Zffoto - stock.adobe.com

Wie können Unternehmen Zugriffsrechte richtig überprüfen?

Die Überprüfung der Berechtigungen für Anwender stellt sicher, dass nur autorisierte Nutzer Zugang zu wichtigen Daten und Systemen haben. Eine schrittweise Herangehensweise hilft.

Regelmäßig zu überprüfen und zu kontrollieren, welche Mitarbeiter Zugriff auf welche Systeme und Daten haben, gehört nicht nur zum Einmaleins der Unternehmenssicherheit. Es ist auch aus Compliance-Gründen schlicht unabdingbar. Ob DSGVO (Datenschutz-Grundverordnung), PCI DSS, HIPAA oder der Sarbanes-Oxley Act, nahezu alle Vorgaben haben verbindliche Anforderungen für die Überprüfung des Benutzerzugriffs. Werden die Zugriffsberechtigungen nicht regelmäßig auf den Prüfstand gestellt, kann das für Unternehmen unangenehme Folgen haben.

Viele Unternehmen setzen auf unterschiedliche Mechanismen bei der Absicherung in Sachen IAM (Identity and Access Management). Sei es nun die rollenbasierte Zugriffskontrolle (RBAC, Role Based Access Control) oder das Prinzip der geringsten Privilegien beziehungsweise Rechtevergabe (POLP, Principle of least Privilege). Aber was passiert eigentlich, nachdem diese Mechanismen einmal eingeführt sind?

Man denke nur an die Mitarbeiter, die das Unternehmen, aus welchen Gründen auch immer, im Laufe eines Jahres verlassen haben. Hinzu kommen jene, die die Abteilung oder ihre Rolle gewechselt haben. Dies kann sich nach einem bestimmten Zeitraum zu einer beachtlichen Anzahl an Veränderungen summieren. Betrachtet man nun die Daten, Anwendungen und Systeme, zu denen diese Mitarbeiter Zugang hatten oder haben, kann da schnell ein Risiko entstehen.

Möglicherweise verfügen ausgeschiedene Mitarbeiter noch über Zugang zu relevanten Informationen des Unternehmens. Aber auch Mitarbeiter im Unternehmen, bei denen sich Benutzerrechte akkumuliert haben, können ein Sicherheitsrisiko darstellen.

Um derlei Problematiken möglichst vorzubeugen, ist es wichtig, die Zugriffsberechtigungen zu überprüfen.

Wofür steht die Überprüfung des Benutzerzugriffs und der Zugriffsberechtigungen

Bei der Überprüfung des Benutzerzugriffs werden die Rechte all Personen, die Zugang zu Unternehmenssystemen und -daten haben, in regelmäßigen Abständen überprüft. Zu diesen Benutzern können Mitarbeiter, Lieferanten, Partner, Dienstleister und Dritte gehören.

Die Überprüfung von Benutzerkonten, oder auch Rezertifizierung von Zugriffsrechten beziehungsweise Berechtigungsprüfung ist von entscheidender Bedeutung für die Überwachung, Verwaltung und Prüfung des Lebenszyklus von Benutzerkonten. Dieser reicht von der Erstellung der Konten bis zu deren Stilllegung mit allen Zwischenstufen.

Die Überprüfung des Benutzerzugang sollte mit einer genau definierten Richtlinie für den Vorgang einhergehen. Diese Prüfung sollten regelmäßig durchgeführt werden, um potenziellen Sicherheitsproblemen vorzubeugen.

Typische Risiken bei Zugriffsberechtigungen

Falsche Zugriffsrechte können zu böswilligen Angriffen oder internen Fehlern führen, die sich ganz erheblich auf das Unternehmen, den Geschäftsbetrieb und damit auf das wirtschaftliche Ergebnis auswirken können. Zu den üblichen Risiken, die mit Zugriffsrechten verbunden sind, gehören die folgenden:

  • schleichende Rechteausweitung (privilege creep)
  • unangemessener oder unbefugter Zugriff ist möglich
  • Betrug
  • Zugriffsmissbrauch
  • interne Bedrohungen, sowohl böswillig als auch unabsichtlich zufällig
  • Fehlkonfiguration von Konten
  • veraltete Zugriffsrichtlinien für Benutzer

Es existieren mannigfaltige Gründe, warum Anwender zu viele Berechtigungen und Privilegien erhalten. Dies geschieht beispielsweise, wenn Mitarbeiter ihre Rolle im Unternehmen verändern und ihre Zugriffsrechte nicht an die neue Tätigkeit angepasst wird. Auch wenn Mitarbeiter kündigen oder entlassen werden, muss sichergestellt sein, dass sie nicht ihre Zugriffsrechte behalten. Eine typische Quelle für Probleme bei den Berechtigungen sind ebenfalls Fusionen und Übernahmen von Unternehmen.

