Berechtigungsmanagement: Compliance-Herausforderungen und ihre Lösungen

Unternehmen sind stets gefordert, ihre Zugriffsrechte auf IT-Systeme Compliance-gerecht zu organisieren. Wer darf was und zu welchem Zweck? Aufgrund ihrer Komplexität stoßen sie dabei häufig auf Probleme. Doch stringente Rollenkonzepte unterstützt von Software-Tools können helfen, das Berechtigungsmanagement sicherer zu gestalten und zugleich die Effizienz im Unternehmen zu steigern.

https://pixabay.com/de

Angenommen, ein Auszubildender tritt zu seinem ersten Arbeitstag an. Weil er viele Aufgabenbereiche kennenlernen soll, werden ihm großzügig Zugriffsrechte auf Dateien und Server eingeräumt. Nach einiger Zeit wechselt er die Abteilung und erhält auch hier weitere Zugriffsrechte, ohne dass die bisherigen Rechte deaktiviert wurden. Diese Praxis setzt sich fort, bis er nach seiner zweijährigen Ausbildung mehr Zugriffsrechte besitzt als sein eigener Chef. Das ist ein typischer Fall, der in der Praxis nicht selten vorkommt.

Rechtliche Compliance-Anforderungen

Eine solche Praxis ist nicht nur gegen jede Vernunft, sondern auch gegen Recht und Gesetz. Alle Unternehmen müssen in Sachen IT-Sicherheit und Datenschutz hohe Anforderungen erfüllen. Die Datenschutzgrundverordnung (DSGVO) schreibt beispielsweise vor, dass sie die »geeigneten technischen und organisatorischen Maßnahmen« treffen müssen, um personenbezogene Daten vor unbefugten Zugriffen zu schützen. Das betrifft die meisten gespeicherten Informationen, viele Systeme enthalten sensible Personal-, Finanz-, Kunden- oder Produktdaten. Daher müssen die Verantwortlichen gewährleisten, dass nur berechtigte Nutzer Zugriff erhalten und sie müssen die Einhaltung dieser Regeln auch nachweisen. Gelingt das nicht, drohen hohe Bußgelder.

Die DSGVO ist dabei nur eine Instanz, die ein revisionssicheres Berechtigungsmanagement vorschreibt, es gibt noch zahlreiche weitere Compliance-Richtlinien. Beispielsweise wird im BSI Grundschutzkompendium das Thema breit ausgefächert, ebenso in der Sozialgesetzgebung, wie man im SGB, Kapitel 10, nachlesen kann. Eine revisionssichere Verwaltung der Rollen und Zugriffsberechtigungen ist gesetzlich gefordert. Das Unternehmen muss also jederzeit lückenlos nachweisen können, wer welchen Zugriff bis wann erteilt hat und auf welcher Grundlage er dies tun durfte.

Schaden durch eigene Mitarbeiter

Die Anforderungen sind hoch — und sind dabei nicht nur Schikane: Unzureichendes Zugriffsmanagement kann Organisationen enormen Schaden zufügen, denn die eigenen Mitarbeiter sind der höchste Risikofaktor für die IT-Sicherheit, beispielsweise indem sie versehentlich Trojaner ins Unternehmen einschleusen oder Daten stehlen. Die jüngste Cybersicherheitsstudie von SolarWinds hat ergeben, dass interne Benutzerfehler in den letzten 12 Monaten mit 80 Prozent den weitaus größten Anteil an Cybersicherheitsvorfällen in Deutschland ausgemacht haben. Nicht nur wegen der Gesetze sollten Organisationen daher ein stringentes und effektives Berechtigungsmanagement betreiben, sondern, weil es sinnvoll ist und ihnen hilft, besser zu arbeiten.

In der Praxis stellt das Berechtigungsmanagement Organisationen vor keine geringen Herausforderungen. An einer Lösung sind schon so manche IT-Leiter und Sicherheitsmanager schier verzweifelt. Die Gründe dafür sind vielgestaltig wie die gesamte Materie: Laufende Betriebe sind permanenten Erweiterungen, Verschiebungen, Zusammenlegungen, sprich Wandel unterworfen. Zugleich arbeiten sie mit mehreren Generationen an Alt-Systemen und haben es dabei in den allermeisten Fällen mit großen Mengen an sicherheitskritischen, personenbezogenen Daten zu tun.

