Die zwei Achsen der ZugriffsverwaltungGewähren und Entziehen von Berechtigungen braucht einen Plan
27. Juli 2023Zugriffszertifizierung ist eine nie endende Reise kritischen Hinterfragens. Die verläuft ganz im Sinne der IT-Sicherheit und soll offene Flanken schnellstmöglich ausmerzen, um Hackern kein Einfallstor zu bieten.
Eine Grundlage der Zugriffszertifizierung ist die Identitätssteuerung und -verwaltung (IGA) die sicherstellen soll, dass die richtigen Personen Zugang zu den richtigen Ressourcen haben, um ihre Aufgaben zu erfüllen. Mit einer wachsenden Belegschaft können sich die Zugriffsanforderungen jedoch schnell ändern.
Wenn Unternehmen Mitarbeitern, externen Auftragnehmern, Prüfern und Saisonarbeitern voreilig Zugänge gewähren, kann es passieren, dass diese ihnen unwissentlich zu viele Zugriffsrechte erteilen, die für die Erfüllung ihrer Aufgaben nicht erforderlich sind. Dies kann zu ernsthaften Sicherheitsrisiken und Rügen bei Audits führen.
Die Risikoquellen können dabei von unterschiedlicher Natur sein und beschränken sich dabei keinesfalls auf den digitalen Raum: Sei es ein Produktmanager, der in den Vertrieb gewechselt ist und immer noch Zugriff auf Software für das Projektmanagement hat, oder ein Büroadministrator, der an einen anderen Standort im Ausland umzieht, aber weiterhin den Schlüssel für die Eingangstür der Zentrale besitzt.
In Fällen wie diesen braucht es für die Verwaltung von Zugängen ein IGA-Programm, das eine aktuelle Liste führt, wer worauf Zugriff hat und einen Plan für das Gewähren und Entziehen von Zugriffsrechten oder Berechtigungen, die nicht mehr benötigt werden. Die Entscheidungslogik sollte sich dabei an zwei wesentlichen Achsen orientieren.
Arbeitsbezogene und ereignisbezogene Kontexte
Bei den Beispielen aus dem Arbeitskontext gibt es eine Vielzahl von Variablen, die bestimmen, welche Zugriffsrechte und Berechtigungen gewährt werden sollten.
- Geschäftsressourcen: Unterschiedliche Personen benötigen Zugriff auf verschiedene Arten von Anwendungen, sei es Infrastruktur wie Azure, AWS oder Datenbanken, Kommunikationsanwendungen wie Teams oder Slack, CRMs wie Salesforce oder Tools für das IT-Service-Management wie ServiceNow. Bestimmte Anwendungen werden für bestimmte Gruppen der Belegschaft benötigt, einige von ihnen sind allumfassend. Das einfachste Beispiel ist, dass alle Mitglieder einer Organisation wahrscheinlich Zugang zu E-Mail haben sollten.
- Arbeitsorte: Je nachdem, wo die Mitarbeiter arbeiten, benötigen sie sowohl Zugriff auf physische Standorte wie Büros, aber auch auf VPN-Standorte, geografische Untergruppen von Anwendungen oder bestimmte Kundendaten, um lokale Datenschutzgesetze wie die DSGVO oder CCPA einzuhalten.
- Auftragsfunktion oder Status: Die Arbeitsplatzfunktion ist meist an Rollen gebunden. Um einige Beispiele zu nennen: Eine Person, die an einem Fließband arbeitet, hat Zugriff auf fertigungsähnliche Systeme, ein Back-Office-Mitarbeiter wiederum hat Berechtigungen für die Finanz- und Buchhaltungsanwendungen des Unternehmens. Eine weitere Variable könnte die Art der Beschäftigung sein: Vollzeitbeschäftigte sollten andere Zugriffsrechte erhalten als Zeitarbeitskräfte und Zugang zu Ressourcen wie betrieblichen Leistungen haben. Wichtig ist hierbei, Rollen und Kontexte zu identifizieren, da sie eine entscheidende Komponente für die kontinuierliche Verwaltung und Regelung des Zugangs darstellen.
Diese Variablen, die oft kontextabhängig sind, treffen auf eine andere Achse, bei der der Zugang auch auf der Grundlage von Ereignissen gewährt werden kann. Die können entweder regelmäßig und geplant oder kurzfristig auftreten. Beispiele hierzu sind:
- Audits: Wenn Audits anstehen, müssen Unternehmen nachweisen können, dass nur bestimmte Personen Zugang zu bestimmten Systemen haben. Möglicherweise müssen sie auch zusätzliche Personen mit Zugriff auf Datenbanken und verschiedene Anwendungen beauftragen, um die für eine bestimmte Prüfung benötigten Daten zum Nachweis zu sammeln.
- Hochsaison: Feiertage stellen vor allem Einzelhandelsunternehmen, aber auch andere Organisationen vor Herausforderungen – vor allem solche, die eigene „Hochsaisons“ haben, die mit der Einstellung zusätzlicher Mitarbeiter auf Zeitbasis zusammenfallen können. Meist führt dies zu einer erhöhten Anstellung von Zeitarbeitern. Das kann wiederum bedeuten, dass viele Mitarbeiter Zugang zu bestimmten Ressourcen mit hoher Priorität erhalten. Umso wichtiger ist es, diesen Zugang zu entfernen, wenn die jeweilige Hochsaison vorbei ist.
Die Lösung: Zertifizierungskampagnen
Offensichtlich sind bei der Zugriffsverwaltung viele Aspekte zu berücksichtigen. Daher brauchen Organisationen Möglichkeiten, um kontinuierlich zu zertifizieren, dass Zugänge gerechtfertigt, verwaltet und benötigt werden. Kampagnen für die Zugriffszertifizierung sind eine Möglichkeit für Unternehmen, Berechtigungen zu prüfen und formell zu bestätigen, dass die Zugriffsrechte von Identitäten angemessen sind. Bei der Erstellung von Zertifizierungskampagnen sollten Organisationen Folgendes anstreben:
- Sammeln Sie Daten darüber, wer auf was, warum Zugriff hat.
- Richten Sie Umfragen über Zugriffsberechtigungen ein, die für Geschäftsanwender schnell zu beantworten und für Administratoren schnell einzurichten sind.
- Sammeln Sie detaillierte Daten, um intelligente Geschäftsentscheidungen zu treffen.
- Interpretieren Sie die Ergebnisse so, dass sie für Sicherheits- und Risikomanagement-Teams leicht umsetzbar sind, damit die geringsten Rechte gewahrt bleiben.
- Stellen sie sicher, dass Sie in der Lage sind, die Konformität gegenüber Wirtschaftsprüfern belegen zu können.
- Automatisieren Sie Zuweisungsprozesse von Berechtigungen, die zuvor manuell durchgeführt wurden.
Bei der Identitätsverwaltung gilt es, anzuerkennen, dass diese ein stetiger Prozess ist, der nach der Implementierung einer Lösung nicht einfach vorbei ist. Kontexte für die Entscheidung über Zugriffsberechtigungen ändern sich stetig: Bei Mitarbeitern, wenn diese die Position im Unternehmen wechseln und für das gesamte Unternehmen, wenn Hochkonjunktur herrscht. Wer die obigen Faktoren jedoch berücksichtigt, Prozesse automatisiert und so Fehlerquellen verringert, sitzt bei der Identitätsverwaltung fest im Sattel und verringert die Angriffsfläche für Cyber-Kriminelle.
Nils Meyer ist Senior Solution Engineer bei Omada.