Sidney hat gerade das dritte Ausbildungsjahr begonnen. Für eine Aufgabe ist es erforderlich, sich mit dem Einkauf abzustimmen. Während seiner Arbeit stellt Sidney aber fest, dass die erforderlichen Berechtigungen aus einer vorherigen Tätigkeit beim Einkauf weiterhin vorhanden sind und bearbeitet die Aufgabe ohne Abstimmung. Beim Einkauf wundert man sich über den Bestellvorgang.
Solche und viele andere Fälle habe ich oft erlebt. Auszubildende, die am Ende des dritten Lehrjahres - neben den Geschäftsführern - die meisten Rechte im Unternehmen haben oder IT-Administratoren die allesamt Domain-Admins sind.
Berechtigungsprozesse im Alltag - das Problem der Referenzuser
Die häufigste Form des Berechtigungsprozesses - gerade in kleineren und mittleren Unternehmen - lautet "wie Kollege Müller". Das geht schnell und einfach. Hieraus ergeben sich mehrere Herausforderungen:
- Macht der neue Kollege wirklich zu 100% dasselbe wie Kollege Müller?
- Was passiert bei internen Abteilungswechseln?
- Hat Kollege Müller Zugriff auf Sonderprojekte?
- Wie wird Informationssicherheit und Datenschutz sichergestellt?
Je länger mit Referenzuser in einem Unternehmen gearbeitet wird, desto unübersichtlicher wird die Berechtigungsstruktur und desto größer die Wahrscheinlichkeit, dass Benutzer auf Daten zugreifen können, die sie für ihre Arbeit nicht benötigen.
Hieraus ergibt sich ein weiteres Risiko: Im Falle eines Angriffs von Außen können die Auswirkungen katastrophal sein. Beispielsweise könnte ein Verschlüsselungstrojaner deutlich mehr Daten verschlüsseln.
Ideale Form des Berechtigungsprozesses
Ein gutes Identitäts- und Berechtigungsmanagement stellt 3 Ziele sicher:
- Benutzern sollen ausschließlich definierte Berechtigungen eingeräumt werden
- Die Aktionen des Benutzers sollen auf seine Aufgaben begrenzt werden
- Aktivitäten der Berechtigungsvergabe müssen nachvollziehbar sein
Am idealsten ist es, mit Profilen zu arbeiten. Profile bieten eine große Flexibilität, weil sie auf unterschiedlichen Ebenen festgelegt werden können. So kann man Profile auf Ebene der Abteilung festlegen, die den organisatorischen Zugriff regelt. Daneben existieren dann Rollen für die einzelnen Tätigkeiten oder Projekte.
Realisierung eines idealen Berechtigungsprozessen
Der wichtigste Punkt ist eine gute Beschreibung des Prozesses. Hierzu gehört unter anderem:
- Beschreibung der Prinzipien der Zugangssteuerung
- Klärung von Zuständigkeiten
- Zuteilung von Benutzerzugängen
- Umgang mit privilegierten Zugangsrechten
- Verwaltung geheimer Authentifizierungsinformationen
- Entzug oder Anpassen von Zugangsrechten
Sobald die Prozessbeschreibung steht, geht es in die Umsetzung. Hier spielt die Dokumentation eine große Rolle:
- Zu welchem Zeitpunkt hat welcher Benutzer auf welche Daten / Anwendungen mit welchen Berechtigungen Zugriff gehabt?
- Wer hat es beantragt?
- Wer hat es genehmigt?
- Wer hat die Änderung durchgeführt?
Automatisierung ja oder nein?
Es kommt darauf an. Das wichtigste ist ein guter Prozess. Diesen braucht es sowohl für die manuelle als auch die automatisierte Umsetzung. Zuweisen und entfernen von Berechtigungen sind Routineaufgaben, die sich gut automatisieren lassen. Wenn ihre IT-Abteilung mehrere Stunden am Tag mit Berechtigungsmanagement verbringt, lohnt sich auch eine Automatisierung. Und Ihre Mitarbeiter*Innen werden es Ihnen danken, wenn sie sich zunehmend mit interessanten Projekten beschäftigen dürfen.
Wenn Du weitere Fragen hast oder deine Berechtigungskonzepte auf Informationssicherheit prüfen lassen möchtest, kontaktiere mich gerne!
