Benutzerrechte: Den Identity-Governance-Prozess vereinfachen

Automatisierte Abläufe und ein konsequentes Überprüfen der Administration von Identitäten sorgen für Transparenz bei Benutzerrechten.

Passwort-Klau „leicht gemacht“: Der Fernsehsender TV 5 Monde geriet vor einiger Zeit in die Schlagzeilen, als ein Foto eines Reporters vor einer Pinnwand mit mehreren Passwörtern deutlich sichtbar im Fernsehen zu sehen war.

Dieses Beispiel zeigt, daß selbst die einfachsten Sicherheitslösungen oft in Unternehmen nicht eingehalten werden. Dabei interessant: Eine aktuelle Studie des Branchenverbandes BITKOM hat gezeigt, dass die weitaus meisten Cyberangriffe aus dem direkten Umfeld des betroffenen Unternehmens kommen.

Zunächst einmal sind die Gründe menschlichen Verhaltens wie im obigen Beispiel schnell ersichtlich: Die Entwicklung neuer Technologien, die Verbreitung von mobilen Endgeräten sowie die gesetzlichen Anforderung zum Datenschutz, insbesondere in der Cloud, führen zu einer erhöhten Komplexitätsstufe – also deutlich mehr Aufwand – im Umgang mit Identitäten. Diese ist mit einer Basisabsicherung in der Security nicht mehr adäquat zu bewältigen.

Rechtevergabe nach dem Minimalprinzip

Automatisierte Re-Zertifizierungen von Benutzerrechten auf Basis von Geschäftsaktivitäten unterstützen daher die Überprüfung der Rechtevergabe nach dem Minimalprinzip. Für die ganzheitliche und nachhaltige Transparenz von Benutzerrechten in einem Unternehmen bedarf es automatisierter Abläufe und kontinuierlichen Monitorings in der Administration der Identitäten.

Der Gesetzgeber fordert eine regelmäßige Überprüfung, also eine Nachbetrachtung vergebener Benutzerrechte, so dass das in der Organisation umgesetzte „Minimalprinzip“ nachgewiesen werden kann.

Das Minimalprinzip schreibt vor, dass Mitarbeiter nur die IT-Rechte erhalten, die für ihren Aufgabenbereich unbedingt notwendig sind (Funktionstrennung/Segregation of Duty). Eine besondere Herausforderung liegt in der Regel darin, dass es zur Beurteilung der Angemessenheit dieser Benutzerrechte sowohl die IT als auch die Fachabteilung benötigt, wobei die Fachabteilung die Funktionstrennung auf der Basis von Geschäftsaktivitäten analysiert.

So müssen beispielsweise Bestellscheineingabe und Genehmigung strikt getrennt sein, und in der IT die erforderlichen Rechte in den Systemen für die Mitarbeiter angelegt werden.

Abbildung 1: Bei der Umsetzung des Minimalprinzip liegt die Herausforderung unter anderem in der Kommunikation zwischen allen Beteiligten.

Eine regelmäßige Überprüfung (Rezertifizierung) der vergebenen Rechte erfolgt in der Regel durch die Fachabteilung. Diese kann jedoch aufgrund der technischen IT-Rechte-Bezeichnungen, beispielsweise „ENPS_GESTSTATI_RILTEC“, meist keine Beurteilung darüber abgeben, ob die geforderte Aufgabentrennung in der IT umgesetzt wird. Die Fachabteilung kann lediglich Funktionstrennung anhand von Geschäftsaktivitäten bewerten.

Die hier aufgezeigten Herausforderungen liegen in der Kommunikation zwischen allen Beteiligten. Diese können jedoch überbrückt werden, indem die IT-Rechte grundsätzlich den entsprechenden Geschäftsaktivitäten zugeordnet werden.

