In einem Unternehmensumfeld ist der wichtigste Aspekt der Netzwerksicherheit die Vermeidung unbefugter Zugriffe, die Access Governance oder Zugriffskontrolle. Compliance-Richtlinien fordern oft konkrete Maßnahmen, um sicherzustellen, dass User keine Berechtigungen auf Dateien und Systeme haben, auf die sie keinen Zugriff haben sollten. Es gibt einige Möglichkeiten, diese „konkreten Maßnahmen“ durchzuführen, aber kaum ein Unternehmen wird wohl einen Mitarbeiter (oder gar mehrere) abstellen können, nur um permanent alle Zugriffe zu überwachen, zu verifizieren und neu zu vergeben. Hier kommt also eine Access-Governance-Software bzw. Access-Governance-Methode ins Spiel, um die Vergabe der richtigen Zugriffsrechte für Ihre Endnutzer zu gewährleisten. Es gibt 3 verschiedene Methoden, die ich Ihnen vorstellen möchte: Role Based Access Control, User Provisioning und Workflows. Ich hoffe Ihnen damit bei der Entscheidung zu helfen, was für Ihr Netzwerk am wichtigsten ist und wie Sie es am besten schützen können.
Role Based Access Control (RBAC)
Rollenbasierte Zugriffskontrolle gewinnt zunehmend an Bedeutung für IT- und IS-Infrastrukturen, um die Netzwerksicherheit ohne großen Verwaltungsaufwand zu gewährleisten. Die Role Based Access Control ermöglicht es Ihnen, alles so einzustellen, dass nur Mitarbeiter der Personalabteilung Gehaltsabrechnungen sehen oder ausschließlich User aus der Finanzabteilung auf personenbezogene Daten zugreifen können, wie beispielsweise Kreditkartendaten von Kunden.
Mit RBAC-Software können Sie bei Bedarf auch die Berechtigungen für einzelne User erweitern. Das ist zum Beispiel nötig, wenn ein Endnutzer eine Sonderrolle oder Doppelfunktion in Ihrer Organisation hat. Er benötigt dann Access im Unternehmen zu mehreren Bereichen, der über 2 Rollen mit ihren jeweiligen Zugriffsrechten auf Organisationsordner, Dateien oder Programme sichergestellt wird.
Diese Form der Access Governance mit RBAC-Modell aber ohne Software in Ihrem IT-Team selbst zu bewältigen, kann große Probleme verursachen. Aufgrund von unzureichenden Informationen über Rollen oder Flüchtigkeitsfehlern bei der Eingabe, könnten einzelnen User zu umfangreiche Zugriffsrechte zur Verfügung gestellt werden.
User Provisioning / Automatisierung
Zugriffsrechte lassen sich durch User Provisioning auch automatisch verwalten. So können falsche oder inkohärente Eingaben durch das IT-Team ausgeschlossen werden. Durch Automatisierung können Sie beispielsweise die User Governance mit Erstellung von Benutzerkonten, Benutzeraktualisierungen (einschließlich Berechtigungen) und das Deaktivieren oder Löschen von Benutzern vollständig automatisieren.
Nicht nur Ihre lokale Active-Directory-Umgebung kann dank User Provisioning gesteuert werden. Alle Änderungen im HR-System (z.B. SAP HCM, Personio, P&I LOGA) können in nachgeschalteten Systeme wie ERP-Systemen, E-Mail- oder Telefon-Anwendungen, Helpdesk- oder Finanzsystemen durchgesetzt werden.
Da das IT-Team von dem eigentlichen Prozess getrennt ist, reduziert sich der Verwaltungsaufwand enorm. Außerdem verhindert die Automatisierung, dass versehentlich ein System ausgelassen wird, das ein Sicherheitsrisiko für Ihr Netzwerk darstellen könnte.
Workflow Management
Etwas spezieller ist das Workflow Management. Ein Workflow ist großartig, wenn man ein System hat, das eine oder mehrere Ebenen der Genehmigung benötigt, um einem Benutzer Zugriffsrechte zu gewähren. Mit einem eingerichteten Workflow kann beispielsweise ein Mitarbeiter den Zugriff auf eine bestimmte Anwendung oder einen Projektordner anfordern, der dann vom Vorgesetzten genehmigt werden muss.
Dies verhindert, dass es einen einzigen Zugangspunkt zu möglicherweise sensiblen Daten gibt. Ein zusätzliches Plus ist die Kombinationsmöglichkeit mit einer Automatisierung via Identity Management Tool: Sie können z. B. den Prozess der Bereitstellung des Zugriffs automatisieren, sobald der Genehmigungs-Workflow durchlaufen ist.
Verschiedene Methoden – ein Ziel: Netzwerksicherheit
Es gibt zahlreiche Möglichkeiten, um Ihre Netzwerksicherheit durch die Nutzung von Access-Governance-Software mit Role Based Access Control (RBAC), User Provisioning und Workflows zu verbessern. Am wichtigsten ist es, diese in Verbindung miteinander und innerhalb eines Identity- und Access-Management-Systems zu nutzen.
Denn so verbessern Sie nicht nur die Netzwerksicherheit und die Compliance, sondern machen auch Ihrem IT-Team das Leben leichter. Ihre IT-Mitarbeiter erhalten mehr Zeit, sich wichtigeren Sachverhalten zu widmen, z. B. die Beseitigung externer Sicherheitsbedrohungen für Ihr Netzwerk!
Geschrieben von:
Matthias Kellers
Senior Consultant IAM & HelloID
Seit mehr als 12 Jahren arbeitet Matthias Kellers als Senior Consultant bei Tools4ever. Er unterstützt unsere Kunden regelmäßig mit Schulungen zu unseren IGA-Lösungen Identity Access Manager & HelloID.