Berechtigungsmanagement – erhöhte Sicherheit durch Orchestrierung der Zugriffsrechte
Die Einschränkung von Zugriff ist eine Grundlage für die Abwehr von Angriffen und Schäden. Im Berechtigungsmanagement verwalten Sie Zugriffsrechte – das funktioniert mit der OGiTiX IAM-Software als Berechtigungsmanager.
7 von 10 Industrieunternehmen wurden innerhalb von zwei Jahren zum Opfer von Sabotage oder Angriffen. 43 Milliarden Euro Schaden gab es dabei laut Statistiken der Bitkom e. V.. Als wären die Daten aus dem Jahr 2018 nicht Warnung genug, war in den letzten Jahren ein Anstieg von Cyberangriffen und Data Breaches zu verzeichnen.
Mit immer mehr Angestellten im Homeoffice wächst die Menge der potenziellen Schwachstellen. Dabei ist nicht zu vergessen, dass häufig die eigenen Mitarbeiter für Datendiebstahl verantwortlich sind oder durch Fehler Sicherheitslücken schaffen. Als wichtiger Baustein für eine holistische Unternehmenssicherheit steigert funktionierendes Berechtigungsmanagement die Datensicherheit, ist ein Baustein des Least Privilege Principles und optimiert darüber hinaus Berechtigungsverfahren für das Lifecycle Management.
Wir zeigen wichtige Aspekte des Berechtigungsmanagements, Hürden und Aufgaben bei der Umsetzung und Ansätze, wie IAM von OGiTiX als Softwarelösung das Berechtigungsmanagement orchestriert.
Berechtigungsmanagement als Element der IT- und Datensicherheit
Die Regelung von Berechtigungen in einem Netzwerk steigern die Sicherheit. Dabei geht es nicht darum, Angreifer von außen abzuwehren, sondern Entitäten wie Angestellte im Netzwerk mit Richtlinien und Grenzen für den Zugriff auszustatten. Berechtigungsmanagement kann als Teildisziplin des Identity and Access Management Unternehmen, öffentliche Einrichtungen und systemrelevante Strukturen vor sensiblen Schäden schützen.
Berechtigungsmanagement Definition
Unter Berechtigungsmanagement versteht man die Verwaltung von Zugriffsrechten in einem Netzwerk. Das Berechtigungsmanagement (Access Management) stellt nach erfolgter Identifizierung der Entitäten Regeln und Methoden dazu auf, ob und wie Zugriff auf interne und externe Ressourcen gewährt wird.
Berechtigungsverwaltung als Teil des Sicherheitskonzeptes
Im Sicherheitskonzept für IT-, Daten- und Netzwerksicherheit erfüllt Berechtigungsmanagement eine wichtige Funktion für die Umsetzung des Least Privilege-Prinzips (auch Principle of Least Privilege – PoLP). Mit diesem werden Nutzern bzw. Rollen im Netzwerk nur die Rechte zugeschrieben, welche sie für das Erfüllen der ihnen zugewiesenen Aufgaben benötigen.
Anforderungen an Berechtigungsmanagement
Mit dem richtigen Werkzeug einer Access Management- bzw. Berechtigungsmanagement Software lassen sich Vorgänge im Netzwerk des Unternehmens orchestrieren. Für die Umsetzung der Sicherheitsmaßnahmen dokumentiert man Vorgänge und richtet daraufhin ein Zielbild und Stadien der Umsetzung aus.
In vielen Programmen und Ansätzen erfolgt die Umsetzung in ähnlichen Teilschritten:
- Die Definition von Vergabepraxis (z. B. PoLP) und Rollen (Role Based Access Control – RBAC)
- Dem Zuweisen von Berechtigungsobjekten an die einzelnen Rollen
- Die Regelung der Vergabepraxis von Zusatzberechtigungen
- Regelmäßiges Auditing
Hürden im Berechtigungsmanagement
Mängel bei der Konzipierung und der Umsetzung des Berechtigungsmanagements können Probleme für die Sicherheit oder den Aufwand bei täglichen Abläufen bedeuten. Übliche Schwachstellen müssen früh bedacht und für das individuelle System analysiert werden. Grundlegende Probleme und Hürden lassen sich durch geeignete Identity and Access Management Software und Beratung von Spezialisten beseitigen.
