Professionelle Unterstützung bei der Verwaltung und Umsetzung der Dokumentationspflichten im Bereich der Datenzugriffe und Berechtigungen.

Bei Audits und Wirtschaftsprüfungen ist der Datenzugriff das A und O. Berechtigungsmanagement-Lösungen helfen, indem sie die Nachvollziehbarkeit von Zugriffsrechte und Genehmigungen in Echtzeit ermöglichen. Auswertungen zeigen Abweichungen zwischen Soll und Ist und dokumentieren revisionssicher Genehmigungen sowie die Dauer der Zugriffsmöglichkeiten jedes Anwenders. Unternehmen können so Auditoren schnell Rede und Antwort stehen und auch wiederkehrende Re-Zertifzierungsprojekte unkompliziert meistern.

Kontrolliert eine Aufsichtsbehörde oder ein Auditor bzw. Wirtschaftsprüfer ein Berechtigungskonzept, geht es in erster Linie um Prozesse und Dokumentationen. Dieser Kontrollvorgang war in der Vergangenheit zeitintensiv und fehleranfällig. Mit den vielfältigen Funktionen moderner und ganzheitlicher Berechtigungsmanagement-Lösungen lässt sich an dieser Stelle spürbar für Entlastung sorgen. Alle Data-Owner, Request- und Approval-Prozesse sind klar definiert, denn durch Automatisierungen werden Rechte gewährt und entzogen.

Der Prüfer kann selbstständig auf alle wichtigen Dateien zugreifen, so dass seitens der IT oder in Compliance- und Governance Abteilungen kein zusätzlicher Aufwand entsteht.
Der Auditor erkennt schnell, ob die rechtlichen und betrieblichen Vorgaben eingehalten werden.
Allein die Tatsache, dass ein Unternehmen ein Berechtigungsmanagement-Konzept etabliert hat, zeigt dem Prüfer, dass sich das Unternehmen um Transparenz sorgt und sich auf dem neuesten Stand der Technik befindet.

Doch unabhängig davon sorgt ein Berechtigungsmanagement auch in den Bereichen Active-Directory-Überwachung, Prüfungen von Windows-Dateifreigaben, Überwachung von Microsoft Exchange, Zugriffsüberwachung und ‑verwaltung von SharePoint, Benutzerbereitstellung und ‑verwaltung sowie die Analyse von Benutzerberechtigungen für Erleichterungen. Das ist nicht zuletzt hinsichtlich Microsoft Teams und OneDrive, die aktuell neue Herausforderungen mit sich bringen, eine große Hilfe.

Datentresor 4.0

Im Gegensatz zum Schutz materieller Güter vor Verlust, Diebstahl oder ungewolltem Zugriff, können Daten und wichtige Informationen nicht einfach weggesperrt werden. Dennoch haben moderne Berechtigungsmanagement-Lösungen einige Gemeinsamkeiten mit dem klassischen Tresor: Nur Befugte haben Zugriff bzw. Zugang und der Schutz erfolgt über zugeteilte Rechte und einer Multi-Faktor-Authentifizierungslösung. Ein Zugriff durch Nichtberechtigte verstößt bei personenbezogenen Daten gegen die Datenschutzgrundverordnung (DSGVO). In anderen Fällen kann es zum Verlust von Patenten, Projektplänen, Rezepturen, Projektkalkulationen etc. führen. Auch hier bieten Berechtigungsmanagement-Lösungen ein Plus an Sicherheit. Wie funktioniert das?

Für das Active Directory, Fileserver, Exchange, SharePoint, Teams und für viele weitere Bereiche werden im Unternehmen üblicherweise Zugriffsrechte vergeben. Mithilfe einer Berechtigungsmanagement-Lösung besteht die Möglichkeit, diese Zugriffe automatisiert oder manuell auszulesen, sich Reports zu generieren und gegebenenfalls Berechtigungen zu bearbeiten bzw. zu korrigieren. Mit nur einem Klick erhält der Administrator die Übersicht über seine gesamte IT-Infrastruktur. Diese Übersicht eignet sich hervorragend als interne Grundlage für Maßnahmen und natürlich auch für Audits und Prüfungen. Hier werden alle zuvor ausgewählten Verzeichnisse, deren berechtigten Personen und Gruppen sowie dessen Zugriffsrechte in einer graphischen Übersicht dargestellt. Anhand dieser Informationen kann auf einem Blick gesehen werden, welcher Mitarbeiter welche Berechtigungen besitzt und auf welches Verzeichnis er zugreifen kann.

