Über unsMediaKontaktImpressum
Dr. Martin Kuhlmann 05. April 2016

Effektive Rechtekontrolle: Aller Anfang ist leicht!

Identity Analytics-Lösungen haben einen wichtigen Platz im Risikomanagement-Prozess. © hywards / Fotolia.com
© hywards / Fotolia.com

Nicht zu Unrecht stellen externe Prüfer immer wieder Sicherheitslücken fest, die den Zugang von internen und externen Mitarbeitern, Partnern und Kunden betreffen. Schon bei einfachen Fehlern, wie zum Beispiel nicht korrekt eingestellten Richtlinien für IT-Benutzerkonten oder falsch vergebenen Zugriffsrechten, haben potenzielle Angreifer leichtes Spiel. Wie soll man am besten zielgerichtet handeln, wenn solche Punkte in Prüfungen erkannt wurden und zügig behoben werden müssen?

Um nicht nach großen Anstrengungen auf einem unübersichtlichen Stapel manuell erstellter Berichte zu sitzen, empfiehlt sich eine vorgefertigte Standardlösung: Eine Cloud- oder appliancebasierte "Identity-Analytics"-Software in die man Identitäten, Konten und Berechtigungen importieren kann. Diese liefert die von Prüfern geforderten Kennzahlen auf Knopfdruck. Eine Lösung, die ausgehend von grundlegenden Audit-Reports zu einem umfassenden Risikomanagement ausbaufähig ist.

In stark regulierten Bereichen wie etwa der Finanz- und Pharmaindustrie zwingen die Compliance-Vorschriften wie zum Beispiel die "MaRisk" der BaFin zu einer genauen Überwachung der Zugriffsrechte und zu einer Beseitigung von Defiziten im Berichtswesen. Aber auch in den nichtregulierten Industriezweigen steigt das Bewusstsein für die "Identity & Access Governance" (IAG): Dort ist etwa der Schutz des geistigen Eigentums erfolgskritisch für das Unternehmen und nach einigen schlagzeilenträchtigen Hackerangriffen sorgt man sich zusätzlich um Dinge wie die Sicherheit von industriellen Steuerungsanlagen.

Zielgerichtete Angriffe auf solche Anlagen nehmen meist ihren Anfang über die Office-IT oder über das Eindringen in Engineering Workstations, worauf dann eine Übernahme kritischer Rechte erfolgt [1]. Dieses Muster fand sich unter anderem auch beim Angriff auf die IT-Systeme des Bundestages im vergangenen Jahr [2].

Neben dem "Kapern" privilegierter IT-Konten durch Angriffe von außen ist die Bedrohung von innen nicht zu unterschätzen: Bei einer Umfrage des Verbandes Bitkom aus dem Jahr 2014 bei 403 Unternehmen [3] sagten 58 Prozent der betroffenen Unternehmen, dass Angriffe "vor Ort" erfolgten und zum Beispiel gezielt Daten gestohlen oder Schadprogramme per USB-Stick eingeschleust wurden. Eine jüngere Studie von Ernst & Young stellt fest, dass Angestellte die zweitwichtigste Gruppe sind, von der Cyberangriffe ausgehen [4]. Viele Unternehmen legen bei Investitionen zunächst immer noch einen Schwerpunkt auf die Netzwerksicherheit. IT-Entscheider und Risikomanager realisieren jedoch zunehmend, dass Firewalls nicht gegen die unberechtigte Nutzung von Benutzerkonten und den nichtautorisierten Zugang zu Informationen schützen.

Drei weitere gute Gründe sollen hier angeführt werden, warum Unternehmen aller Branchen eine rigide Kontrolle der Zugriffsrechte benötigen:

  • Die zunehmende Nutzung von Cloud-Anwendungen schränkt die Wirksamkeit der etablierten Kontrollmechanismen der internen IT ein. Dennoch müssen Zugänge und Berechtigungen in der Verantwortung des nutzenden Unternehmens verwaltet und geprüft werden, und man muss beispielsweise die Trennung von Kundenbereichen gewährleisten (s. [5]). Auch in guten SLAs mit Cloud-Anbietern sind diese Aspekte nicht abgedeckt.
  • Es gibt immer mehr branchenunabhängige Gesetze, die die Rechtekontrolle betreffen. Spätestens 2018 tritt etwa die EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft, die Unternehmen nachweispflichtig für den Umgang mit personenbezogenen Daten macht.
  • Die fortschreitende Digitalisierung verändert Geschäftsmodelle und erlaubt z. B. Kunden oder Geschäftspartnern den Zugriff auf bislang nur intern genutzte Anwendungen. Das lässt die Komplexität des Rechtemanagements steigen.

