- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Identity Access Management


Empfehlungen für eine effektive Rezertifizierung von Zugangsberechtigungen
Wie Unternehmen durch einen risikobasierten Rezertifizierungsansatz Zeit und Kosten sparen

Von Thomas große Osterhues, Senior Manager Produktmanagement, Beta Systems Software AG

(09.12.15) - Haben Anwender Zugriff auf Daten, die sie nicht sehen sollten? Erfolgt die Vergabe von Berechtigungen auf ‚Notfallbasis‘? Und: ist die Vergabe von Zugriffsrechten gegenüber dem Auditor zu rechtfertigen? Wie Unternehmen durch einen risikobasierten Rezertifizierungsansatz Zeit und Kosten sparen, erklärt dieser Artikel. Die Zahl der Angriffe auf Unternehmensdaten nimmt weiterhin sehr stark zu und steigt jährlich im Schnitt um mehr als 60 Prozent. Allein in 2014 gab es bereits mehr als 40 Millionen Attacken. In der Mehrzahl der Fälle fürchten Unternehmen Angriffe von außen. Tatsächlich sind aber mehr als die Hälfte aller Datenverluste und des Datenmissbrauchs auf Insider innerhalb des Unternehmens zurückzuführen. Worin liegen die Gründe? Noch immer gibt es viel zu viele Mitarbeiter, IT-Administratoren, externe Partner oder Vertragsnehmer, die über Zugangsberechtigungen verfügen, die sie eigentlich gar nicht haben dürften.

Gründe hierfür sind beispielsweise verwaiste oder veraltete Berechtigungen, die nicht mehr aktuell sind, weil Mitarbeiter längst die Abteilung oder gar das Unternehmen verlassen haben. Häufig werden Zugangsrechte auf Zuruf vergeben, ohne dass vorher geprüft wird, ob die Vergabe korrekt ist oder ob derjenige, der die Berechtigung anfordert bzw. freigibt, überhaupt dazu berechtigt ist. Sind die internen Governance-Anforderungen wie zum Beispiel die Einhaltung des Vier-Augen-Prinzips, Segregation of Duties oder externe gesetzliche Regularien eingehalten worden? Es gibt viele Kriterien, die für die Einführung von Rezertifizierungsregelungen im Unternehmen sprechen.

70 Prozent aller Mitarbeiter sagen, dass sie Zugang zu Daten haben, die sie eigentlich gar nicht sehen dürften. Man denke mal an Informationen zu Gehältern, Personalakten, Krediten und vielem mehr. Was also lässt sich dagegen unternehmen?

Idealerweise setzen Unternehmen ein Identity- und Access-Management-System ein, mit dem Zugangsrechte automatisiert vergeben und gemanagt werden. Dies gilt vor allem für dynamische Organisationen, in denen Mitarbeiter häufig ihre Stellen wechseln sowie stark wachsende Unternehmen, die permanent neue Mitarbeiter einstellen oder auch durch Fusionen oder Zukäufe vermehrt von organisatorischen Veränderungen betroffen sind.

Aber der Einsatz eines solchen Systems allein reicht nicht aus.

Vollständige Überprüfung der Zugangsrechte und Definition von Verantwortlichen
Unternehmen sollten für die Überprüfung sämtlicher Zugriffsrechte ihrer Nutzer Verantwortliche definieren, die zugewiesene Rechte rezertifizieren bzw. entziehen dürfen. Dies erhöht zum einen die Sicherheit und verbessert zum anderen die Genauigkeit der Rezertifizierung. Gleichzeitig wird der Rezertifizierungsprozess auditierbar und compliant.

Durch den Einsatz einer entsprechenden Rezertifizierungssoftware in Kombination mit einem Identity Access Management können Unternehmen ihr Risiko in Bezug auf Datenzugriff deutlich reduzieren. Fehlerhafte oder unberechtigt zugewiesene Zugriffsrechte sollten umgehend korrigiert werden können, um nicht autorisierten Zugriff zu verhindern. Die entsprechenden Applikationen eines Identity- und Access-Management-Systems setzen Änderungen in Echtzeit um.

Zudem empfiehlt es sich für Unternehmen, auf regelmäßiger Basis sogenannte Rezertifizierungskampagnen durchzuführen. Setzen Sie die Einhaltung der Rezertifizierungskampagne innerhalb eines definierten Zeitfensters durch. Dies minimiert das Risiko unerlaubter Zugriffe.

Was sollte eine automatisierte Rezertifizierung können?
Mit einer automatisierten Lösung zur Rezertifizierung sollte sich die Vollständigkeit jeder Rezertifizierungskampagne jederzeit nachvollziehen lassen – bis auf die Benutzer- und Anwendungsebene. Rezertifizierungslisten sollten Detailinformationen zum Zeitrahmen, Fortschritt (Abschluss) sowie zu Rollen und Gruppen bieten, die von direkten Vorgesetzten, Bereichsleitern oder der Geschäftsführung zu rezertifizieren sind.

Der Fortschritt des Rezertifizierungsprozesses sollte immerzu einsehbar sein, möglichst inklusive der notwendigen Details wie Fälligkeitstermin, Kurzbeschreibung, entzogene und rezertifizierte Berechtigungen sowie Zeitrahmen.

Prüfen Sie nicht nur den Status einzelner Benutzer, sondern vergleichen Sie auch die gesamten Abteilungen nach folgenden Kriterien: alle, neue, freigegebene, abgelehnte oder ausstehende Rezertifizierungen.

Die Zuweisung von Vertretungen oder Delegation sollte per Workflow erfolgen können und automatische Sicherheitsprüfungen auf Eignung und Konformität gemäß der in der Identity- und Access- Management-Lösung definierten Delegationsregeln beinhalten. Zudem sollten Benachrichtigungs- und Erinnerungsfunktionen Bestandteil der Rezertifizierungslösung sein, um schnellstmöglich reagieren zu können.

Durch automatisierte Rezertifizierung erhalten Unternehmen kürzere Prüfzyklen und erhebliche Kosteneinsparungen dank risikosensitiver Rezertifizierung. Auf diese Weise lassen sich die Sicherheit der IT und die Genauigkeit der Rezertifizierungen immens erhöhen.

Gleichzeitig sind Unternehmen in der Lage, Revisionsanforderungen zu unterstützen und auf Anfrage unmittelbar Konformitätsnachweise für einen IT Audit geben zu können. Als besonders hilfreich haben sich hier vorgefertigte Auditanalysen erwiesen sowie die Möglichkeit, Ad-hoc-Analysen zu fahren. (Beta Systems Software: ra)

Beta Systems Software: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Grundlagen

  • Zertifikat ist allerdings nicht gleich Zertifikat

    Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

  • Datensicherheit und -kontrolle mit CASBs

    Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

  • KI: Neue Spielregeln für IT-Sicherheit

    Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

  • DDoS-Angriffe nehmen weiter Fahrt auf

    DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

  • Fluch und Segen des Darkwebs

    Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.