu minimieren, bedarf es einer transparenten Darstellung der Rechtestrukturen innerhalb einer Organisation. In komplexen, modernen IT-Infrastrukturen kann dies nur eine Access-Governance-Lösung leisten. Sie sollte daher fester Bestandteil jedes Sicherheitskonzepts sein.
Berechtigungsdschungel: Wer darf was? Welcher Mitarbeiter darf auf welche Systeme und Daten zugreifen? Sind die Berechtigungen der Auszubildenden beschränkt? Wurden die Konten des ehemaligen Mitarbeiters vollständig gelöscht? – Auf all diese Fragen können IT-Administratoren häufig keine schnelle Antwort geben. Oft fehlt ihnen sogar eine übersichtliche Darstellung der Mitarbeiter-Accounts und der Berechtigungen. Ständig ändern sich die Zuständigkeiten im Unternehmen: Ein neuer Mitarbeiter kommt, ein anderer wechselt die Abteilung oder verlässt das Unternehmen. Selbst für kleine Unternehmen ist es schwierig, hier den Überblick zu behalten und die Rechtestrukturen transparent zu halten. Zusätzlich erschweren die vielen verschiedenen Systeme und Anwendungen eine effiziente Verwaltung der Zugriffsrechte. Immer wieder kommt es deshalb zu fehlerhaften Berechtigungskonstellationen wie etwa einem Zugriff auf die Debitoren- und Kreditorenbuchhaltung. In der komplexen IT-Landschaft werden diese Berechtigungen schnell übersehen und gefährden die firmeninterne Sicherheit.
Transparente Rechtestrukturen. Die manuelle Pflege und Kontrolle von Zugriffsrechten über Listen ist sehr aufwändig und birgt ein hohes Fehlerrisiko. Zudem kostet es Unternehmen wertvolle Ressourcen, die demzufolge an anderer Stelle fehlen. Eine DSGVO-konforme Access-Governance-Lösung bringt zentrale Transparenz über die Rechtestrukturen im Unternehmen und entlastet so die IT-Verantwortlichen. Auf diese Weise lassen sich Überberechtigungen und selbst verwaiste Konten aufdecken sowie Verstöße aufgrund von fehlerhaften Berechtigungen verhindern. Wichtig dabei ist, dass sich eine solche Lösung schnell, einfach und flexibel in die vorhandene IT-Landschaft eines Unternehmens integrieren kann.
Management der Zugriffsrechte. Eine zeitgemäße Access-Governance-Lösung identifiziert und erfasst vollständig die Mitarbeiterzugriffsrechte mit allen Konten und Berechtigungen sämtlicher Systeme und Anwendungen der firmeninternen IT-Infrastruktur, auch die cloudbasierten, und visualisiert sie auf einer zentralen Weboberfläche. Hier sehen die Verantwortlichen alle relevanten Informationen über die Konten, Rechte, Rollen und die Historie ihrer Mitarbeiter auf einen Blick ein. Anhand eines übergeordneten Rollenmodells zur Abstraktion von Rechten sind sie in der Lage, vergebene Berechtigungen zu beurteilen und zyklisch zu bestätigen beziehungsweise zu rezertifizieren. So können sie überprüfen, wer auf welche Daten zugreifen kann und ob er dazu berechtigt ist. Abweichungen zwischen dem Soll-Rollenmodell und dem Ist-Zustand lassen sich schnell und einfach feststellen. Zudem benachrichtigt die Software umgehend Führungskräfte bei Fehlern in der Berechtigungsvergabe, so dass der Verantwortliche schnell aktiv werden kann, um eventuelle Unstimmigkeiten zu beheben.
Zentrale Access-Governance-Software zählt zum Basisschutz. Eine Access-Governance-Lösung bringt maximale Transparenz über alle Berechtigungen sämtlicher Systeme einer firmeninternen IT-Landschaft. So minimiert sie die Gefahr von möglichen Datenmissbräuchen durch unberechtigte Zugriffe. Die IT-Verantwortlichen müssen nicht mehr stundenlang mit der Zuordnung von Rechten und Mitarbeitern verbringen. Das spart neben Zeit auch Kosten. Gleichzeitig sorgt die Lösung für mehr IT-Sicherheit im Unternehmen und unterstützt bei der Umsetzung gesetzlicher Vorgaben – nicht nur in Hinblick auf die Europäische Datenschutzgrundverordnung, sondern auch im Zusammenhang mit den MaRisk im Finanzwesen oder dem IT-Sicherheitsgesetz für Kritische Infrastrukturen.
Access Governance: Checkliste
- Erfüllung gesetzlicher Vorgaben
- Vollständige Identifizierung und Erfassung der Mitarbeiterzugriffsrechte
- Unterstützung sämtlicher Systeme und Anwendungen
- Zentrale Weboberfläche – alle Berechtigungen auf einen Blick
- Konfigurierbares Rollenmodell für eine einfache Darstellung und Bewertung der Berechtigungen
- Soll-Ist-Vergleiche über die vorhandene Rechtestruktur
- Automatische Benachrichtigungen bei Abweichungen in der Berechtigungsvergabe
Jürgen Bähr,
Geschäftsführer
bei G+H Systems
[1] NIFIS-Studie: »IT-Sicherheit und Datenschutz 2015«: https://www.nifis.de/veroeffentlichungen/news/article/nifis-studie-azubi-effekt-ist-gravierendes-sicherheitsproblem/
Illustration: © MJgraphics /shutterstock.com
Identity- und Access-Management – Messbare Vorteile durch IAM-Software
Sechs Tipps zur Risikominimierung durch Identity Access Management
IAM als »One-stop-Shop«: Das bessere Berechtigungsmanagement
Cybersicherheit ist endgültig auf den Vorstandsetagen angekommen
Cloud wird immer populärer – doch welche Risiken gibt es zu bedenken?
Multi-Cloud-Architekturen erfordern Multi-Cloud-Management – Wegbereiter des digitalen Wandels