Ist es schon aufwändig genug, sämtliche Zugriffsrechte in einer Firma zu bestimmen, ist es ungleich aufwändiger, diese Festlegung jederzeit auf dem aktuellen Stand zu halten und einem Revisor klar nachvollziehbar Rechenschaft darüber abzulegen. Händische Verfahren führen dabei schnell an Grenzen. Häufig wird beispielsweise das Ticketsystem des IT-Supports für das Nachvollziehen von Zugriffsentscheidungen missbraucht, mit fragwürdigem Erfolg. Hinzu kommt die Ungewissheit, wo die Verantwortung für das Thema in der Organisation verankert ist. Sache der IT mag die Organisation der Zugriffe sein, verantwortlich für die Zugriffserteilung ist aber in der Regel die Fachabteilung und dort derjenige, der hauptverantwortlich für die Daten ist, um die es in seiner Abteilung geht.

Die Basis bildet das Berechtigungskonzept

Wie lässt sich das Dilemma lösen? Den wichtigsten Schritt haben die meisten Unternehmen schon getan, indem sie die Zugriffsrechte über ein stringentes, schriftlich fixiertes Berechtigungskonzept entwickeln. In ihm werden Zugriffsregeln für einzelne Benutzer oder Benutzergruppen auf IT-Systeme und deren Daten festgelegt. Zudem sind dort alle Prozesse hinterlegt, die die Umsetzung des Berechtigungskonzepts betreffen, also beispielsweise das Löschen und Erstellen von Nutzern, oder Passwortrestriktionen. Hier werden die Rollen definiert, denen Berechtigungen erteilt oder entzogen werden können. Denn die Zugriffe werden nicht mehr für einzelne Personen erteilt, sondern einer Person wird eine Rolle zugewiesen, die wiederum bestimmte Zugriffsrechte hat. Ändert sich der Status der Person, wird ihr eine andere Rolle zugewiesen, mit automatischem Zugriff auf die dafür notwendigen Systeme. Gleichzeitig verliert sie die alte Rolle und damit sämtliche Zugriffsrechte, die mit ihr verbunden sind.

So weit so gut. In der Praxis ergeben sich daraus jedoch immer noch einige Herausforderungen, die den schnellen Veränderungen im Unternehmen geschuldet sind. Neue Abteilungen kommen hinzu, die Stellenbeschreibungen ändern sich und damit die Rollen, neue Administratoren setzen das Berechtigungskonzept falsch um — viele Faktoren tragen dazu bei, dass das Dokument schnell wieder obsolet wird. Das Einpflegen der Änderungen in die Dokumentation funktioniert vielleicht anfangs noch, fällt aber zwangsläufig einer steten Auflösung zum Opfer. Das ist für die Beteiligten extrem frustrierend.

Prozesse automatisieren

Um hier für entscheidende Erleichterung zu sorgen, ist ein leistungsstarkes Datenbank-Werkzeug notwendig. Dieses Tool sollte beispielsweise sämtliche Änderungen in Echtzeit umsetzen können, Prozesse automatisieren, Entwicklungen jederzeit ohne Aufwand revisionssicher dokumentieren und auch von Nicht-IT-Mitarbeitern leicht zu nutzen sein.

Typische Herausforderungen des Berechtigungsmanagements ließen sich dadurch leichter und effizienter bewältigen. Das eingangs erwähnte Problem des Auszubildenden, der Zugriffsrechte ansammelt, lässt sich beispielsweise mit Hilfe eines solchen Datenbank-Tools dahingehend lösen, dass der Auszubildende von vornherein zeitlich beschränkten Zugriff auf die für die Arbeit in einer Abteilung benötigten Systeme erhält. Diese Beschränkung ließe sich schon mit der Rollenzuweisung des Auszubildenden einmalig festlegen und dokumentieren.

Die zeitliche Limitierung von Zugriffsrechten kann in vielen anderen Fällen helfen, das Management zu erleichtern und Compliance zu erreichen. Beispielsweise arbeiten große Unternehmen häufig mit externen Beratern zusammen, die ein zeitlich begrenztes Mandat haben und in dieser Zeit bestimmte Rollen und damit Zugriffsrechte benötigen. Bei einem kleinen Stab von einer Handvoll Externen mag sich das noch leicht händisch organisieren lassen. Doch gibt es auch Großprojekte, wo die Zahl in die hunderte gehen kann. Hier ist eine manuelle Verwaltung überfordert, eine Automatisierung via Zeitschaltung regelt die Sache von selbst. Ähnlich liegt der Fall bei alltäglichen Prozessen wie Mutterschaftsvertretungen oder für zeitlich begrenzte Lehraufträge in Universitäten.

