Rezertifizierung von Berechtigungen – Bedeutung, Aufgabe und Best Practice
Bei der Rezertifizierung von Berechtigungen wird der Status quo von Benutzerrechten geprüft. Dadurch ermöglichen Sie die Einhaltung der Vergabepraxis in Unternehmen und Einrichtungen nach Compliance-Vorgaben.
Durchlaufen Mitarbeiter, Azubis oder Praktikanten neue Abteilungen, benötigen sie zusätzliche Berechtigungen. Diese Wechsel von Rollen sind oft der Grund dafür, dass Nutzer Rechte ansammeln, die nie wieder entzogen werden. Kritisch ist das nicht nur bei externen Mitarbeitern.
Vom unteren Ende der Unternehmenshierarchie bis ins Management können Superuser entstehen, deren Berechtigungen als potenziellen Sicherheitsrisiken gelten. Regelmäßige Rezertifizierungsaudits ermöglichen Sicherheit im Rechtemanagement sowie die optimale Vergabepraxis nach Least Privilege Prinzip.
Das Re-Certification Management von OGiTiX versichert Sie durch einfache Audits und liefert den Status quo der Berechtigungen. So erkennen Sie Ausnahmen, bevor diese zur Gefahr werden!
Sicherheit durch Rezertifizierung von Berechtigungen
Privilegien bei Berechtigungen sind ein häufig unterschätztes Risiko. Die Gefahr für Angriffe schlummert häufig in den eigenen Reihen. Laut “BKA Studie Innentäter in Unternehmen 2 von 2020” gaben fast 70 % der geschädigten Firmen ehemalige oder derzeitige Mitarbeiter als Ursachen für Sabotagen, Datendiebstahl oder andere Vergehen an.
Bei 47 % aller Unternehmen seien es IT-Angriffe gewesen. Schäden der Fälle von digitaler Wirtschaftsspionage, Datendiebstahl oder Sabotage beziffern sich laut Berechnungen auf 43,4 Mrd Euro über einen Zeitraum von 2 Jahren.
Was bedeutet Berechtigung?
Eine Berechtigung umfasst alle möglichen Zugriffen einer Entität auf das interne Netzwerk oder eine Cloud. Mitarbeiter, Externe, Apps oder andere Entitäten können dazu berechtigt sein, auf Daten bzw. Teile des Netzwerks zuzugreifen, Apps zu nutzen, Daten abzufragen oder Befehle auszuführen. Allgemein wird im Zusammenhang auch von Lese- oder Schreibberechtigungen gesprochen.
Das Verhältnis von Berechtigungen drückt sich in einem Grundsatz des Identity and Access Managements aus:
Wer darf was wofür aus welchem Grund zu welchem Zeitpunkt.
Im Identity and Access Management ist eine Rolle (Mitarbeiter in bestimmter Abteilung, mit Funktion und Aufgabe) beispielsweise dazu berechtigt, die Funktion eines Programms auszuführen oder auf bestimmte Kundendaten zuzugreifen und damit eine Aufgabe zu erfüllen. Dieser Zugriff kann unter weiteren Regeln erfolgen.
Berechtigungen werden dafür über sogenannte Berechtigungsobjekte im System angelegt und mit eben diesen Rollen (oder Benutzern) verbunden. Bei OGiTiX IAM hören Berechtigungsobjekte auf den Namen BOBs und sind über sprechende Namen definiert. Berechtigungen können in Softwarefunktionen oder Datenaktionen unterteilt werden.
Was bedeutet Rezertifizierung?
Rezertifizierung beschreibt ein Auditing der aktuellen Nutzer, Rollen und Rechte bzw. Berechtigungen in einem Netzwerk. Bei einer Rezertifizierung wird geprüft, wer (Entität) über welche Berechtigungen verfügt. Je nach Rezertifizierungsprogramm kann zudem nachvollzogen werden, wie lange eine bestimmte Berechtigung vorliegt oder wer wann und warum eine Zusatzberechtigung erteilt hat. Diese Möglichkeit ergibt sich aus Archivierbarkeit der Vorgänge.
Mit Rezertifizierungen wird automatisch zu einem festgelegten oder frei gewählten Zeitpunkt geprüft, ob wirklich nur die Rechte vergeben sind, welche für die Rolle im Unternehmen notwendig und elementar definiert wurden. Darüber hinaus lässt sich nachvollziehen, wie es zu Sonderrechten kam oder ob es sich um ein ungewolltes Over-Provisioning handelt.