Abbildung 1: Es ist wichtig, regelmäßig die Benutzerzugriffe auf den Prüfstand zu stellen. So lassen sich Fehler im eigenen IAM aufspüren.
Abbildung 1: Es ist wichtig, regelmäßig die Benutzerzugriffe auf den Prüfstand zu stellen. So lassen sich Fehler im eigenen IAM aufspüren.

Wie man eine Überprüfung der Zugriffsrechte durchführt

Schritt 1: Definieren einer Richtlinie, wie Zugänge verwaltet werden sollen

Eine Richtlinie zur Verwaltung des Benutzerzugriffs sollte mindestens folgende Punkte umfassen:

Ein Inventar der Unternehmensressourcen. Führen Sie auf, auf welche Ressourcen Anwender im Unternehmen Zugriffsrechte erhalten können. Dokumentieren Sie alle Datenbanken, Anwendungen, Systeme, Netzwerke, Betriebssysteme, Rechenzentren, Räume, Gebäude und so weiter.

Eine Liste der Eigentümer für jedes Asset. Identifizieren Sie den/die Eigentümer der einzelnen Assets. Dabei kann es sich um einen Abteilungsleiter, einen Kostenstellenverantwortlichen, einen Administrator oder ein IT-Team handeln. Die Eigentümer sollten dann eine detaillierte Liste der Arten von Daten und zugänglichen Inhalten in ihren Beständen vorlegen, die den Zugriffsebenen und Rollen zugeordnet werden.

Beschreibungen von Benutzerzugriffsebenen und Rollen. Weisen Sie die Aufgaben und Verantwortlichkeiten und die damit notwendigen Zugriffsberechtigungen zu. Dies sollte auf einer sehr granularen Ebene erfolgen. So benötigen beispielsweise einige Mitarbeiter nur Lesezugriff auf Daten, um ihre Aufgaben erfüllen zu können. Andere benötigen Bearbeitungsfunktionen und wieder andere müssen auch in der Lage sein, Daten zu löschen. Um nur die wirklich notwendigen Rechte zu vergeben, ist es wichtig, hier potenzielle Sicherheitslücken zu schließen.

Art und Häufigkeit der Berichte. Es können unterschiedliche Arten der Überprüfungen von Zugriffsberechtigungen eingerichtet werden. Kontoüberprüfungen, die durch ein Ereignis ausgelöst werden, können beispielsweise einmalige Aktualisierungen sein. Diese können ihrerseits durch vordefinierte Regeln ausgelöst werden, wenn beispielsweise ein Mitarbeiter die Abteilung wechselt oder kündigt. Andere Überprüfungen lassen sich in regelmäßigen Abständen planen.

Die Überprüfung des Benutzerzugriffs kann pro System, pro Mitarbeiter oder in einer Kombination aus beidem durchgeführt werden. Bei einer Überprüfung pro System werden die Zugriffskontrollen (Access Control) auf der Grundlage der Personen überprüft, die Zugriff auf die einzelnen Systeme haben. Bei der Überprüfung pro Mitarbeiter hingegen, werden die Berechtigungen auf der Grundlage der Systeme untersucht, auf die ein Mitarbeiter Zugriff hat.

Wie häufig die Berechtigungen auf den Prüfstand gestellt werden, kann von Unternehmen zu Unternehmen variieren. Mancherorts kann es sinnvoll sein, die gesamte Richtlinie häufiger zu überprüfen, während andernorts nur ein System auf einmal bewertet wird oder Stichproben durchgeführt werden. Dort wird eine vollständige Überprüfung vielleicht nur durchgeführt, wenn Unstimmigkeiten auftreten. Je nach System können die Überprüfungen monatlich, vierteljährlich, halbjährlich oder jährlich durchgeführt werden. Assets mit hohem Risiko sollten häufiger einer Prüfung unterzogen werden als jene mit geringerem Risiko.

Wenn man die Frequenz für die Überprüfung bestimmt, sollte man dabei auch gleich die Art der Überprüfung berücksichtigen. Es kann unter Umständen sinnvoll sein, eine andere Art der Prüfung zu wählen als bei der vorhergehenden. Das kann insbesondere für solche Unternehmen ratsam sein, die in der jüngeren Vergangenheit starke Veränderungen durchgemacht haben. So sollte ein Unternehmen, das umstrukturiert wurde, neue Anwendungen oder Systeme eingeführt hat oder ein einer Fusion beziehungsweise Übernahme beteiligt war, seine Überprüfungsprozesse und -zeitpläne überdenken.