Schutz der Identität und Vereinfachung der Governance

IT und Fachabteilung erarbeiten gemeinsam eine Funktionstrennungsmatrix, in der die Zuordnungen erfolgen und die dann in einer Gesamtlösung als Regelwerk implementiert wird. Diese Vorgehensweise ermöglicht der Fachabteilung die effektive und effiziente Beurteilung aller erforderlichen IT-Rechte nach dem Minimalprinzip in regelmäßig wiederkehrenden Zyklen. Eine Überprüfung durch externe und interne Auditoren wird über die gewonnene Transparenz deutlich erleichtert.

Präventive Überprüfung von Konflikten

Die Zuordnung von Geschäftsaktivitäten zu IT-Rechten unterstützt zusätzlich auch eine präventive Beurteilung von Konflikten bei der Beantragung von Benutzerrechten. Hinterlegte Regeln zeigen bereits bei der Beantragung von konfliktären IT-Rechten den vermeintlichen Verstoß einer Funktionstrennung an.

„Rollen-Management und Rollenmodellierung mit modernen Analyse-Tools steigern die Effizienz bei der regelmäßigen Überprüfung hinsichtlich Risikopotential und Nutzung.“

Jutta Neudeck, IBM

 

Der Antragsteller kann präventiv entscheiden, ob diese Rechtekombination angelegt werden soll oder der Vorgang direkt abgebrochen wird. Im Falle einer Beantragung wird ein entsprechender Genehmigungs-Workflow initiiert, der das Risikomanagement oder weitere Instanzen im Genehmigungsprozess einbezieht. Während der Genehmigung können entsprechende mitigierende Kontrollen angelegt werden, die dieses Risiko mindern und oder regelmäßig überprüfen.

Rollen-Management und Rollenmodellierung

Rollenmanagement und Rollenmodellierung mit modernen Analyse-Tools steigern die Effizienz bei der regelmäßigen Überprüfung von Rollen hinsichtlich Risikopotential, Überschneidungsgrad und Nutzung.

Eine Überprüfung von Rollen hinsichtlich Überschneidungen und Umsetzung von Funktionstrennung ist ohne Tool-Unterstützung sehr zeitaufwendig. Die Notwendigkeit der Überprüfung von Rollen ist in der Tatsache begründet, dass sich diese nach der Freigabe in der Regel dynamisch weiterentwickeln. Neue Einzelrechte kommen hinzu und es besteht die Gefahr, dass Rollen nach der ersten Freigabe mit der Zeit oder in Kombination mit anderen Rollen Konflikte in der Funktionstrennung entwickeln, die unerkannt bleiben. Diesen Umstand haben auch die Auditoren erkannt und überprüfen daher Rollen auf Basis von Einzelrechten.

Abbildung 2: Je nach Projektpriorität können nach und nach die Meilensteine von Identity Governance umgesetzt werden.

Das lösungsunterstützte Rollen-Management sowie die Rollenmodellierung profitiert ebenfalls von der Zuordung der Geschäftsaktivitäten zu den Einzelrechten. Die attributgesteuerte Rollenanalyse schlägt entsprechende Rollenkombinationen vor. Diese Rollenkandidaten werden von den Verantwortlichen überarbeitet, eventuell noch verändert und kontinuierlich auf Konflikte überprüft. Der Antrag wird dann automatisch durch den Genehmigungsworkflow an die Verantwortlichen weitergeleitet und nach Genehmigung im Katalog freigegeben. Die Benutzerrechte der betroffenen Mitarbeiter werden automatisch konsolidiert.

Fazit

Die Kombination von Lifecycle Management, Identity Governance und Analyse in einer Plattform unterstützt sowohl die erforderliche Transparenz zur Absicherung des Unternehmens als auch eine effiziente und effektive Bearbeitung der Compliance-Anforderungen sowie die Umsetzung der Unternehmens-Governance.

Ein modularer Lösungsansatz berücksichtigt dabei sowohl den jeweiligen Reifegrad von Organisationen als auch die vorhandene IT-Architektur. Dabei wird zwischen Organisationen mit bereits vorhandenem Lifecycle-Management und ohne unterschieden.

Über den Autor:
Jutta Neudeck ist Senior Technical Professional Security bei IBM.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close