Automatische und manuelle Rezertifizierung
Die manuelle Rezertifizierung ohne Hilfe von dafür entwickelten Auditing-Programmen ist zeitaufwendig und fehleranfällig. Im Vergleich bietet die automatische Rezertifizierung vielseitige Vorteile. Das Rezertifizierungsaudit der Berechtigungen müssen nicht mehr in den Händen der IT liegen – das schafft Awareness für den Umgang mit Daten bei Angestellten in leitenden Positionen.
Nachvollziehbarkeit der Berechtigungen bietet Sicherheit und reduziert Reibungspunkte zwischen Verantwortlichen und Abteilungen.
Warum ist Rezertifizierung von Berechtigungen notwendig?
Ein gutes IAM-System und gut durchdachte Governance der Rechte ist keine absolute Garantie dafür, dass auch die Nutzung fehlerfrei bleibt. Unter den Prämissen, dass Mitarbeitern Fehler bei Berechtigungen unterlaufen oder Angestellte eine Ursache für Manipulation werden könnten, bietet Rezertifizierung einen Überblick für die Einhaltung der Sicherheitsbestimmungen.
Rezertifizierung wirkt in Szenarien wie:
- fehlende Automatismen für Entzug von Zusatzrechten
- Sichtbarmachung von Superusern im System
- überprovisionierte Rechte für Rollen / überprovisionierte Einzelrechte
- falsche Provisionierung von Berechtigungen
- Rechte werden von Angestellten mit bösen Absichten angesammelt
- Erfüllung von Compliance-Vorgaben nach BSI Grundschutz, KRITIS, ISO27001 oder BAIT
Funktionen der Rezertifizierung von Berechtigungen bei OGiTiX
Die Aufgaben der Rezertifizierung (auch Re-Zertifizierung oder Re-Certification) sollen in der Summe die Sicherheit erhöhen und Compliance-Vorgaben erfüllen. Das gelingt durch:
- Automatisierte Prozesse zur Rezertifizierung
- Berechtigungen rezertifizieren
- Systemseitige Ermittlung der Empfänger/Verantwortlichen
- Automatisierte Umsetzung entzogener Zugriffsrechte
- Schnittstellen zu AD, Azure AD, SAP, Office365 und weiteren (individualisierbar)
- Lückenlose Dokumentation der Prozesse und Änderungen
- Systemübergreifende Rechte- und Identitätsdatenbank
- Service-Portal und Dashboard sowie Berichte auf Knopfdruck
Weitere Informationen zum Re-Certification Management von OGiTiX finden Sie hier.
Rezertifizierung als Ordnungswächter der IAM Best Practice
Rezertifizierung von Berechtigungen ist kein elementarer Bestandteil, um die Vergabepraxis unter der Identity Governance zu gestalten. Die Funktionen des Auditings sind viel mehr als Werkzeug zu verstehen, mit welchem Sie die Einhaltung der aktuellen Vergabepraxis prüfen.
Dafür ist Re-Certification Management in der Identity and Access Management Orchestrierung von OGiTiX in der Lage, den aktuellen Status der Rechtevergabe an Rollen periodisch und automatisch zu prüfen.
Dieser Sicherheitsmechanismus macht Berechtigungen sichtbar, welche nicht zum Need-to-know-Prinzip oder dem PoLP passen. Auch Fehler in der Identity Governance werden so aufgedeckt.
Re-Certification im Identity and Access Management von OGiTiX
In Ergänzung zum IAM von OGiTiX erhalten Sie mit dem Re-Certification Management den aktuellen Status der Berechtigungen in Ihrem System. Diese Ergänzung bietet einen doppelten Boden und mehr Sicherheit für Berechtigungen im Lifecycle Management.
Nach dem Auditing erhalten Sie Berichte über den Status quo von Berechtigungen, führen bei Bedarf De-Provisionierungen durch, kommunizieren die Verbesserung und aktualisieren Datenbanken und Protokolle.
Re-Certification Management von OGiTiX minimiert Schäden durch Data Breaches und Angriffe von innen. Dabei erfüllen Sie Compliance-Vorgaben und erhöhen die Datensicherheit im modernen Unternehmen.