Access Governance

Für Unternehmen gilt es eine ganze Reihe an Compliance- und regulatorischen Vorschriften sowie gesetzliche Regelungen einzuhalten. Exemplarisch sei hier beispielweise im Kontext Zugriffsrechte die EU-DSGVO (Datenschutz-Grundverordnung) genannt. Gleichzeitig ist heutzutage das Risikomanagement und die hierfür notwendige Risikobewertung im Bereich IT von großer Bedeutung. All dies sorgt dafür, dass dem Thema Access Governance, also in etwa der Regulierung und Verwaltung von Zugriffen, entsprechende Beachtung zukommt.

Ein wichtiges Ziel der Access Governance besteht darin, die Kosten und den Aufwand im Griff zu behalten, wenn es darum geht Zugriffsrichtlinien durchzusetzen und zu verwalten. Dabei können Tools für die Zugriffsverwaltung helfen, die Zugriffe nachzuverfolgen, Änderungsanforderungen bei den Berechtigungen zu überprüfen, oder rollenbasierte Zugriffskontrollen (RBAC) beziehungsweise attributbasierte Zugriffskontrolle (ABAC) zu automatisieren. Dazu gehört selbstverständlich eine Vereinfachung der Berichterstattung.

Softwarelösungen, die sich um die Verwaltung der Zugriffe kümmern, kombinieren meist Zugriffskontrolle (Access Control) mit Funktionen zum Identitätsmanagement, was in IAM-Systemen (Identity and Access Management) mündet. Damit lässt sich sehr einfach ein Standardsatz von Zugriffsrechten für bestimmte Rollen durchsetzen und dennoch ist man flexibel genug, den Anforderungen von Superusern und Admins gerecht zu waren. Das entsprechende Softwarelösungen mehr Transparenz bieten, ist es für Verantwortliche einfacher, eine schleichende Rechteausweitung (Privilege Creep) zu erkennen und das Prinzip der minimalen Rechtevergabe umzusetzen.

Je nach Unternehmen und organisatorischer Struktur verteilt sich die Verantwortung für die Access Governance auf die IT-Leitung, Personalabteilung, Betriebsrat, Geschäftsführung und Rechtsabteilung. Anwender mit besonderen Zugriffsrechten sind immer ein attraktives Ziel für Angriffe, daher ist es wichtig, dass Unternehmen den Überblick behalten, um Risiken und die Angriffsfläche des Unternehmens zu minimieren. Wenn insgesamt die Access Governance abteilungsübergreifend geregelt wird, können Unternehmen sich besser auf sich ändernde gesetzliche Anforderungen einstellen, interne Richtlinien einhalten und die Zugriffsregelungen regelmäßig auf den Prüfstand stellen.