Das Problem der Überprivilegierung von Benutzern — versehentlich oder aus Prestige-Gründen — ließe sich mit Datenbank-Tool-Unterstützung ebenfalls leichter bekämpfen, einfach weil die Zugriffsrechte transparenter sind und besser kritisch hinterfragt werden können. Beispielsweise gibt es heute keinen Grund, warum ein Nutzer per se Zugriff auf sämtliche Systeme haben sollte (All-domain). Das All-Domain-Recht birgt fast nur Risiken und keine Vorteile. Selbst der CEO ist vor menschlichen Fehlern nicht gefeilt — begeht er sie aber als jemand, der Zugriff auf alle Systeme hat, dann gefährdet er damit auch alle Systeme. Und es ist schon vorgekommen, dass ein All-domain-Rechteinhaber ein infiziertes PDF geöffnet hat, woraufhin sich ein Trojaner dank seines totalen Zugriffs in sämtlichen Systemen ausbreiten und über Monate vertrauliche Daten aus dem gesamten Unternehmen ins Ausland verschicken konnte. Mit Hilfe eines Datenbank-Tools ließen sich solche Vorfälle im Vorfeld vermeiden oder auch im Nachgang forensisch nahtlos aufklären — das Ticketsystem könnte das nicht leisten.

Einfache Verwaltung und höhere Effizienz

Die Zugriffsrechte von Mitarbeitern mit mehreren Rollen im Unternehmen lassen sich so besser verwalten — einfach, indem die Rollen addiert werden. Ein Abteilungsleiter in der IT betreut beispielsweise noch einige Legacy-Systeme. Also hat er zwei Rollen inne, für die er die jeweiligen Zugriffe erhält. Wird der Mitarbeiter versetzt oder bekommt er neue Aufgaben, ändert sich auch seine Rollengruppe und damit seine Rechte. Mit Hilfe eines Datenbank-Tools ließen sich derartige Vorgänge durch zwei, drei Mausklicks erledigen.

Die wenigen Beispiele zeigen, welchen Effizienzgewinn eine Datenbanklösung plus Prozess-Management-Software im gesamten Berechtigungsmanagement bringen kann. Es gibt bereits Lösungen auf dem Markt, um diese und weitere Funktionen zu erfüllen. Mit ihnen lassen sich beispielsweise Benutzerberechtigungen für alle Arten von File-Servern analysieren und managen (von SharePoint bis SAP/R3), Risiken erkennen und beseitigen (zum Beispiel bei Überprivilegierung) und Compliance-sichere Berichte per Mausklick bereitstellen. Viele der Bereitstellungsprozesse sind dabei hochgradig automatisiert, was das Zugriffsmanagement beschleunigt und fehlerresistenter macht. Zudem bieten die Lösungen mitunter einfach zu bedienende Self-Service-Funktionen.

Auch aus den gefürchteten Audits lässt sich durch sie Druck aus dem Prozess nehmen, da der Auditor — in der Regel mit den Tools vertraut — sehr genau weiß, welche Informationen er benötigt und wie er schnell an sie gelangt — mitunter per Mausklick. Das erspart den IT-Verantwortlichen böse Überraschungen hinsichtlich der Kosten für das Audit. Denn wenn der Auditor sich vier Wochen lang durch einen Stapel Papierausdrucke kämpfen muss, um das Zugriffsmanagement nachzuvollziehen, wächst dessen Aufwand beträchtlich. Das schlägt sich dann auf der Rechnung nieder — so kann der Posten alleine einen fünfstelligen Betrag ausmachen. All das erspart ein effizientes Software-Tool.

Angesichts der zunehmenden Komplexität und der wachsenden Änderungsgeschwindigkeit brauchen Behörden automatisierte Lösungen dieser Art, anders werden sie der Herausforderung Berechtigungsmanagement nicht mehr Herr.

Sascha Giese, Head Geek bei SolarWinds

 

Webbasierte Applikationen mit PaaS umsetzen: Wie agile Entwicklung auf der SAP Cloud Platform gelingt

Die »SAP Cloud Platform« bietet die Voraussetzungen, um neue Anwendungen agil zu entwickeln, zu testen und Lösungen zu integrieren. Die folgenden Schritte helfen Unternehmen bei der Umsetzung ihrer Projekte. ERP-Systeme sind in vielen Unternehmen unverzichtbar für die Stabilität der Kernfunktionen, – die Entwicklungsumgebung der Zukunft sind sie nicht. Eigenentwicklungen und Innovation finden mehr und mehr…

Identity Governance and Administration: IGA messbar machen – in 5 praktikablen Schritten

  Die meisten Unternehmen verzichten darauf zu messen, wie effektiv ihre Identity-Governance-and-Administration-Lösung (IGA) tatsächlich ist. Falls sie es doch tun, dann wahrscheinlich über eine indirekte Messgröße, zum Beispiel indem man erfasst, wie hoch das Risiko einer Datenschutzverletzung ist oder ob bereits ein Angriff stattgefunden hat oder nicht. Um die komplexe Betrachtung für unsere Zwecke zu…