Zeitlich begrenzte Zugriffsrechte und sich »bewegende« Benutzer (Join-Move-Leave)

Ein Beispiel: die »Projektleiter-Thematik«. Projektleiter oder auch Werkstudenten wechseln die Projekte und Abteilungen und erhalten deshalb eine Zugangsberechtigung nach der anderen. Tatsache ist jedoch, dass oft versäumt wird, ihnen diese Berechtigungen nach dem Verlassen des Projekts oder der Abteilung wieder zu entziehen. Hier helfen moderne Berechtigungsmanagement-Lösungen. Mit ihnen können beispielsweise Zugriffsrechte temporär vergeben werden. Das bedeutet: läuft die Dauer der Zugriffsberechtigung ab, werden diese automatisiert entzogen und im System protokolliert. Auch benutzerbezogene Reports können erstellt werden, so dass der Administrator einen schnellen Überblick über die aktuellen Azubi-Berechtigungen hat; da zeigt sich dann von ganz allein, ob und wenn ja, wo noch über Zugangsberechtigungen verfügt wird.

Mittels eines integrierten Dashboards lassen sich kritische Faktoren wie inaktive Benutzer, Direktberechtigungen auf Verzeichnisse, Benutzer mit Berechtigungen auf alle Verzeichnisse, leere Gruppen und noch viele weitere Auswertungen sofort einsehen. Diese Fehlberechtigungen oder leeren Gruppen können im Anschluss sofort oder zeitverzögert mittels Veränderungsanfragen bearbeitet werden. Auch beim Wechsel eines Mitarbeiters von einer Abteilung in eine andere können die Gruppenzugehörigkeiten oder die Zugriffe zeitverzögert durchgeführt werden. Das heißt, die Konfiguration kann im Vorfeld festgelegt und ab einem definierten Datum aktiviert werden. Diese Funktionen unterstützen die IT-Administratoren ungemein, da keine Reminder mehr für das Hinzufügen oder Entfernen von Zugriffen hinterlegt werden müssen. Auch die Umsetzung, also das Entfernen aus Gruppen und das Hinzufügen in eine andere Gruppe erfolgt daraufhin automatisch über das Tool.

Unternehmen haben mit dem passenden Konzept (Technologie, Prozesse, Verantwortlichkeiten) immer eine Übersicht darüber, wer worauf Zugriff hat und welche Art von Zugriffen, von wem vergeben wurde. Wer schon immer wissen wollte, was innerhalb eines bestimmten Zeitraumes an den Systemen und deren Zugriffen verändert wurde, der findet diese Informationen mit Hilfe eines sogenannten »GAP-Vergleichs« – eines Abgleichs zwischen der Soll- mit der Ist-Struktur.

Fazit

Eine richtig eingeführte Berechtigungsmanagement-Software sorgt für die notwendige Transparenz der Zugriffsberechtigungen und stellt diese nachhaltig sicher. Zudem ist sie in der Lage eine zentrale, prozessuale sowie unkomplizierte und revisionssichere Zugriffsrechteverwaltung umzusetzen und erhöht gleichzeitig die Governance. Automatisierte Reports und Dokumentationen entlasten die Unternehmen und erhöhen die Sicherheit und Integrität gegenüber Dritten. Im Idealfall werden die Requests in vorhandene Service-Portale integriert und so die Akzeptanz bei allen Mitarbeiter*innen deutlich erhöht. Dies gilt eben auch beim Mitarbeiter Join- und Leave-Prozess.

Der Chief Information Security Officer (CISO), Datenschutzbeauftragte sowie Auditoren profitieren von automatisierten Reports. Da die Pflege von Zugriffsrechten auf personenbezogene Daten durch einen Data Owner gewährleistet werden muss, ist es wichtig, dass dieser im Rahmen regelmäßiger Re-Zertifizierungen unkompliziert Berechtigungen verwalten kann – ganz ohne weitreichende IT-Kenntnisse. So sorgt eine Berechtigungsmanagement-Software dafür, dass die Arbeit auf mehreren Schultern verteilt wird.

Mit einer geeigneten Technologie und dem richtigen Konzept behalten Unternehmen nicht nur die immer komplexer werdende Berechtigungslage im Überblick. Sie schützen auch die personenbezogenen Daten der Mitarbeiter und bieten die Möglichkeit, rechtzeitig einzugreifen, wenn ein Daten- oder sogar Imageverlust droht.

Michael Krause, Geschäftsführer TAP.DE Solutions GmbH

Artikel zu „Berechtigungsmanagement“

NEWS | BUSINESS PROCESS MANAGEMENT | FAVORITEN DER REDAKTION | INFRASTRUKTUR | IT-SECURITY

Berechtigungsmanagement: Compliance-Herausforderungen und ihre Lösungen

21. Dezember 2019

Unternehmen sind stets gefordert, ihre Zugriffsrechte auf IT-Systeme Compliance-gerecht zu organisieren. Wer darf was und zu welchem Zweck? Aufgrund ihrer Komplexität stoßen sie dabei häufig auf Probleme. Doch stringente Rollenkonzepte unterstützt von Software-Tools können helfen, das Berechtigungsmanagement sicherer zu gestalten — und zugleich die Effizienz im Unternehmen zu steigern. Angenommen, ein Auszubildender tritt zu seinem…