Über unsMediaKontaktImpressum
Dr. Martin Kuhlmann 06. Oktober 2014

Benutzerkonten und Zugriffsrechte in Unternehmen einfach bereinigen

Aufräumen ist meist ein unangenehmes Thema und führt bei vielen direkt zum Vogel-Strauß-Reflex: Kopf in den Sand! Das gilt auch für Bereinigungsaktivitäten bei Benutzerkonten und Berechtigungen in Unternehmen. Die sowieso schon ausfüllende tägliche Arbeit lässt kaum Platz für ausgedehnte Aktionen für Rechteprüfungen und zur Verbesserung der Datenqualität. Doch mit einem systematischen Ansatz und den richtigen Werkzeugen lässt sich ohne großen Aufwand schon einiges erreichen.

In vielen Unternehmen haben Sicherheitsverantwortliche ein ungutes Gefühl, wenn es um die Benutzerkonten und Zugriffsberechtigungen geht: Kann es sein, dass bereits ausgeschiedene Mitarbeiter vielleicht noch aktive Konten in einigen wichtigen Systemen haben? Sind die alten Berechtigungen der Mitarbeiter, die vom Back-Office in die Kundenbetreuung gewechselt sind, entzogen worden? Gibt es Software-Developer, die Berechtigungen in produktiven Business-Anwendungen haben? Diese und weitere Fragen, welche die Sicherheit der Unternehmensdaten im Kern berühren, stellt sich nicht nur mancher IT-Manager im Unternehmen, sondern stellen auch externe Revisoren.

Häufig gibt es zwar teilweise automatisierte Prozesse für die Rechtevergabe in den wichtigsten Systemen, um den Administratoren die Arbeit zu erleichtern. Jedoch ist unklar, welche Rechte wirklich in den Systemen vorhanden sind. Eine Überprüfung oder gar eine systematische Kontrolle bleiben auf der Strecke, weil insbesondere der initiale Aufwand als sehr hoch eingeschätzt wird und abschreckt. Oft beißt man erst dann in den vermeintlich sauren Apfel, wenn es Sicherheitsvorfälle gegeben hat und Revisoren oder Geschäftsführung zwingend Maßnahmen fordern.

Dabei wird sich das Problem in der Zukunft nur verschärfen: Die Zusammenarbeit mit anderen Firmen und die Öffnung von Systemen für Kunden führt zu immer mehr IT-Benutzern mit Zugriff auf Unternehmensressourcen. Das einfache Abonnieren von Cloud-Services erhöht die Anzahl der zu verwaltenden Applikationen. Dezentral organisierte Plattformen wie SharePoint werden hinsichtlich der Zugriffskontrolle immer undurchschaubarer. Auch die Compliance-Anforderungen an Unternehmen steigen, sowohl branchenspezifisch als auch -übergreifend – wie etwa durch das geplante „Erste IT-Sicherheitsgesetz“ der Bundesregierung.

Die Zeit drängt daher, sich eine Übersicht über die bestehenden Risiken zu schaffen und diese in den Griff zu bekommen. Die gute Neuigkeit in diesem Zusammenhang ist, dass der Einstieg in eine dauerhafte Kontrolle mit entsprechenden Analysewerkzeugen und der richtigen Vorgehensweise gar nicht so schwierig ist – man kann schnell den Durchblick bekommen und hat damit eine gute Grundlage für ein systematisches Monitoring der Risikosituation geschaffen.

Praxisbeispiel.

Ein Unternehmen hat festgestellt, dass ein ehemaliger Mitarbeiter sich nach dem Austritt noch per VPN Zugang zu vertraulichen Daten verschafft. Das Management ist alarmiert, und die IT-Abteilung muss handeln. Der CIO stellt fest, dass seine Mitarbeiter nicht zuverlässig über Austritte informiert werden und Konten daher nicht zeitgerecht gesperrt werden können. Über kritische Rechte und die Rechtehistorie gibt es keinen Überblick, und eine forensische Analyse ist somit schwierig. Was ist in dieser Situation kurzfristig machbar? – Eine Identity Governance Lösung mit einer Rechtedatenbank und Standardreports ließ sich im konkreten Fall innerhalb weniger Tage installieren und mit Konten und Rechten aus dem Active Directory und den wichtigsten Fachanwendungen befüllen. Die Berichte brachten sofort Klarheit über Konten ohne zuzuordnende Eigentümer und über noch aktive Konten bei ausgeschiedenen Mitarbeitern. Darüber hinaus sah man direkt, welche Konten lange nicht genutzt wurden. Man konnte nach einer ersten Ressourcen-Klassifizierung den Zugriff auf kritische Daten anwendungsübergreifend sichtbar machen. Die Administratoren entfernten dann unerwünschte Konten und Rechte. Nach erneutem Laden in die Rechtedatenbank zeigten die Governance-Berichte die erreichten Verbesserungen.