Modernes Output Management für Rechenzentren

Rechenzentren großer Unternehmen haben zumeist eine Mainframe-Landschaft, bestehend aus IBM-Systemen. Für deren Management und Optimierung gibt es spezielle Softwareprodukte wie die des Berliner Herstellers Beta Systems Software AG. Im Zuge der Digitalisierung steigen die Anforderungen an solche: Sie müssen einfach zu bedienen sein, hohe Sicherheit bieten, mit neuen Web- oder Cloud-Lösungen integrierbar und dabei noch…

Automatisiertes Identity- und Accessmanagement (IAM): Die vier entscheidenden Vorteile

Je weiter die Digitalisierung voranschreitet, desto bedrohlicher werden Datenpannen und Compliance-Verstöße für Unternehmen. Kein Wunder also, dass das Thema IT-Sicherheit auf den Prioritätenlisten weit oben steht. Ein entscheidender Schritt ist dabei automatisiertes Identity- und Accessmanagement (IAM). Der globale Marktwert von IAM-Systemen ist von 4,5 Milliarden Dollar im Jahr 2012 auf 7,1 Milliarden Dollar im Jahr…

IT-Sicherheit: Unternehmen planen Budgetoffensive gegen digitale Sorglosigkeit

Jedes vierte Unternehmen in Deutschland kämpft mit dem Problem knapp bemessener Budgets für IT-Sicherheit. Bedarf besteht bei der Sensibilisierung der Mitarbeiter und bei der Rekrutierung von IT-Sicherheitsspezialisten. Das soll sich bis 2021 ändern. Mehr als die Hälfte der Entscheider (56 Prozent) erwarten für die kommenden drei Jahre eine Steigerung des Budgets. Jeder vierte Manager geht…

Gravierende Sicherheitsrisiken bei vernetzten Industrieanlagen

Schwachstellen in Funkfernsteuerungen haben schwerwiegende Auswirkungen auf die Sicherheit. Ein neuer Forschungsbericht deckt schwere Sicherheitslücken bei industriellen Maschinen auf. Anlagen wie Kräne, die mittels Funkfernsteuerungen bedient werden, sind vor potenziellen Angriffen wenig bis gar nicht geschützt. Damit stellen sie ein hohes Sicherheitsrisiko für Betreiber und ihre Mitarbeiter dar.   Trend Micro veröffentlichte einen neuen Forschungsbericht,…

IT-Security für Industrie 4.0 – Ganzheitlicher Ansatz für mehr Sicherheit

Industrie 4.0 wird in deutschen Unternehmen immer mehr zur Realität. Voraussetzung für den dauerhaften Erfolg ist das Vertrauen aller Partner in die zunehmende industrielle Vernetzung. Das Thema IT-Security avanciert damit zum Schlüsselfaktor für die Digitalisierung. Welche Aspekte sind zu beachten, um Maschinen und Daten vor Angreifern zu schützen?

Der IT-Security-Markt legt bis 2020 um mehr als 15 Prozent zu

Um durchschnittlich mehr als sieben Prozent jährlich wächst der deutsche IT-Security-Markt in den kommenden zwei Jahren. Von 2018 bis 2020 soll er von insgesamt gut 5,7 Milliarden Euro auf fast 6,6 Milliarden Euro zulegen. Das entspricht einem Plus von mehr als 15 Prozent. Dies prognostiziert der  Anbietervergleich »ISG Provider Lens Germany 2019 – Cyber Security…

Access Governance: DSGVO-konformes IT-Access-Management

Im Fall von Zugriffsberechtigungen in der IT lassen sich die Anforderungen der DSGVO durch den Einsatz einer geeigneten Software schnell und einfach erfüllen. Eine entsprechende Lösung analysiert und kontrolliert die Mitarbeiterberechtigungen innerhalb eines Unternehmens und bringt Transparenz. Auf diese Weise deckt die Software das Risiko fehlerhafter Berechtigungen auf und erschwert den Missbrauch von Überberechtigungen.

Best Practice Tipps für erfolgreiches Customer Identity and Access Management

Identity and Access Management gilt heutzutage als sichere Alternative zum Passwort als Authentifizierungsmethode. Neben Sicherheit spielt aber auch die Nutzererfahrung eine wichtige Rolle. Mit diesen sechs Tipps sorgen Anbieter für optimale Customer Experience und damit zufriedene Kunden. Ein essenzieller Bestandteil der digitalen Transformation ist die Absicherung kritischer Daten. Viele Unternehmen setzen hierzu auch heutzutage noch…

So sicher sehen IT-Entscheider die digitale Transformation

Studie untersucht den Zustand von sicherem Identity- und Access Management in Unternehmen im Rahmen der digitalen Transformation. Identity- und Access Management (IAM) ist im Rahmen der digitalen Transformation eine zentrale Lösung für Unternehmen. Zu diesem Ergebnis kommt der Report »The State of Identity & Access Management for the Digital Enterprise 2016«