Zugriffs-Zertifizierung beschreibt die unabhängige Prüfung der Zugriffsrechte durch einen Auditor. Dieser untersucht, ob die den Benutzern gewährten Rechte wirklich notwendig sind. Ein gründlicher Prozess zur Zertifizierung des Benutzerzugriffs stellt sicher, dass die digitale Identität jedes Mitarbeiters nur die Berechtigungen hat, welche für die Erfüllung seiner Aufgaben nötig sind. So wird auch die Sicherheit der internen Daten gewährleistet.
Von Stephen Lowing, VP Marketing bei Omada.
Wenn die Belegschaft wächst und sich immer weiter ausdehnt, können sich die Zugriffsanforderungen im Handumdrehen ändern. Unternehmen müssen auf der Hut sein, dass sie ihren Mitarbeitern, externen Auftragnehmern, Prüfern oder Saisonarbeitern nicht überhastet zu viele Zugriffsrechte für die Erfüllung ihrer Aufgaben einräumen, die gar nicht erforderlich sind.
Um ernsthafte Sicherheitsrisiken und versäumte Audits zu vermeiden, sollte jedes Unternehmen regelmäßige Zugriffs-Zertifizierungen durchführen. Dieser Artikel klärt, welche Bereiche im Unternehmen man hierbei besonders priorisieren sollte und welche Vorteile Zugriffs-Zertifizierungen IT-Sicherheitsverantwortlichen bieten können.
Wichtige Bereiche für die Zugriffskontrolle
Eine Liste über aktive Zugriffs-Berechtigungen und ein Plan zum Entfernen von Zugangsrechten, die nicht mehr benötigt werden, sind das Herzstück eines erfolgreichen IGA-Programms (Identity Governance and Administration). Dabei gibt es eine große Anzahl von Variablen, die bestimmen, welche Zugangsrechte und Berechtigungen gewährt werden sollten:
1. Geschäftsressourcen
Verschiedene Personen benötigen Zugang zu verschiedenen Arten von Anwendungen, sei es Infrastruktur wie Azure oder AWS, Datenbanken, Kommunikationsanwendungen wie Teams und Slack, CRMs wie Salesforce oder ITSM-Tools wie ServiceNow. Ebenfalls gilt es zu beachten: Bestimmte Anwendungen sind nur für bestimmte Gruppen der Belegschaft erforderlich, während einige von ihnen von allen benötigt werden. Ein Beispiel für einen solchen gemeinsamen Nenner: Höchstwahrscheinlich benötigen alle Mitarbeiter in einer Organisation Zugang zu einem E-Mail-System.
2. Arbeitsorte
Je nachdem, wo die Mitarbeiter arbeiten, benötigen sie Zugang zu verschiedenen Dingen, beispielsweise zu physischen Standorten wie Büros. Ebenfalls denkbar ist, dass sie sich über verschiedene VPN-Standorte, geografische Untergruppen von Anwendungen oder bestimmte Kundendaten anmelden müssen, um die lokalen Datenschutzgesetze wie die Datenschutz-Grundverordnung (DSGVO) einzuhalten.
3. Funktion oder Status des Arbeitsplatzes
Die Arbeitsplatzfunktion ist meist an die Rolle im Unternehmen gebunden. Eine Person, die an einem Fließband arbeitet, hat beispielsweise Zugriff auf fertigungsbezogene Systeme, während ein Back-Office-Mitarbeiter ganz andere Berechtigungen für die Finanz- und Buchhaltungsanwendungen des Unternehmens hat.
Eine weitere Variable könnte die Art des Beschäftigungsverhältnisses sein: Vollzeitbeschäftigte sollten andere Zugriffsrechte erhalten als Zeitarbeitskräfte und Zugang zu Ressourcen wie betrieblichen Leistungen haben. Es ist immer wichtig, Rollen und Kontexte als kritische Komponente für die kontinuierliche Verwaltung und Regelung von Zugriffsrechten zu identifizieren.
