Mitarbeiter mit übermäßigen Zugriffsrechten auszustatten, ist keine gute Idee. Stellen Sie sich ein Unternehmen vor, in dem alle Mitarbeiter auf alle Informationen in den Systemen und Anwendungen zugreifen können. Zum Beispiel könnte der Praktikant Änderungen an Kundeninformationen vornehmen. Ein Kollege, mit dem Sie sich gerade gestritten haben, ändert unbemerkt Ihre Gehaltsabrechnung.
Das führt nicht nur in den Daten selbst zu Chaos, sondern ist ein Albtraum für die Datensicherheit!
Zugang zu Informationen und Transparenz sind in unserer heutigen Welt, in der wir ständig mit allem verbunden sind, natürlich von entscheidender Bedeutung. Gerade in Unternehmen sollte dies aber eben nicht über uneingeschränkten Zugriff auf Daten umgesetzt werden.
Ohne eine Access-Management-Strategie mit Zugriffsbeschränkungen und nachvollziehbaren Zugriffen, kann es zu unzähligen, unbemerkten Data Breaches kommen. Doch trotz gravierender Folgen von Data Breaches setzen die meisten Unternehmen nur minimale Zugriffsregelungen um. Das ist beängstigende Realität.
Vielleicht noch alarmierender ist die Zahl der IT-Leiter, die glauben sie verwalten ihre Berechtigungen angemessen. De facto können Sie aber nicht sagen, wer wo Zugriff hat. Ohne eine strukturierte Berechtigungsverwaltung kann eine Organisation genauso gut ihre Türen zur Cyberwelt öffnen, die Firewall ausschalten und ihre Unternehmensdaten verschenken.
Wann sind zu viele Berechtigungen zu viel?
Mitarbeiter haben zu viele Berechtigungen, wenn sie mehr Rechte auf Systeme und Daten haben, als für ihre alltägliche Arbeit erforderlich sind. Denn mit der Anzahl der Zugriffsrechte steigt auch das Risiko für die Organisation, wenn ein Konto kompromittiert wird.
Es gibt 3 Situationen, in denen übermäßige Berechtigungen häufig gewährt werden
Bei Unternehmensgründung
Zu Beginn gibt es in der Regel nur begrenzte IT-Ressourcen und wenige Mitarbeiter übernehmen die meisten technischen Aufgaben. Eine Person könnte die gesamte Entwicklung, das Netzwerkmanagement und den Benutzersupport erledigen. Bei neuen Mitarbeitern wird oft mit “Copy User” gearbeitet, die die gleichen exzessiven Zugriffsrechte haben. Im Laufe der Zeit wird die Berechtigungslandschaft völlig unübersichtlich und unkontrolliert.
Wenn es einfacher ist, jedem eine Berechtigung zu erteilen
Einige Unternehmen geben allen IT-Teammitgliedern Systemadministratorrechte oder sogar jedem Mitarbeiter Administratorrechte. Auf den ersten Blick erscheint das einfacher, als individuelle Berechtigungen anhand von Rollen zu verwalten. Diese Mentalität macht die Organisation angeblich agiler. Das Problem ist das unkalkulierbare Risiko. Wenn etwas passiert, dann kracht es richtig …
Im Notfall
Viele Unternehmen haben gut durchdachte Sicherheitsrichtlinien etabliert, aber in unvorhergesehenen Situationen werden mehr Berechtigungen vergeben, um die Probleme schnellstmöglich aufzulösen. Wenn der Notfall jedoch vorbei ist, werden die Zugriffsrechte nicht wieder deaktiviert. Diese Anhäufung von Berechtigungen (permission creep) geschieht sehr häufig, da Organisationen oft nicht über die richtigen Kontrollen verfügen, um die Rechterücknahme sicherzustellen.
Was können Sie tun, um zu viele Berechtigungen zu vermeiden?
6 Tipps, um unangemessene Berechtigungen zu vermeiden
Eines der Hauptprobleme von Unternehmen ohne ordnungsgemäße Access-Management-Protokolle /-Strategie ist der offensichtliche Mangel an Möglichkeiten zur Kontrolle des Zugriffs auf Anwendungen. Der Schutz des Unternehmensnetzwerks vor Hackern von außen wird priorisiert. Dabei gehen viele Sicherheitsverletzungen von fahrlässigen oder böswilligen Mitarbeitern innerhalb des Unternehmens aus. Sie brauchen eine Access-Management-Strategie.
Nutzen Sie ein Berechtigungsmodell
Erarbeiten Sie ein Modell, um Ihre Berechtigungen transparent, strukturiert und nachvollziehbar zu vergeben. Und setzen Sie es um!
Jeder Mitarbeiter sollte nur auf die Daten Zugriff haben, die er für seine tägliche Arbeit benötigt (Principle of least Privilege). Über ein Rollenmodell in Pyramidenstruktur lassen sich Berechtigungen konsistent festlegen.
Prüfen Sie alle Berechtigungen
Ein solches Audit der Zugriffsrechte aller Mitarbeiter ist eine Menge Arbeit. Aber wenn Sie die Berechtigungen einmal reduziert und sauber aufgesetzt haben, wird alles einfacher!
- Führen Sie für jede Anwendung eine Prüfung durch, um die Anzahl der Gesamtbenutzer und Konten zu erfahren.
