Mit Access Governance und Access Intelligence gegen Rechte-Jäger und Privilegien-Sammler

Bei Neueinstellung und Jobwechsel ist es notwendig, dass Mitarbeiter schnell und effizient die ihnen zugeordneten Aufgaben auch in den unterstützenden IT-Systemen ausüben können. Das reicht vom Zugang zu neuen Kundenkreisen über erweiterte Funktionen in bereits genutzten Systemen bis hin zum Zugriff auf neue, potentiell kritischere IT-Systeme mit höherer Verantwortung. Ein zentraler Prozess in Business und IT praktisch jeder Organisation ist damit die Erteilung von Benutzerberechtigungen.

Doch oft enden die definierten und implementierten Prozesse bei der Erteilung dringend benötigter Rechte. Sind die Mitarbeiter befähigt, ihre Aufgaben angemessen zu erfüllen, wird von dieser Seite üblicherweise keine weitere Nachfrage über Änderungen an erteilten Berechtigungen erfolgen. Das gilt für alle Arten von Berechtigungen, die von traditionellen Benutzerberechtigungen (etwa in SAP oder vergleichbaren geschäftsunterstützenden Systemen) über höherprivilegierte Applikationsadministratoren bis hin zu den klassischen Systemadministrationsrechten im Privilege Management reichen.

Heutige Anforderungen an ein angemessenes Berechtigungsmanagement (IAM = Identity and Access Management) entstehen aber durch eine Vielzahl weiterer Rahmenbedingungen. Rechtliche und regulatorische Anforderungen fordern über jedes Benutzerkonto aller berechtigten Mitarbeiter (intern wie extern) eine strenge und kontinuierliche Kontrolle der erteilten Berechtigungen. Und neben diesen von außen vorgegebenen Anforderungen sollte es im Interesse jedes Unternehmens (und damit Bestandteil eine angemessen gepflegten und gelebten Security Policy) sein, dass Mitarbeiter nur die jeweils minimal benötigten Berechtigungen auf Unternehmens-Systeme innehaben. Hierfür notwendige und sinnvolle Prozesse im Berechtigungsmanagement umfassen

• Den Entzug nicht mehr benötigter Berechtigungen (De-Provisionierung)
• Die regelmäßige Kontrolle der erteilten Berechtigungen auf weiterhin gegebene Validität und geschäftliche Notwendigkeit (Rezertifizierung)
• Die kontinuierliche Überprüfung des Verhältnisses erteilter Berechtigungen zueinander, ob die notwendige und rechtlich geforderte Funktionstrennung bei kritischen Prozessen eingehalten wird (Segregation of Duties)

Deshalb umfassen moderne Berechtigungsmanagement-Konzepte und die sie implementierenden Systeme unter anderem folgende Komponenten und Prozesse, die unter dem Oberbegriff Access Governance zusammengefasst werden:

• Anforderungs- und Genehmigungs-Workflows zur Zuweisung benötigter Zugriffsrechte
• Provisionierung und Deprovisionierung zum direkten Durchgriff auch auf angeschlossene Systeme zur Erteilung benötigter und zum Entzug obsoleter Berechtigungen
• Werkzeuge und Workflows zur Durchführung von zeitgesteuerten oder risikoorientierten Rezertifizierungskampagnen.
• Regeln und Prozesse zur Kontrolle und Durchsetzung einer angemessenen Funktionstrennung

Doch auch valide und gerechtfertigt erteilte Berechtigungen bergen erhebliche Risiken: Der Missbrauch gerade solcher Zugriffsrechte stellt einen erheblichen Anteil der aktuell beobachteten Sicherheitsvorfälle dar. Und je höher die Kritikalität der erteilten Berechtigungen ist (Beispiel: Vollzugriff auf alle Kundendaten aus Backup- oder Revisionsgründen), desto größer ist das Risiko für ein Unternehmen bei missbräuchlicher Nutzung dieser Berechtigung durch einen böswilligen Insider.

Ein angemessenes Benutzer- und Berechtigungsmanagement begegnet diesen neuen Anforderungen mit Mechanismen die unter den Schlagworten Access Intelligence und User Activity Monitoring zusammengefasst werden. Aktuelle Analyseverfahren, die nicht zuletzt Big Data Algorithmen benutzen und die gestiegene Rechenleistung moderner IT-Infrastrukturen (on-premises und in der Cloud) nutzen, korrelieren statische Berechtigungsinformationen und dynamisch anfallende Protokolle aktuell erfolgender Zugriffe um Abweichungen von erwartetem Verhalten zu identifizieren. Ziel ist hierbei beispielsweise, den unangemessen häufigen Zugriff eines berechtigten Benutzers/Administrators auf kritische Daten zu identifizieren. Hierbei kann dann zeitnah angemessen reagiert werden, was von Benachrichtigung bis zum transparenten Rechteentzug und der Blockierung der aktiven Session reichen kann.

Aktuelle IAM-Architekturen geben Organisationen angemessene und stetig verbessernde Werkzeuge zum Schutz ihres Unternehmens vor unangemessenem Zugriff und zur Einhaltung rechtlicher Anforderungen an die Hand. Die Entwicklung und Integration der für den konkreten Einsatz notwendigen Prozesse sind heute eine zwingende Herausforderung an das Management und alle betroffenen Bereiche im Unternehmen. Das geht weit über die reine IT hinaus. Die Beantragung, die Rechtfertigung und der Entzug von Berechtigungen, aber auch das Modellieren von Unternehmensrollen und deren Risikobeurteilung erfordern die Expertise aus vielen Fachbereichen. Und sie erfordern die Einbettung in eine unternehmensweit gelebte Sicherheitskultur, die durch CEO, CIO, CRO und CISO gleichermaßen implementiert und kontinuierlich fortgeschrieben werden muss.