Man hatte zwar die bestehenden unzureichenden Prozesse noch nicht geändert, aber es war zunächst schnell aufgeräumt; die drängendsten Ziele Übersicht und Defizit-Beseitigung wurden erreicht. Sauberere Arbeitsabläufe und die regelmäßige Rezertifizierung bestehender Berechtigungen stehen als nächstes auf der Maßnahmenliste.

Nach diesem kurzen Beispiel soll nun ein zu empfehlendes Vorgehen bei der Rechtebereinigung etwas genauer vorgestellt werden.

Erster Schritt: Relevante Informationen zusammenstellen

Um ein klares Bild zu erhalten, muss man sich zunächst auf die relevanten Informationen konzentrieren: Welche Systeme enthalten die kritischen Informationen? Wo ist Missbrauch am wahrscheinlichsten? Welche Arten von Benutzern oder Konten sollen vordringlich geprüft werden?

Um ein genaues Bild der Zugriffsberechtigungen für jeden IT-Benutzer zu erhalten, werden die relevanten Stammdaten ("Identitäten") aus den führenden Systemen wie etwa dem HR System extrahiert und mit ihren Konten und Berechtigungen in den unterschiedlichen IT-Systemen zu einem umfassenden Bild in einem „Identity Warehouse“ zusammengebracht. Zusatzinformationen, die für die Analyse interessant sind, beispielsweise die Abteilungszugehörigkeit oder das Job-Profil, werden ebenfalls eingebracht.

Identity & Access Governance (IAG) Lösungen wie etwa das IAG-Modul der Firma Omada basieren auf einem solchen Identity Warehouse und bieten darauf aufsetzend umfangreiche Berichts-, Analyse- und Bereinigungsmöglichkeiten. Der Import der Daten erfolgt über Standardkonnektoren, oder aus bereitgestellten Dateien, und ist beliebig wiederholbar. Die Software wird dauerhaft zur Kontrolle eingesetzt oder als Tool in einem „Risk Check Service“ angeboten.

Zweiter Schritt: Risikoträchtige Situationen erkennen

Häufig werden unternehmensspezifische Schwachstellen bereits vermutet bzw. sind bekannt, so bei bereits erfolgten Sicherheitsvorfällen. Spezialisten in der IT kennen neuralgische Punkte wie die folgenden:

  • Die Ansammlung von Berechtigungen bei langjährigen Mitarbeitern ist bekannt.
  • Man hat häufig erlebt, dass bei der manuellen Rechtevergabe Fehler gemacht wurden.
  • Kritische Rechtekombinationen werden nur unzureichend überprüft.
  • Man war nicht in der Lage, bei Umorganisationen des Unternehmens die Rechte korrekt anzupassen.
  • Einigen IT-Administratoren oder gar Benutzern aus Fachbereichen wurden sehr viele Administratorrechte eingeräumt.

Eine systematische Risikoanalyse erlauben Frameworks wie das BSI-Grundschutzhandbuch, die „ISO 27k“-Reihe oder die Finanzbranchenvorschrift MaRisk.

Viele konkrete Prüfpunkte sind in IAG-Softwarelösungen vorhanden. Diese Standardprüfungen, die auch Log-Daten – beispielsweise System-Anmeldestatistiken oder IP-Adressen – einbeziehen können, bringen erste Hinweise auf mögliche Risiken.

Doch auch unternehmensspezifische Risikokonstellationen sind wichtig. Dazu gehören Berechtigungen, die nicht zum Job-Profil passen, oder der Zugriff auf besonders klassifizierte Ressourcen von einer ungesicherten Zweigstelle im Ausland aus. Die eingesetzte IAG-Lösung sollte flexibel genug sein, auch solche individuellen Kontrollen schnell zu realisieren.

Generell benötigt die IT zur Erkennung von Schwachstellen Informationen und Mitwirkung aus den Fachbereichen – letztlich kann nur dort fachlich sinnvoll entschieden werden, wer mit welchen Daten und Anwendungen umgehen darf. Daher ist es wichtig, notfalls über das Management einzufordern, dass die Fachbereiche diese Verantwortung wahrnehmen. Auf der anderen Seite ist die IT in der Pflicht, Informationen aufzubereiten und geeignete Werkzeuge bereitzustellen, so dass in den Fachbereichen der Aufwand so gering wie möglich ausfällt.

Dritter Schritt: Bereinigung

Wie im eingangs erwähnten Praxisbeispiel ist eine manuelle Bereinigung kritischer Situationen ein pragmatischer Weg zum schnellen Erfolg. Manche der zu ergreifenden Maßnahmen sind offensichtlich, bei der Löschung von Berechtigungen muss in der Regel die Fachabteilung involviert werden. Wichtig ist der anschließende nochmalige Import der Berechtigungen aus den IT-Systemen, um die Verbesserungen zu dokumentieren.