- Wenn sie sehr hoch ist, führen Sie Nachforschungen durch, um die Berechtigungen zu bestätigen oder zu reduzieren.
- Bestimmen Sie, wie viele Administratoren innerhalb jeder Anwendung notwendig sind. Entziehen Sie Überberechtigungen konsequent und verbessern Sie die Kontrolle über den Rest.
- Passen Sie Ihr Rollenmodell im Laufe der Überprüfung an die Praxis im Unternehmen an. Aber verwässern Sie nicht die Transparenz und Konsistenz der Rollen.
- Überprüfen Sie die Berechtigungen in regelmäßigen Abständen. Schon eine routinemäßige Überprüfung der Konten kann sicherstellen, dass alle zugehörigen Berechtigungen gültig und erforderlich sind, damit die Benutzer ihre Arbeit erledigen können.
Deaktivieren Sie Konten sofort
Wenn der Mitarbeiter das Unternehmen verlässt, gibt es oft keine Dringlichkeit, seinen Zugang zu entfernen. Oft wird sogar vergessen, die IT zu informieren. Etablieren Sie ein System, damit die IT sofort unterrichtet wird, wenn ein Benutzer sein Konto nicht mehr benötigt.
Deaktivieren Sie das entsprechende Konto und alle Zugriffsrechte sofort. Dies ist besonders wichtig, um zu verhindern, dass ein verärgerter ehemaliger Mitarbeiter auf Unternehmensdaten zugreifen kann.
Vermeiden Sie zu viele Berechtigungen bei einer Person
Mit dem Prinzip der Funktionstrennung (Segregation of Duties) vermeiden Sie Berechtigungen, die potentiell einen Interessenkonflikt auslösen. Zudem reduzieren das Risiko von Betrug und Manipulation. Z. B. sollten Mitarbeiter keine eigenen Rückerstattungen Bestellungen ausführen oder Personalabteilungen keine Gehaltsstufen festlegen können.
Reduzieren Sie generell alle Berechtigungen, die die Vertraulichkeit, Integrität und Verfügbarkeit gefährden, auf das absolute Mindestmaß. Wenn Berechtigungen die definierten Mitarbeiterrollen widerspiegeln und Funktionstrennung berücksichtigen, wird das Risiko auf ein überschaubares Maß reduziert.
Überwachen Sie Zugriffe
Aktivieren Sie das Logging der Benutzerzugriffe, zumindest auf sensible Daten, und lassen Sie sich bei unberechtigten Zugriffen benachrichtigen. Besser noch, Sie prüfen selbst regelmäßig, welche Verstöße aufgetreten sind.
Expertentipp: Verwalten Sie Berechtigungen automatisiert
Selbst nach einer sorgfältigen Prüfung und einem ausgearbeiteten Berechtigungsmodell kann es immer noch schwierig sein, die Berechtigungen manuell zu verwalten, weil Ihr Unternehmen weiterhin agil bleiben muss. Tätigkeitsbereiche ändern sich, neue Mitarbeiter kommen, andere scheiden aus. Nutzerpflege und Berechtigungen bedeuten einfach Verwaltungsaufwand.
Mit einem System für Identity & Access Management können Sie viele Prozesse der Nutzerkonten- und Berechtigungsverwaltung automatisieren. Mit User Provisioning lassen sich Änderungen in einem Quellsystem, wie dem HR-System automatisiert in alle Zielsystemen synchronisieren. Auch Ihr Rollenmodell wird über ein IAM-System automatisch umgesetzt – für neue Mitarbeiter oder bei einem Positionswechsel. Gefundene Fehler oder Überschreitungen von Berechtigungen werden auf der Grundlage Ihrer festgelegten Parameter korrigiert.
Übernehmen Sie die Kontrolle über Ihre Berechtigungen
Letztendlich sind zu viele Berechtigungen auf mehr als nur einer Ebene ein Albtraum. Datensicherheit, Verwaltungsaufwand und nicht zuletzt die Produktivität der gesamten Organisation leiden unter eine fehlerhaften Berechtigungsstruktur mit übermäßigen Zugriffsrechten. Ohne eine adäquate Verwaltung der Berechtigungen potenzieren sich die Sicherheitsrisiken für Ihre Organisation im Bereich Datenschutz und Data Breach. So sind natürlich Audits kaum zu bestehen.
Durch den Einsatz einer automatisierten Lösung für User Provisioning stellen Sie ein ordnungsgemäßes Zugriffsmanagement sicher. Gleichzeitig entlasten Sie Ihre IT von der aufwendigen Berechtigungsverwaltung.
Die automatisierte Verwaltung von Berechtigungen auf Basis eines RBAC-Modells ermöglicht ein freihändiges On- und Offboarding von Nutzern. Gleichzeitig verbessert sich dabei die organisatorische Sicherheit und eine Reduktion des Gesamtrisikos für das Unternehmen.
Geschrieben von:
Matthias Kellers
Senior Consultant IAM & HelloID
Seit mehr als 12 Jahren arbeitet Matthias Kellers als Senior Consultant bei Tools4ever. Er unterstützt unsere Kunden regelmäßig mit Schulungen zu unseren IGA-Lösungen Identity Access Manager & HelloID.