Identity Access Management
Empfehlungen für eine effektive Rezertifizierung von Zugangsberechtigungen
Wie Unternehmen durch einen risikobasierten Rezertifizierungsansatz Zeit und Kosten sparen
Von Thomas große Osterhues, Senior Manager Produktmanagement, Beta Systems Software AG
(09.12.15) - Haben Anwender Zugriff auf Daten, die sie nicht sehen sollten? Erfolgt die Vergabe von Berechtigungen auf ‚Notfallbasis‘? Und: ist die Vergabe von Zugriffsrechten gegenüber dem Auditor zu rechtfertigen? Wie Unternehmen durch einen risikobasierten Rezertifizierungsansatz Zeit und Kosten sparen, erklärt dieser Artikel. Die Zahl der Angriffe auf Unternehmensdaten nimmt weiterhin sehr stark zu und steigt jährlich im Schnitt um mehr als 60 Prozent. Allein in 2014 gab es bereits mehr als 40 Millionen Attacken. In der Mehrzahl der Fälle fürchten Unternehmen Angriffe von außen. Tatsächlich sind aber mehr als die Hälfte aller Datenverluste und des Datenmissbrauchs auf Insider innerhalb des Unternehmens zurückzuführen. Worin liegen die Gründe? Noch immer gibt es viel zu viele Mitarbeiter, IT-Administratoren, externe Partner oder Vertragsnehmer, die über Zugangsberechtigungen verfügen, die sie eigentlich gar nicht haben dürften.
Gründe hierfür sind beispielsweise verwaiste oder veraltete Berechtigungen, die nicht mehr aktuell sind, weil Mitarbeiter längst die Abteilung oder gar das Unternehmen verlassen haben. Häufig werden Zugangsrechte auf Zuruf vergeben, ohne dass vorher geprüft wird, ob die Vergabe korrekt ist oder ob derjenige, der die Berechtigung anfordert bzw. freigibt, überhaupt dazu berechtigt ist. Sind die internen Governance-Anforderungen wie zum Beispiel die Einhaltung des Vier-Augen-Prinzips, Segregation of Duties oder externe gesetzliche Regularien eingehalten worden? Es gibt viele Kriterien, die für die Einführung von Rezertifizierungsregelungen im Unternehmen sprechen.
70 Prozent aller Mitarbeiter sagen, dass sie Zugang zu Daten haben, die sie eigentlich gar nicht sehen dürften. Man denke mal an Informationen zu Gehältern, Personalakten, Krediten und vielem mehr. Was also lässt sich dagegen unternehmen?
Idealerweise setzen Unternehmen ein Identity- und Access-Management-System ein, mit dem Zugangsrechte automatisiert vergeben und gemanagt werden. Dies gilt vor allem für dynamische Organisationen, in denen Mitarbeiter häufig ihre Stellen wechseln sowie stark wachsende Unternehmen, die permanent neue Mitarbeiter einstellen oder auch durch Fusionen oder Zukäufe vermehrt von organisatorischen Veränderungen betroffen sind.
Aber der Einsatz eines solchen Systems allein reicht nicht aus.
Vollständige Überprüfung der Zugangsrechte und Definition von Verantwortlichen
Unternehmen sollten für die Überprüfung sämtlicher Zugriffsrechte ihrer Nutzer Verantwortliche definieren, die zugewiesene Rechte rezertifizieren bzw. entziehen dürfen. Dies erhöht zum einen die Sicherheit und verbessert zum anderen die Genauigkeit der Rezertifizierung. Gleichzeitig wird der Rezertifizierungsprozess auditierbar und compliant.
Durch den Einsatz einer entsprechenden Rezertifizierungssoftware in Kombination mit einem Identity Access Management können Unternehmen ihr Risiko in Bezug auf Datenzugriff deutlich reduzieren. Fehlerhafte oder unberechtigt zugewiesene Zugriffsrechte sollten umgehend korrigiert werden können, um nicht autorisierten Zugriff zu verhindern. Die entsprechenden Applikationen eines Identity- und Access-Management-Systems setzen Änderungen in Echtzeit um.
Zudem empfiehlt es sich für Unternehmen, auf regelmäßiger Basis sogenannte Rezertifizierungskampagnen durchzuführen. Setzen Sie die Einhaltung der Rezertifizierungskampagne innerhalb eines definierten Zeitfensters durch. Dies minimiert das Risiko unerlaubter Zugriffe.
Was sollte eine automatisierte Rezertifizierung können?
Mit einer automatisierten Lösung zur Rezertifizierung sollte sich die Vollständigkeit jeder Rezertifizierungskampagne jederzeit nachvollziehen lassen – bis auf die Benutzer- und Anwendungsebene. Rezertifizierungslisten sollten Detailinformationen zum Zeitrahmen, Fortschritt (Abschluss) sowie zu Rollen und Gruppen bieten, die von direkten Vorgesetzten, Bereichsleitern oder der Geschäftsführung zu rezertifizieren sind.
Der Fortschritt des Rezertifizierungsprozesses sollte immerzu einsehbar sein, möglichst inklusive der notwendigen Details wie Fälligkeitstermin, Kurzbeschreibung, entzogene und rezertifizierte Berechtigungen sowie Zeitrahmen.
Prüfen Sie nicht nur den Status einzelner Benutzer, sondern vergleichen Sie auch die gesamten Abteilungen nach folgenden Kriterien: alle, neue, freigegebene, abgelehnte oder ausstehende Rezertifizierungen.
Die Zuweisung von Vertretungen oder Delegation sollte per Workflow erfolgen können und automatische Sicherheitsprüfungen auf Eignung und Konformität gemäß der in der Identity- und Access- Management-Lösung definierten Delegationsregeln beinhalten. Zudem sollten Benachrichtigungs- und Erinnerungsfunktionen Bestandteil der Rezertifizierungslösung sein, um schnellstmöglich reagieren zu können.
Durch automatisierte Rezertifizierung erhalten Unternehmen kürzere Prüfzyklen und erhebliche Kosteneinsparungen dank risikosensitiver Rezertifizierung. Auf diese Weise lassen sich die Sicherheit der IT und die Genauigkeit der Rezertifizierungen immens erhöhen.
Gleichzeitig sind Unternehmen in der Lage, Revisionsanforderungen zu unterstützen und auf Anfrage unmittelbar Konformitätsnachweise für einen IT Audit geben zu können. Als besonders hilfreich haben sich hier vorgefertigte Auditanalysen erwiesen sowie die Möglichkeit, Ad-hoc-Analysen zu fahren. (Beta Systems Software: ra)
Beta Systems Software: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.