Wie kann man nun eine effektive Rechtekontrolle etablieren, insbesondere wenn dieses Thema bisher im Unternehmen eher vernachlässigt wurde?

Standard-Reports statt Datenwust

Manche Firmen kommen der Kontrolle oder Nachweispflicht nach, indem sie Berechtigungslisten pflegen: Eine Art doppelter Buchführung, bei der jedes vergebene Konto oder Recht in eine Liste oder Datenbank eingetragen wird. Diese Praxis ist einerseits aufwändig und andererseits fehleranfällig und somit unzuverlässig. Ein anderes Verfahren ist das regelmäßige Exportieren von Zugriffskontrolllisten aus allen Systemen in einfacher Tabellenform. Hierbei ist es meist schwierig, den Überblick zu behalten, und wenn man wissen möchte, welche Konten und Rechte eine bestimmte Person besitzt, muss man die Informationen aus vielen Quellen mühsam zusammenstellen. Wenn zunehmend auch Partner und Kunden die IT-Systeme nutzen, wenn die Zahl der Anwendungen steigt oder wenn weitere Elemente wie Mobile Devices mit ins Spiel kommen, wird dieses Vorgehen immer weniger praktikabel. Eine Antwort auf die einfache Revisionsfrage, welchen Zugang zu Informationen und Services ein bestimmter Mitarbeiter im Unternehmen hat, ist wenn überhaupt nur mühsam zu erhalten.

Die Identity Analytics-Lösung erzeugt eine standardisierte, umfassende Sicht der IT-Benutzer und ihrer Rechte.

Eher sollte man ein Kontrollinstrument etablieren, das alle Standard-Gesichtspunkte der Identity & Access Governance (IAG) beinhaltet und auch die gängigen Prüfungsanforderungen automatisch erfüllt. Es gibt mittlerweile Anbieter, die solche "Identity Analytics"-Lösungen auch in der Cloud oder als Appliance zur Verfügung stellen, so dass die Investitionskosten niedrig sind und keine Implementierungszeiten anfallen; durch den geringen Vorlauf erhält man innerhalb kürzester Zeit erste umfassende Reports und Key Risk-Indikatoren (KRIs).

Technisch einfacher Einstieg

Um eine klassische Audit-Software einzuführen, muss man häufig eine Reihe von technischen Hürden überwinden und einen großen Integrationsaufwand einplanen. Nicht selten soll man über eine mindestens zweistellige Anzahl von Systemen Auskunft geben, teilweise mit komplexen technischen Schnittstellen. Um schnell zu einem ersten Ergebnis zu kommen, genügt einer Identity Analytics-Lösung im ersten Schritt je System eine Datei mit Konten und Berechtigungen. Solche Dateien können die Systemeigentümer fast immer problemlos erzeugen. Die Daten werden von der Identity Analytics-Lösung zusammen mit den HR-Stammdaten der Festangestellten und einem Verzeichnis der externen Mitarbeiter importiert.

Die Identity Analytics-Lösung erzeugt nun eine standardisierte, umfassende Sicht der IT-Benutzer und ihrer Rechte. Wichtigster Punkt dabei ist die Zusammenführung und Konsolidierung der Benutzer-Stammdaten mit den Rechten aus den verschiedenen Systemen. Dies geschieht automatisch auf der Basis von "Matching-Regeln", die je nach Unternehmen einfach oder komplexer ausfallen können und manchmal sogar Fuzzy-Matching erfordern, um erfolgreich zu sein. Bei Unternehmen, die mit einer auch im HR-System vorhandenen "Unique User ID" arbeiten, ist das Matching naturgemäß sehr einfach.

Neben den Rechten der gewöhnlichen personenbezogenen Konten ist die Kontrolle von administrativen Konten und technischen Service-Konten wichtig. Im Active Directory ist es zum Beispiel häufige Praxis, dass manche Benutzer neben ihrem gewöhnlichen Account ein personenbezogenes Konto mit administrativen Berechtigungen haben – diese Konten können meist leicht über Regeln ihren Besitzern zugeordnet werden. Nicht-personalisierte technische Konten oder andere privilegierte Konten werden ebenfalls identifiziert und im Reporting separat behandelt. Mit dem geschilderten technisch einfachen Verfahren bekommt man schnell ein umfassendes Bild der Rechtesituation. Anschließend kann man seine Systeme auf Basis der gewonnenen Informationen bereinigen und durch ein abermaliges Laden der Daten den Fortschritt kontrollieren ("Benchmarking").

