Sergey Nivens - Fotolia

Benutzerkonten und die schleichende Rechteausweitung

Zusätzliche Berechtigungen sind einem Nutzer schnell gewährt, bergen aber ein Sicherheitsrisiko. Regelmäßige Kontrollen erhöhen die Sicherheit.

Es gibt gute Gründe, immer wieder auf das Minimalprinzip bei der Rechtevergabe für Benutzer hinzuweisen. Dabei erhalten die Mitarbeiter genau die Rechte, die es ihnen erlauben, ihre Tätigkeiten auszuüben. So benötigt beispielsweise ein Anwender aus der Personalabteilung in der Regel keinen Zugriff auf die Kundendatenbank. In dem man konsequent die Rechte aufs Notwendige beschränkt, lässt sich der Schaden, der durch kompromittierte Zugangsdaten oder böswillige Anwender verursacht werden kann, trefflich eindämmen.

In der Praxis ändern sich häufig die Verantwortlichkeiten der Anwender, sei es aus organisatorischen Gründen, aufgrund Änderung der Tätigkeitsbeschreibungen oder gar Unternehmensänderungen wie Zukäufen oder Fusionen. Dabei kommt es dann häufig vor, dass der Anwender nach und nach immer mehr Berechtigungen erhält. Selbstredend werden die früheren Zugriffsrechte meist nicht entfernt oder gar auf den Prüfstand gestellt. So erfolgt eine schleichende Ausweitung der Berechtigungen.

Um zu verhindern, dass dies die Gesamtsicherheit des Unternehmens beeinträchtigt, müssen Benutzerkonten regelmäßig im Hinblick auf ihre Rechte überprüft werden. Damit kann sichergestellt werden, dass Anwender nicht unnötig Berechtigungen ansammeln, wenn sich organisatorisch etwas ändert. Ohne einen ordentlichen Prozess für die Überprüfung von Benutzerkonten hinsichtlich der Rechte, droht meist unweigerlich eine schleichende Rechteausweitung.

Benutzerrechte im Griff behalten

Um zu verhindern, dass die Benutzerrechte ein Eigenleben entwickeln und nicht konsequent auf die Tätigkeiten des Mitarbeiters abgestimmt sind, muss die Mitarbeiter-Lifecycle-Management-Richtlinie einen entsprechenden Prozess enthalten. Dieser Prozess muss alle IT-bezogenen Maßnahmen abdecken, wenn die Personalabteilung entsprechende Änderungen an der Rolle des Benutzers feststellt. Dann müssen von dort aus die Administratoren benachrichtigt werden, so dass Rollen und Berechtigungen aktualisierten werden können und redundante Benutzer-Accounts eliminiert werden. Versucht man dies manuell ohne Prozess im Griff zu behalten, ist dies ein arbeitsaufwändiger und fehleranfälliger Ansatz. Dies schon meist aufgrund der Komplexität heutiger Benutzerkonten, Anwendungen und Zugriffsrechte.

Daher ist das Budget in entsprechende Lösungen zum Management von privilegierten Benutzerkonten meist gut angelegt. Etwaige Schäden, die durch den Missbrauch der Accounts oder möglichen Datendiebstahl aufgrund der schleichenden Rechteausweitung entstehen, fallen meist deutlich höher aus. Viele dieser Produkte sind auch in der Lage Cloud-Anwendungen und Zugriffsrechte entsprechend abzubilden.

Die Server Suite von Centrify kann beispielsweise Identitäten und Berechtigungen in einer Vielzahl von IT-Infrastrukturen überwachen und verwalten. So lässt sich hiermit die Erstellung von rollenbasierten Privilegien auf Windows-, Linux- und UNIX-Systemen zentralisieren. Die Cloud-Tools von Okta bieten IAM (Identity and Access Management), und können die Verwaltung von Benutzern erleichtern, da sie mit vorhandenen HR-Systemen zusammenarbeiten. Die Beispiele seien hier nur exemplarisch angeführt. Unternehmen, die Amazon Web Services (AWS) verwenden, sollte die entsprechenden Berichtsfunktionen für Anmeldeinformationen nutzen. Hier werden alle Benutzer eines Kontos und der Status der verschiedenen Anmeldeinformationen wie Passwörter, Zugriffsschlüssel oder auch Geräte zur Multifaktor-Authentifizierung gelistet.

Bedeutung der Audits

Selbst wenn eine gute, automatisierte Rechtevergabelösung eingesetzt wird, die schleichende Rechteausweitung kann dennoch stattfinden. Insbesondere, wenn ältere Anwendungen ersetzt werden, neue Dienste in Betrieb genommen werden oder die interne Mitarbeiterfluktuation sehr hoch ist. Daher ist eine Kontenüberwachung im Hinblick auf die Rechte sowie regelmäßige Audits unerlässlich. So lassen sich falsch zugewiesene Berechtigungen aufspüren und korrigieren, so dass Benutzerkonten und Berechtigungen im Einklang mit den Jobbeschreibungen der Personalabteilung stehen. Rollenbasierte Berechtigungen sollten routinemäßig überprüft werden, um sicherzustellen, dass die zugehörigen Berechtigungen weiterhin relevant und erforderlich sind. In jedem Fall sollte dies nach einer Umstrukturierung des Unternehmens stattfinden. Nicht nur die Rolle der Nutzer, auch die Bedeutung und Wertigkeit der Daten, die in Servern und Datenbanken gespeichert sind, kann sich ändern. Dies gilt es bei einer Anpassung der Zugriffsrechte zu berücksichtigen.

Die konsequente Verwaltung von Benutzern und deren Berechtigungen ist keine der IT-Aufgaben, für die man Schulterklopfen erntet. Aber sie spielt eine ganz erhebliche Rolle bei der Sicherstellung der Gesamtsicherheit des Unternehmens. Sicherheitsvorfälle werden oft durch missbrauchte Zugangsdaten ausgelöst und da kann eine schleichende Rechteerweiterung fatale Folgen haben.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Der richtige Umgang mit privilegierten Benutzerkonten.

Identity and Access Management: Die passenden Zugriffsrechte definieren.

IAM-Strategie an Cloud und Software-defined-Ansätze anpassen.

Privilegierte Benutzerkonten begrenzen und die Sicherheit erhöhen.

 

Artikel wurde zuletzt im November 2016 aktualisiert

Erfahren Sie mehr über Identity and Access Management (IAM)

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close