Abbildung 2: Das Prinzip der minimalen Rechtevergabe ist eine wichtige Säule bei sicheren Zugriffsberechtigungen
Abbildung 2: Das Prinzip der minimalen Rechtevergabe ist eine wichtige Säule bei sicheren Zugriffsberechtigungen

Prozesse für die Deprovisionierung. Eine Richtlinie zur Überprüfung der Benutzerzugriffe in einem Unternehmen sollte auch die Prozesse zur Bereitstellung und Aufhaben von Zugriffsrechten im Detail beschreiben. Provisionierung, der erste Schritt im Lebenszyklus eines Benutzerkontos, erklärt, wie einem Mitarbeiter Zugriffsrechte zugewiesen werden. Die Deprovisionierung kümmert sich ihrerseits darum, wie Berechtigungen entzogen werden, wenn ein Mitarbeiter die Rolle wechselt oder das Unternehmen verlässt.

Der Entzug von Zugriffsrechten auf Unternehmensressourcen ist teil des Deprovisionierung- und Offboarding-Prozesses, wird aber gerne übersehen. Durch regelmäßige Überprüfungen der Zugriffsberechtigungen werden Abteilungsleiter und Eigentümer der Assets auf Probleme beim Offboarding aufmerksam gemacht. So kann das Unternehmen seine Prozesse aktualisieren und die notwendigen Änderungen vornehmen.

Schulungen und Hilfen für alle Beteiligten. Die Überprüfung von Berechtigungen ist ein unternehmensweites Projekt. Auch wenn ein CISO oder der Security-Beauftragte im IT-Team für diese Aufgabe zuständig ist, sollten andere Mitarbeiter und Verantwortliche der Führungsebene bei der Definition und Überprüfung der Zugriffskontrollen mitwirken.

Ein effektives Vorgehen und Team benötigen hier leicht verständliche Daten. Viele Unternehmenslösungen klassifizieren Anwender und Zugriffskontrollen nach ihren eigenen Formaten. Die Kombination von Daten aus mehreren Systemen kann kompliziert und verwirrend werden. Stellen Sie die Daten zusammen und machen sie diese für die Eigentümer der Assets verständlich. Wenn die Informationen schwer nachvollziehbar sind, kann es passieren, dass der Eigentümer diesbezügliche Berichte einfach abzeichnet, ohne eine gründliche Analyse durchzuführen.

Abteilungsleiter sollten sich der Zugriffsrechte bewusst sein, die sie ihren Mitarbeitern gewähren. Die Gewährung von Zugriffsrechten nur um des Zugriffs willen, birgt Risiken für ein Unternehmen. Schulungen zum Sicherheitsbewusstsein können Vorgesetzte sensibilisieren, ihren Mitarbeitern zu viele Zugriffsrechte zu gewähren. Zudem hilft dies, den Zusammenhang der verschiedenen Rollen und den Umfang ihres Zugriffs auf Unternehmensressourcen zu verstehen.

Das Verwalten von Benutzerkonten kann manuell oder automatisiert erfolgen. Für einige Unternehmen können Verzeichnisdienste wie Microsofts Active Directory ausreichend sein. Granulare Zertifizierungen und Verwaltungsmöglichkeiten bieten IAM-Tools (Identity and Access Management), die in unterschiedlichste Ausprägung am Markt erhältlich sind. Je nach Lösung, bieten diese auch Berichtsoptionen für die Überprüfung von Zugriffsberechtigungen.

Schritt 2: Die Überprüfung durchführen

Sobald eine sauber definierte Richtlinie vorliegt, gilt es einen Bericht über alle Datenbanken, Anwendungen und Systemen durchzuführen. Dabei ist zu ermitteln, wer derzeit Zugang zu ihnen hat. Berücksichtigen Sie dabei alle Mitarbeiter und Dritte, wie Lieferanten, Dienstleister und Berater.

Diese Berichte müssen dann an die Eigentümer der Assets gehen. Anhand dieser Liste können diese überprüfen, wer auf welcher Ebene Zugriff hat und wessen Zugriffsrechte geändert oder entzogen werden sollten. Manchmal geschieht dies auf der Grundlage der Rolle, der Abteilung oder der Zuständigkeit, während in anderen Fällen ein detaillierter Ansatz erforderlich ist. So können beispielsweise Zuständigkeiten und Berechtigungen von Personen in derselben Rolle unterschiedlich sein.

Eigentümer eines Assets und Abteilungsleiter beteiligter Mitarbeiter sind häufig unterschiedliche Personen. Bei einigen Überprüfungen können die Eigentümer ganze Abteilungen ablehnen oder genehmigen. Dann müssen die Abteilungsleiter prüfen, ob bestimmten Mitarbeitern ihrer jeweiligen Abteilung der Zugriff gewährt werden soll. Lehnt ein Eigentümer die Zugriffsrechte einer Abteilung ab, sollte er den Abteilungsleiter davon in Kenntnis setzen. Dieser hat dann gegebenenfalls Zeit, über den Zugriff zu verhandeln.

