Bei Neueinstellung und Jobwechsel ist es notwendig, dass Mitarbeiter schnell und effizient die ihnen zugeordneten Aufgaben auch in den unterstützenden IT-Systemen ausüben können. Das reicht vom Zugang zu neuen Kundenkreisen über erweiterte Funktionen in bereits genutzten Systemen bis hin zum Zugriff auf neue, potentiell kritischere IT-Systeme mit höherer Verantwortung. Ein zentraler Prozess in Business und IT praktisch jeder Organisation ist damit die Erteilung von Benutzerberechtigungen.
Doch oft enden die definierten und implementierten Prozesse bei der Erteilung dringend benötigter Rechte. Sind die Mitarbeiter befähigt, ihre Aufgaben angemessen zu erfüllen, wird von dieser Seite üblicherweise keine weitere Nachfrage über Änderungen an erteilten Berechtigungen erfolgen. Das gilt für alle Arten von Berechtigungen, die von traditionellen Benutzerberechtigungen (etwa in SAP oder vergleichbaren geschäftsunterstützenden Systemen) über höherprivilegierte Applikationsadministratoren bis hin zu den klassischen Systemadministrationsrechten im Privilege Management reichen.
Heutige Anforderungen an ein angemessenes Berechtigungsmanagement (IAM = Identity and Access Management) entstehen aber durch eine Vielzahl weiterer Rahmenbedingungen. Rechtliche und regulatorische Anforderungen fordern über jedes Benutzerkonto aller berechtigten Mitarbeiter (intern wie extern) eine strenge und kontinuierliche Kontrolle der erteilten Berechtigungen. Und neben diesen von außen vorgegebenen Anforderungen sollte es im Interesse jedes Unternehmens (und damit Bestandteil eine angemessen gepflegten und gelebten Security Policy) sein, dass Mitarbeiter nur die jeweils minimal benötigten Berechtigungen auf Unternehmens-Systeme innehaben. Hierfür notwendige und sinnvolle Prozesse im Berechtigungsmanagement umfassen
Deshalb umfassen moderne Berechtigungsmanagement-Konzepte und die sie implementierenden Systeme unter anderem folgende Komponenten und Prozesse, die unter dem Oberbegriff Access Governance zusammengefasst werden:
Doch auch valide und gerechtfertigt erteilte Berechtigungen bergen erhebliche Risiken: Der Missbrauch gerade solcher Zugriffsrechte stellt einen erheblichen Anteil der aktuell beobachteten Sicherheitsvorfälle dar. Und je höher die Kritikalität der erteilten Berechtigungen ist (Beispiel: Vollzugriff auf alle Kundendaten aus Backup- oder Revisionsgründen), desto größer ist das Risiko für ein Unternehmen bei missbräuchlicher Nutzung dieser Berechtigung durch einen böswilligen Insider.
Ein angemessenes Benutzer- und Berechtigungsmanagement begegnet diesen neuen Anforderungen mit Mechanismen die unter den Schlagworten Access Intelligence und User Activity Monitoring zusammengefasst werden. Aktuelle Analyseverfahren, die nicht zuletzt Big Data Algorithmen benutzen und die gestiegene Rechenleistung moderner IT-Infrastrukturen (on-premises und in der Cloud) nutzen, korrelieren statische Berechtigungsinformationen und dynamisch anfallende Protokolle aktuell erfolgender Zugriffe um Abweichungen von erwartetem Verhalten zu identifizieren. Ziel ist hierbei beispielsweise, den unangemessen häufigen Zugriff eines berechtigten Benutzers/Administrators auf kritische Daten zu identifizieren. Hierbei kann dann zeitnah angemessen reagiert werden, was von Benachrichtigung bis zum transparenten Rechteentzug und der Blockierung der aktiven Session reichen kann.
Aktuelle IAM-Architekturen geben Organisationen angemessene und stetig verbessernde Werkzeuge zum Schutz ihres Unternehmens vor unangemessenem Zugriff und zur Einhaltung rechtlicher Anforderungen an die Hand. Die Entwicklung und Integration der für den konkreten Einsatz notwendigen Prozesse sind heute eine zwingende Herausforderung an das Management und alle betroffenen Bereiche im Unternehmen. Das geht weit über die reine IT hinaus. Die Beantragung, die Rechtfertigung und der Entzug von Berechtigungen, aber auch das Modellieren von Unternehmensrollen und deren Risikobeurteilung erfordern die Expertise aus vielen Fachbereichen. Und sie erfordern die Einbettung in eine unternehmensweit gelebte Sicherheitskultur, die durch CEO, CIO, CRO und CISO gleichermaßen implementiert und kontinuierlich fortgeschrieben werden muss.
... ist Senior Analyst bei KuppingerCole mit Schwerpunkt auf Identity und Access Management, Governance und Compliance. Er ist im Identity Management-Sektor seit 1993 beratend tätig. Basierend auf einer kombinierten Ausbildung in Wirtschaft und IT, entwickelte Matthias Reinwarth einen starken Hintergrund in Identity und Access Management sowie Identity und Access Governance und Compliance. Er ist außerdem Co-Autor des ersten deutschen Buches über Verzeichnisdienste im Jahr 1999. Seine praktische Erfahrung als IAM-Berater reicht über 25 Jahre hinaus. Des Weiteren deckt er mit seinen Fachgebieten alle wichtigen Aspekte der IAM einschließlich Technologie und Infrastruktur, Daten- und Berechtigungsmodellierung sowie IAM Prozesse und Governance ab.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…