Abb.1: Dateischnittstelle, Matching und Import. © Dr. Martin Kuhlmann
Abb.1: Dateischnittstelle, Matching und Import. © Dr. Martin Kuhlmann

Vom Basisreport zum Kontrollkreislauf

Selbst wenn man Benutzerstammdaten und Systemberechtigungen ohne weitere organisationsbezogene Daten zusammenführt, gewinnt man bereits die für Audits wichtigsten Informationen, wie zum Beispiel:

  • Lange nicht genutzte Benutzerkonten;
  • Personenbezogene Konten, deren Eigentümer möglicherweise bereits aus dem Unternehmen ausgeschieden sind und die gelöscht werden sollten;
  • Nicht mehr benötigte technische Konten;
  • Die Einhaltung von Regeln zum Kennwortwechsel.

Die Liste der standardmäßig ausgewerteten Kontrollpunkte entspricht erfahrungsgemäß in hohem Maße den gängigen Prüfer-Anforderungen. Daher können auch Unternehmen mit bisher eher schwach ausgeprägten Risikomanagement-Prozessen sofort gute Ergebnisse liefern. Zu einem effektiven Reporting gehören dabei einerseits Übersichten in Form von Dashboards, die Kennzahlen liefern, andererseits Detailberichte, die man aus den Übersichten aufrufen kann. Darüber hinaus ist es möglich, eigene Berichte und Kontrollpunkte zu unternehmens- oder systemspezifischen Fragestellungen zu konfigurieren.

Häufig sind zusätzlich unternehmensspezifische Kontextinformationen verfügbar, wie zum Beispiel Tätigkeitsbezeichnungen, Abteilungszugehörigkeiten oder Eigentümerschaften für technische Benutzerkonten. In dem Fall können dann weitere Kontrollpunkte geprüft werden, wie etwa die Fragen, ob IT-Entwickler Zugriff auf produktive Systeme besitzen, ob es Personen mit Zugang zu vielen administrativen Konten gibt oder ob Mitarbeiter im Finanzbereich Zugang zu übermäßig vielen Information haben und damit Risiken akkumulieren.

Die Identity Analytics-Lösung lässt sich zu einem Kontrollkreislauf ausbauen.

Wenn es zusätzlich ein Risiko-Framework im Unternehmen gibt, etwa mit einer Risikoklassifizierung für IT-Services und Daten oder mit Funktionstrennungsregeln ("Separation of Duty"), dann lässt sich auch dieses Regelwerk in gängige Identity Analytics-Lösungen importieren. Gibt es keine systematische Klassifizierung, kann man im Rahmen des Reportings durchaus auch eine einfache Kennzeichnung vornehmen – etwa eine Unterteilung in "öffentlich", "intern" und "vertraulich". Im Risikomanagement-Kontext liefert die Identity Analytics-Lösung "bottom-up"-Auswertungen, die eine Kontrolle der "top-down"-definierten Risiken und kritischen Assets ermöglichen.

Nach einer ersten Analyse und der Bereitstellung von Audit-Reports sollte man anstreben, das Laden der Daten periodisch zu wiederholen, um Verbesserungen als Zeitreihe messen zu können (Benchmarking) und neue Schwachstellen zu entdecken. Dazu bieten Identity Analytics-Lösungen neben Dateischnittstellen auch Konnektoren, die den Ladevorgang vereinfachen. Durch den wiederkehrenden Import wird eine Historie von Konten und Rechten aufgebaut, die aus Revisionsgesichtspunkten wichtig ist und die im Fall von kriminellen Aktivitäten eine forensische Analyse erleichtert. An diesem Punkt kann man auch entscheiden, ob man bei einer Cloud- oder Appliance-Lösung bleibt oder ob man eine On-Premise-Installation bevorzugt.

Die Identity Analytics-Lösung lässt sich schlussendlich auch zu einem Kontrollkreislauf ausbauen. Dazu ist es allerdings sinnvoll, einen Sollzustand der Berechtigungen verfügbar zu haben, gegen den man die Ist-Rechte in den Systemen prüfen kann.

Der praktikabelste Weg zum Sollzustand ist eine Zertifizierung (Prüfung und Genehmigung) der Rechte. Manche Identity Analytics-Lösungen bieten diese Möglichkeit als integrierten Workflow bereits mit an. Vorab löscht man dazu alle Rechte, die bereits in den Audit-Reports als unkorrekt erkannt wurden. Anschließend startet man für die übrigen Konten und Berechtigungen einen Genehmigungs-Workflow, in dem Vorgesetzte oder Systemeigentümer über deren Korrektheit entscheiden sollen.