Es muss sichergestellt werden, dass die Eigentümer den Bericht fristgerecht abzeichnen.

Schritt 3: Abhilfemaßnahmen und Berichtswesen

Sobald alle Bewertungen der Zugriffsberechtigungen von Benutzerkonten eingetroffen sind, können die Änderungen auf Grundlage der Bewertungen der Eigentümer durchgeführt werden. Entfernen Sie alle entzogenen Zugriffsrechte und aktualisieren Sie die Berechtigungen der Mitarbeiter nach Bedarf. Wenn Sie einen neuen Bericht über die Zugriffsberechtigungen erstellen, können Sie überprüfen, ob die Änderungen in Kraft getreten sind.

Der abgeschlossene Bericht sollte sicher verwahrt werden. In diesem Bericht sollten frühere und aktuelle Rolle, Zugriffsrechte, deren Genehmigung, die Namen der Systemverantwortlichen und alle Anmerkungen oder weitere Maßnahmen enthalten. Dieser Bericht ist ein Nachweis für die Einhaltung der Rezertifizierung von Zugriffsrechten und bietet einen Prüfansatz.

Wenn all dies vorliegt, ist es ein guter Zeitpunkt, um Sicherheitslücken zu bewerten. Wurden zum Beispiel eine Reihe von Berechtigungen im Zuge der Überprüfung widerrufen, die einst über den Bereitstellungsprozess eingerichtet wurden, muss dieser selbst überdacht werden. Der Bericht kann auch dazu Informationen liefern, wie gut die Sicherheitsrichtlinien und IAM-Strategien funktionieren. Beispielsweise, ob die Zugriffsrichtlinien bei Einstellung, Versetzung oder Kündigung effizient sind und mit dem Security-Modell des Unternehmens übereinstimmen.

Nehmen Sie sich auch die Zeit, den Überprüfungsprozess zu bewerten. Was ist gut gelaufen? Gibt es Schritte, die den Prozess beim nächsten Mal vereinfachen können? Wie ließe sich die Überprüfung der Zugriffsberechtigungen effizienter gestalten?

Best Practices für die Überprüfung der Zugriffsberechtigungen

Der Prozess der Überprüfung der Zugriffsberechtigungen ist eine entscheidende Säule jedes Sicherheitsprogramms eines Unternehmens:

  • Erstellen Sie eine Zugriffskontrollrichtlinie und aktualisieren Sie diese bei Bedarf.
  • Verabschieden Sie ein formales Verfahren wie die Berechtigungen überprüft werden.
  • Führen Sie regelmäßig Audits durch.
  • Die Beteiligung von Mitarbeitern, Abteilungsleitern und Management sollte gefordert und gefördert werden.
  • Nutzen Sie die Funktionen in Sachen Zugriffskontrolle, die IAM-Lösungen bieten oder erwägen Sie den Einsatz solcher Produkte.
  • Überprüfen Sie die Zugriffsberechtigungen nicht nur, wenn Mitarbeiter das Unternehmen verlassen, sondern auch, wenn sich deren Rolle innerhalb des Unternehmens ändert.
  • Definieren und dokumentieren Sie die Aufgabentrennung, das heißt die Aufteilung von Aufgaben und Berechtigungen für einen bestimmten Prozess auf zwei oder mehr Personen.

Und wie stets in der IT-Sicherheit, muss man mit dem Unerwarteten rechnen. Stellen Sie sicher über ein Verfahren für unvorhergesehene Probleme zu verfügen. Beispielsweise, wenn Verstöße gegen die Aufgabentrennung festgestellt werden oder wenn eine Arbeitsplatzfunktion geändert wurde und in der Hauptliste der Zugriffsebenen und Rollen aktualisiert werden muss.

Einige allgemein Best Practices in Sachen IAM und Zugriffsrechte, sind darüber hinaus empfehlenswert:

Setzen Sie das Prinzip der minimalen Rechtevergabe um (POLP, Principle of least Privilege)

Nutzen Sie eine rollenbasierte Zugriffskontrolle (RBAC, Role Based Access Control).

Setzen Sie wo immer möglich eine 2-Faktor- oder Multi-Faktor-Authentifizierung ein.

Setzen Sie eine Richtlinie für starke Passwörter um.

Wenn Sie die Zero-Trust-Strategie an.

Erfahren Sie mehr über Identity and Access Management (IAM)

ComputerWeekly.de
Close