Diese Variablen, die oft kontextabhängig sind, können auch auf der Grundlage von Ereignissen gewährt werden: entweder regelmäßig auftretende und geplante oder solche, die kurzfristig eintreten. Beispiele dafür sind:
- Audits: Wenn eine Prüfung ansteht, müssen Unternehmen nachweisen können, dass nur bestimmte Personen Zugang zu bestimmten Systemen haben. Möglicherweise müssen sie auch zusätzliche Personen mit Zugriff auf Datenbanken und verschiedene Anwendungen beauftragen, um die für ein bestimmtes Audit benötigten Daten zu sammeln.
- Hochsaison: Vor allem im Einzelhandel herrscht um die Feiertage herum oft Hochsaison. Allerdings findet diese in verschiedenen Branchen zu unterschiedlichen Zeiten statt und kann mit der Einstellung zusätzlicher Mitarbeiter zur kurzfristigen Unterstützung zusammenfallen, was zu einem Anstieg der Zahl der Zeitarbeiter führt.
In diesen Zeiten haben IT-Teams alle Hände voll zu tun, da den Mitarbeitern der Zugang zu bestimmten Ressourcen mit hoher Priorität zugewiesen wird. Umso wichtiger ist es dann, diesen Zugang wieder zu entziehen, wenn die Saison vorbei ist.
Vorteile einer regelmäßigen Zertifizierung des Zugriffsmanagements
Mit einer regelmäßigen Zertifizierung der Zugriffsverwaltung können Unternehmen überprüfen, ob die richtigen Personen weiterhin Zugriff auf die richtigen Ressourcen haben, um ihre Aufgaben zu erledigen - und gleichzeitig inaktive und stillgelegte Konten identifizieren. Es ist unverzichtbar, die korrekte Zugriffszuweisung für die verschiedenen Geschäftsrollen zu validieren, damit die Sicherheits- und Compliance-Risiken im Unternehmen minimiert werden können.
Kampagnen zur Zugriffs-Zertifizierung
Unternehmen brauchen die Möglichkeiten, kontinuierlich zu zertifizieren. Nur so können Zugriffsrechte sicher verwaltet werden und sichergestellt werden, ob diese überhaupt weiterhin benötigt werden. Bei der Erstellung von Zertifizierungskampagnen sollten Organisationen Folgendes anstreben:
- Daten darüber sammeln, wer auf was, wann, warum, wie oft usw. zugreift
- Umfragen einrichten, die für Geschäftsanwender schnell zu beantworten und für Administratoren schnell einzurichten sind
- Detaillierte Daten sammeln, um intelligentere Geschäftsentscheidungen treffen zu können
- Interpretation der Ergebnisse auf eine Art und Weise, die für Sicherheits- und Risikomanagement-Teams leicht umsetzbar ist, sodass die geringsten Rechte gewahrt bleiben
- Nachweis der Konformität gegenüber Prüfern
- Automatisierung von Prozessen, die zuvor manuell durchgeführt wurden
Zugriffs-Zertifizierungskampagnen sind eine Möglichkeit für Unternehmen, Berechtigungen zu prüfen und formell zu bestätigen, dass die Zugriffsrechte von Einzelpersonen angemessen sind. Konzeptionell gesehen zielen diese Kampagnen darauf ab, nicht mehr benötigten Zugang zu entfernen, oder den Zugang zu Ressourcen dauerhaft zu genehmigen, die zuvor ad hoc gewährt wurden.
Wer Zertifizierungskampagnen ernst nimmt und regelmäßig durchführt, stellt nicht nur die Compliance-Treue und Einhaltung gesetzlicher Regularien sicher, sondern schützt auch wertvolle Kunden- und Unternehmensdaten. Selbst wenn Cyberkriminelle im schlechtesten Falle Login-Daten erlangen und korrumpieren, werden ihnen so durch zuvor geringstmöglich vergebene Zugriffsrechte frühzeitig die Wege abgeschnitten.