Unternehmen, die bereits ein Antragsverfahren für Berechtigungen einsetzen oder automatisch und regelbasiert einen Teil der Benutzerrechte vergeben, können auch die genehmigten Anträge oder die Regeln als Basis für eine Soll-Definition nutzen. Generell bietet sich für die Verwaltung eines Soll-Bestandes idealerweise ein Identity & Access Management-System an; einige Hersteller von Identity Analytics-Lösungen haben diese Komponente in ihrem Portfolio. Man erhält dann eine integrierte Lösung, in der sowohl Rechtedefinitionen gepflegt als auch Kontrollen durchgeführt werden.

Hat man einen genehmigten Soll-Bestand, so kann man diesen mit den Reporting-Ergebnissen (Ist-Berechtigungen in den Systemen) vergleichen und je nach Bedarf Inkonsistenzen beseitigen oder das Soll anpassen.

Abb.2: Reportingkreislauf. © Martin Kuhlmann
Abb.2: Reportingkreislauf. © Martin Kuhlmann

Konzentration auf die wichtigsten Assets

Welche Systeme sollte man in das Reporting einbeziehen? – Gerade bei Zeitdruck ist es entscheidend, sich zunächst auf die wichtigsten bzw. am meisten bedrohten Unternehmensbereiche, Anwendungen und Ressourcen zu konzentrieren. Bei externen Prüfern liegt klassischerweise ein Schwerpunkt auf den SAP-Systemen mit Kundendaten, Finanzinformationen und weiteren sensiblen Daten. Individuelle geschäftskritische Kernanwendungen wie etwa die Vertragsabwicklung einer Versicherung oder die Produktentwicklungssoftware eines Automobilzulieferers sind ebenfalls Analyse-Kandidaten. Zunehmend rückt auch die Erkenntnis ins Bewusstsein, dass Kollaborationsplattformen wie SharePoint oder das gute alte Windows-Dateisystem an manchen Stellen hochkritische Informationen beinhalten und daher der Kontrolle bedürfen. Nicht zu vergessen ist überdies, dass mittlerweile in Cloud-Anwendungen häufig sensible Kundendaten oder Verträge zu finden sind.

Und nicht zuletzt werden die Risiken auf der Ebene der Infrastruktur, wie etwa Rechte von Datenbank-Administratoren oder Datenbank-Nutzern, von Prüfern immer kritischer beäugt.
Auf der anderen Seite sollte man sich allerdings immer fragen, welche Informationen im Grunde innerhalb eines Unternehmens frei zugänglich sein können und daher keiner besonderen Kontrolle bedürfen; letztlich sind alle Mitarbeiter zu einem sorgfältigen Umgang mit vertraulichen Informationen verpflichtet, und komplexe Kontrollvorschriften bergen auch die Gefahr der Unübersichtlichkeit.

Lösungen für Identity Analytics sind erweiterbar, so dass man mit den wichtigsten Plattformen beginnen und dann sukzessive weitere Anwendungen in die Auswertungen einbeziehen kann. Da die Berechtigungsdaten immer in einem standardisierten Datenmodell gespeichert werden, müssen Reports oder Zertifizierungs-Workflows beim Hinzukommen neuer Systeme nicht geändert werden.

Fazit

Zusammenfassend lässt sich feststellen, dass neue Cloud- oder appliancebasierte Identity Analytics-Lösungen hervorragend als taktische Lösungen für drängende Revisionsanforderungen eingesetzt werden können. Darüber hinaus bieten sie einen guten Einstieg in eine strategische Initiative für "Identity & Access Governance" im Unternehmen. Identity Analytics-Lösungen haben einen wichtigen Platz im Risikomanagement-Prozess. Insbesondere zusammen mit Identity & Access Management-Lösungen bieten sie die Möglichkeit, einen Kontrollkreislauf zu etablieren, in dem Rechte beantragt, eingerichtet, kontrolliert und gemäß Governance-Vorgaben korrigiert werden können.

Quellen
  1. Bundesamt für Sicherheit in der Informationstechnik (BSI): Die Lage der IT-Sicherheit in Deutschland 2015, s. Abschnitt 2.1.9
  2. Frankfurter Allgemeine Zeitung, 09.03.2016: Netzangriff auf Bundestag – Es begann mit einer E-Mail
  3. Bitkom: Fast ein Drittel der Unternehmen verzeichnet Cyberangriffe
  4. EY’s Global Information Security Survey 2015: Creating trust in the digital world, S. 12
  5. Bundesamt für Sicherheit in der Informationstechnik (BSI): Die Lage der IT-Sicherheit in Deutschland 2015, s. Abschnitt 2.1.1
nach Oben
Autor

Dr. Martin Kuhlmann

Dr. Martin Kuhlmann ist Lead Solution Architect bei Omada und seit mehr als 15 Jahren im Bereich IT Security tätig.
>> Weiterlesen
botMessage_toctoc_comments_929