Dauerhafte Kontrolle

Nach einer ersten Bereinigung hat man die Voraussetzung für ein dauerhaftes Kontrollsystem geschaffen. Der Berechtigungsimport wird dazu permanent wiederholt, und Änderungen bei Benutzerkonten, Berechtigungen und Zusatzinformationen werden in der IAG-Lösung laufend erfasst. Reports, Dashboards und Alerts erlauben das schnelle Auffinden neuer Problemfälle und deren Korrektur.

Die Bereinigung kann automatisiert werden. IAG-Lösungen holen per automatischer Attestierung die Zustimmung der Fachabteilung ein und löschen bzw. deaktivieren überflüssige Konten und Rechte dann direkt in den IT-Systemen.

Sukzessive können weitere IT-Systeme in die Kontrolle einbezogen werden.

Fehler in zugelieferten Daten wie etwa in Benutzerstammsätzen oder Organisationsstrukturen sollten nicht durch Ausnahmebehandlungen bei der Analyse mit komplexen IT-Algorithmen entschärft, sondern möglichst direkt in den Quellsystemen bereinigt werden.

Nächste Ebene: Präventiver Schutz

Wenn Risikokonstellationen durch unzureichende Prozesse immer wieder neu auftreten, sollte man natürlich in einem weiteren Schritt präventive Maßnahmen in Betracht ziehen. Dazu zählen folgende Aktivitäten:

  • Regelmäßige Prüfung der bestehenden Rechte durch die zuständigen Fachabteilungen
  • Automation der Rechtevergabe auf Basis von Regeln, die konsistent und gegen Schwachstellen geprüft sind.
  • Definition klarer fachlicher Antragsprozesse für Rechte, mit Genehmigungsschritten. Diese Prozesse sollten in einem elektronischen Workflow abgebildet werden. Alle Aktivitäten müssen nachvollziehbar sein.
  • Einführung einer rollenbasierten Rechtevergabe für ein übersichtliches Berechtigungsmanagement.
  • Prüfung von Rechtekonflikten und risikoträchtigen Konstellationen bereits beim Rechteantrag.

Die genannten Regeln und Prozesse führen zu einem Sollzustand, der in die IT-Systeme übertragen wird. Die eingangs implementierten Kontrollmechanismen sorgen dann für einen Abgleich zwischen diesem „Soll“ und den nie auszuschließenden Differenzen zum „Ist“ in den IT-Systemen. Präventive Maßnahmen, Kontrolle und Bereinigung fügen sich zu einem lückenlosen Kontrollkreislauf.

Anforderungen an Werkzeuge

Ein geeignetes Software-Werkzeug ist für die effiziente Bereinigung und Kontrolle unabdingbar. Dies sind die wichtigsten Kriterien, die ein solches Werkzeug erfüllen sollte:

  • Ein Identity Warehouse mit einem Identity & Access Governance Datenmodell, das einfach um kundenspezifische Objekte und Attribute erweiterbar ist.
  • Schnelle systematische Anbindung neuer IT-Systeme und Cloud-Services über Konnektoren. Einfaches Transformieren und Laden von Berechtigungen aus Dateien beliebigen Formates (ETL: -„Extract-Transform-Load“)
  • Flexible Matching-Algorithmen, um Benutzerkonten und Benutzerstammdaten auf Basis der im Unternehmen vorhandenen Möglichkeiten zusammenzubringen.
  • Dashboards
  • Abbildung von KPIs
  • Bibliothek von Standardreports mit den gängigen Kontrollpunkten
  • Flexible Definition zusätzlicher unternehmensspezifischer Kontrollpunkte, Analyse individueller Funktionstrennungsregeln
  • Möglichkeiten zur Individualanalyse – zum Beispiel durch nahtlose Integration mit BI Tools.
  • Automatisches Einholen der Bestätigung zur Deaktivierung von Rechten und Konten

Um einen Kontrollkreislauf zu etablieren, sind weitere Funktionen erforderlich:

  • Attestierung/Rezertifizierung von Berechtigungen, Konten, externen Benutzer und anderen Objekte
  • Antragsverfahren
  • Soll-Ist-Analyse
  • Rollenmodell
  • Integration von Ticketing-Systemen bzw. bestehenden Antragsverfahren

Fazit

Schon innerhalb weniger Tage schafft man mit der richtigen Methode und einem Access Governance Werkzeug Durchblick bei Benutzerrechten. Einige Anbieter bieten einen „Risk Check Service“, der Methode und Werkzeug vereint.

Das Aufräumen schafft die Basis für eine Strategie, die in mehreren Folgeschritten eine dauerhaft wirksame Zugriffskontrolle ermöglicht und so eine Kernanforderung des Risikomanagements erfüllt. Kein Anlass mehr, wegzuschauen oder die Augen zu schließen. Kopf hoch, Vogel Strauß!

Autor

Dr. Martin Kuhlmann

Dr. Martin Kuhlmann ist Lead Solution Architect bei Omada und seit mehr als 15 Jahren im Bereich IT Security tätig.
>> Weiterlesen
botMessage_toctoc_comments_9210