Sicherheitslücken erkennen

Die Folgen sind uneinheitliche Regelungen, unklare Zuständigkeiten und fehleranfällige technische Lösungen. Eine professionelle Analyse von IAM-Prozessen (Identity & Access-Management) kann helfen.

Die oft uneinheitliche Verwaltung von Identifikations-lösungen und Rechten in den Unternehmen öffnet Fehlerquellen. Wenn das Provisioning mit IT-Ressourcen oder die Vergabe von Rechten für Gebäude oder Daten nicht klar geregelt sind, kommt es bei der Verwaltung von Sicherheitssystemen im täglichen Geschäft zwangsläufig zu Reibungsverlusten und Lücken. Typische Symptome sind „Berechtigungssammler“, verwaiste Accounts, inoffizielle Zugänge und Workarounds.

Wenn nicht noch traditionelle Schlüssel ausgegeben werden, sind alle Arten von Zugang und Zugriff heutzutage über IT geregelt. Das lässt sich für eine gründliche Analyse nutzen. Dazu werden die Informationen zu Accounts und Berechtigungen aus allen Systemen eines Unternehmens zusammengetragen. Fachleute können dann mit geübtem Blick und gezielten Nachfragen die Sicherheitssituation analysieren.

Analysen wie diese bietet das auf IAM-Prozesse spezialisierte IT-Entwicklungs- und Beratungsunternehmen Peak Solution als abgegrenzte Dienstleistung an. Die Spezialisten untersuchen dabei die Benutzerberechtigungen im Windows Active Directory, in SAP oder anderen Systemen. Erste Ziele der Suche sind ungenutzte Accounts, nicht zuordenbare Kennungen, direkt zugeordnete Berechtigungen, Benutzer mit privilegierten Berechtigungen oder Accounts, auffällige Gruppen oder Rollen sowie Benutzer, die gegen Regeln im Umgang mit Daten verstoßen.

Nach der Bestandsaufnahme stellen sich die Fragen: Warum verfügen Mitarbeiter über diese Berechtigungen? Wer hat die einzelnen Berechtigungen vergeben? Die Spezialisten von Peak Solution wissen: Sicherheitslücken sind weniger ein Problem technischer Sicherheitseinrichtungen, sondern Folge fehlerhafter Prozesse. Zwei typische Fehler sind besonders verbreitet.

Damit Regeln aufgestellt und befolgt werden können, muss klar sein, was überhaupt alles geregelt werden muss. IAM-Fachleute sprechen in diesem Zusammenhang von der Berechtigungsorganisation. Dazu gehören zunächst die Berechtigungsobjekte. Das sind alle Arten von Ressourcen und dazugehörige Funktionen, die definiert sein müssen, und zwar für ihren gesamten Lebenszyklus. Einfaches Beispiel: eine Datenbanktabelle. Zu klärende Fragen: Wer darf sie einrichten? Wer darf sie lesen? Wer darf Änderungen vornehmen? Wer darf etwas löschen? Und wer entscheidet über diese Fragen, ist also verantwortlich für dieses Berechtigungsobjekt?

Zum anderen gehört zur Berechtigungsorganisation die Definition von Personengruppen mit gleichen Berechtigungen. Es werden Rollen definiert, zum Beispiel anhand der Jobbeschreibung.

Sauber definierte Prozesse zum Berechtigungsmanagement verlangen die Trennung des Erlaubnisprozesses (Entitlement) vom Bereitstellungsprozess (Provisioning/Deprovisioning). Das Einrichten beziehungsweise Entziehen von Rechten bezogen auf Berechtigungsobjekte ist naturgemäß meist Sache der IT-Abteilung. Was jedoch oft damit vermischt wird, ist die Verantwortung für Erlaubnis und Verbot – und diese muss im Management liegen.

In Unternehmen muss klar geregelt und lückenlos dokumentiert werden, wie Rechte zu beantragen, wie und von wem sie zu genehmigen sind. Erst danach stellt sich die Frage, wie das technisch umzusetzen und eventuell über entsprechende IAM-Lösungen zu automatisieren ist.

Unterstützt durch professionelle Berater können Fehler im Umgang mit Berechtigungen schnell erkannt und dokumentierte Berechtigungsprozesse eingeführt werden. Im nächsten Schritt kann man daran gehen, die Verwaltung von Identitäten, Accounts und Rechten zu vereinfachen und zu automatisieren. Doch unabhängig vom Grad der Automatisierung dieser Prozesse: Bereits über eine klar definierte Berechtigungsorganisation inklusive Dokumentationspflicht lassen sich viele Sicherheitslücken schließen.