Mangelnde Prozessabbildung, fehlende und ungeeignete Berechtigungen
In vielen Unternehmen werden Prozesse nicht abgebildet. Für die Einführung von Berechtigungen sind diese allerdings elementar. Um Prozesse und Zugriffe bzw. erforderliche Berechtigungen abzubilden, werden Mitarbeiter in leitender Position der Abteilungen einbezogen. Das senkt den Arbeitsaufwand der IT bei der Analyse und Abbildung. Darüber hinaus werden Ansätze so realistisch an den praktischen Arbeitsanforderungen orientiert.
Ungenaue Datenklassifikation
Die Kategorisierung der Daten nach Aspekten der Sensibilität und Geheimhaltung sind ein weiterer wichtiger Schritt. Sensible Daten sollten nur einer überschaubaren Zahl von Mitarbeitern zugänglich gemacht werden und zwar nur dann, wenn diese punktuell benötigt werden. Wann, wie lange, warum und von wem eine Berechtigung erteilt wurde, sollte im Berechtigungsmanager archivierbar und klar nachvollziehbar sein.
Vergabepraxis wird nicht befolgt
So wie ein Trainingsplan nur funktioniert, wenn er konsequent eingehalten wird, misst sich auch der Erfolg der Berechtigungskonzepte an der übergeordneten Vergabepraxis. Als Initiale für den Prozess des Berechtigungsmanagements sind Grundlagen wie das Need-to-Know-Prinzip und das Principle of Least Privilege grundlegend bei der Umsetzung der Arbeitsschritte zu bedenken.
Diese folgen der Prämisse, dass nur die minimalen Rechte zu vergeben sind und zusätzliche Berechtigungen wie Zugriff auf Daten oder Berechtigungen für das Ausführen von Befehlen für die IT nur auf Anfrage von Verantwortlichen und für einen bestimmten Zeitraum gewährt werden.
Mangelt es an klaren Grundlagen, werden beispielsweise zusätzliche Rechte over-provisioned, um späteren Arbeitsaufwand (Vergabe von Einzelrechten) zu sparen.
Definition von Superusern
Im Berechtigungsmanagement schließen PoLP und Need-to-Know das Vorhandensein von Superusern nicht aus. Was vermieden werden sollte ist, dass diese ungewollt herangezüchtet und Mitarbeiter durch die unübersichtliche Ansammlung von Rechten zu Superusern wachsen.
Mitarbeiter mit übergeordneten Berechtigungen an der Spitze der Unternehmenshierarchie sind eine Notwendigkeit und stellen sicher, dass sensible Berechtigungen erteilt oder entzogen werden – und zwar ohne langen Verzug.
Prädestiniert als Superuser sind langjährige Mitarbeiter in leitenden Positionen (z. B. der IT) oder Teile der Geschäftsführung – eben Personen, welche aufgrund ihrer Rolle im Unternehmen von vornherein sehr viel Einblick haben, Berechtigungen benötigen und als vertrauensvoll eingestuft sind.
Berechtigungsmanagement von OGiTiX
Berechtigungs- oder Access Management ist ein fester Bestandteil der IAM-Software von OGiTiX. Mit Grundlagen der Berechtigungsobjekte (BOBs) und der Rollenverwaltung in der Roll Based Access Control werden den Rollen Berechtigungen zugeordnet.
Praktisch ist die Vergabe einer zusätzlichen Benutzerberechtigung in einem Bestellsystem unter weiteren Bedingungen wie einer zeitlichen Beschränkung des Zugriffs unter Zustimmung von dafür berechtigten Key-Usern in den Abteilungen.
Ergänzt wird dies durch das Durchlaufen definierter Rollen und Berechtigungen im Lifecycle Management, durch welche beispielsweise Wechsel von Azubis durch die Abteilungen (Mover-Abläufe) zum einfachen Akt werden. Die Information über Statusänderungen wie beispielsweise über die Anlage eines neuen Mitarbeiters im System (Joiner) erfolgt an relevante Angestellte aus der IT. Auch das Entziehen der Rechte beim Ausscheiden aus dem Unternehmen (Leaver) wird lückenlose nachvollziehbar.
Mit dem Re-Certification Management können aktuelle Berechtigungen nachvollzogen werden. Die grafische Oberfläche unimate von OGiTiX unterstützt die Erkennung von Vorgängen, die außerhalb der Norm laufen, unterstützt die Regelung und unterstützt so die Prozessdokumentation.
IAM mit OGiTiX unimate eignet sich perfekt für hohe Ansprüche beim Umgang mit sensiblen Daten.