Berechtigungsprüfung 2.0

Neue Wege für die Rezertifizierung

Martin Kuppinger ist Gründer des unabhängigen Analystenunternehmen KuppingerCole und als Prinzipal Analyst verantwortlich für den Bereich KuppingerCole Research. In seiner 25 jährigen IT-Erfahrung hat er bereits mehr als 50 IT-Bücher geschrieben und ist ein etablierter Referent und Moderator bei Seminaren sowie Kongressen. Sein Interesse an Identity Management stammt aus den 80er Jahren, als er viel Erfahrung in der Entwicklung von Software-Architekturen sammeln konnte. Im Laufe der Jahre, kamen weitere Forschungsfelder wie Virtualisierung, Cloud Computing, allgemeine IT-Sicherheit u.v.m. hinzu. Durch sein Wirtschaftsstudium in Economics gelingt es ihm seine IT-Kenntnisse mit einer starken Business-Perspektive zu verbinden.
Die Rezertifizierung von Zugriffsberechtigungen ist eine Standardanforderung von Prüfern. Nur: So wie heute üblich reicht sie weder aus noch funktioniert sie wirklich.

Mit der Rezertifizierung oder auch Attestierung von Zugriffsberechtigungen soll eine regelmäßige Überprüfung von Zugriffsberechtigungen umgesetzt werden. Falls nicht mehr erforderliche Berechtigungen entdeckt werden, sollen diese dann in der Folge entzogen werden. Die Prüfung wird beispielsweise durch die Fachvorgesetzten für ihre Mitarbeiter übernommen.

Wenn man aber die heutige Praxis der Rezertifizierung betrachtet, dann wird schnell deutlich, dass es dabei eine Vielzahl von Problemen sowohl bezüglich der Umsetzung, der Qualität der Ergebnisse als auch der möglichen Zielerreichung gibt. Dennoch werden häufig offensichtlich unsinnige Rezertifizierungen durchgeführt, um das Testat der Prüfer zu erhalten.

Solche Checklisten-Compliance - Rezertifizierung durchgeführt - bedeutet aber nicht, dass man das eigentliche Ziel, nämlich die Reduktion von Risiken, auch tatsächlich erreicht.

Mit der Rezertifizierung von Zugriffsberechtigungen soll eine regelmäßige Überprüfung von Zugriffsberechtigungen umgesetzt werden.
Mit der Rezertifizierung von Zugriffsberechtigungen soll eine regelmäßige Überprüfung von Zugriffsberechtigungen umgesetzt werden.
Foto: andrey_I - shutterstock.com

Umsetzungsprobleme

Oder: Warum Rezertifizierung so unbeliebt ist

Ein Teil der Probleme resultiert aus fehlerhaften Umsetzungen der Rezertifizierung. Die Rezertifizierung bedeutet zwangsläufig zusätzliche Arbeit für diejenigen, die diese Aufgabe übernehmen müssen. Deshalb gibt es dazu drei wichtige Regeln:

  • Rezertifizierung muss so einfach wie möglich gemacht werden.

  • Die Last der Rezertifizierung muss auf viele Schultern verteilt werden.

  • Die Rezertifizierer müssen verstehen, was sie rezertifizieren.

Diese drei Regeln sind eng miteinander verknüpft. Denn Einfachheit hat natürlich auch damit zu tun, dass man versteht, was man macht. Und damit jeder nur das machen muss, was er versteht, muss man die Arbeit verteilen.

Völlig unsinnig sind Ansätze, bei denen eine große Excel-Datei oder - noch schlimmer - ein dicker Stapel Papier mit technischen Informationen an die für die Rezertifizierung zuständigen Personen gegeben werden. Wenn, dann braucht es ein einfach verständliches Werkzeug, in dem man sich intuitiv zurechtfindet.

Außerdem können Fachvorgesetzte in der Regel keine technischen Details rezertifizieren. Ein Abteilungsleiter weiß, welche Aufgaben seine Mitarbeiter haben und in welche Projekte sie involviert sind. Abteilungsleiter aber, wie schon erlebt, mit SAP-Transaktionscodes zu konfrontieren, kann nicht zum Ziel führen. Ebenso wie Rollenmodelle mehrstufig aufgebaut werden müssen, muss auch die Rezertifizierung mehrstufig erfolgen.Das bedeutet, mit einer entsprechenden Verteilung der Arbeit und einer Übersetzung technischer Informationen in die Sprache der Empfänger.

Auch dann bedeutet die Rezertifizierung aber immer noch Mehrarbeit. Die Kommunikation des Erfordernisses und positive Incentives gehören zu erfolgreichen Rezertifizierungskampagnen dazu. Noch besser ist es, die Arbeitslast über die Zeit zu verteilen. Dazu kann man eine rollierende Rezertifizierung für Systeme oder nach größeren Änderungen durchführen.

Oder man verzichtet einfach ganz auf die Rezertifizierung und vergibt Berechtigungen nur noch zeitbeschränkt. Das erfordert dann "nur" noch eine erneute Genehmigung, wenn die Berechtigungen nach Ende des Gültigkeitszeitraums weiterhin benötigt werden. Diese Genehmigungen können zeitlich verteilt werden. Der Vorteil ist offensichtlich: Berechtigungen genehmigen muss man ohnehin, es gibt aber keine zusätzliche Rezertifizierung.

Das Ergebnis ist aber das gleiche: Berechtigungen werden regelmäßig überprüft. Dass eine solche Vorgehensweise zu Diskussionen mit den Prüfern führen wird, steht außer Frage - immerhin weicht man vom Standardverfahren ab. Was aber auch außer Frage steht ist, dass das Ergebnis einer solchen Vorgehensweise mit Sicherheit nicht schlechter, meist aber besser sein wird. Und das ist es ja eigentlich, um was es gehen sollte - nicht die sture Umsetzung eines Prinzips.

Qualitätsprobleme

Oder: Warum der ganze Aufwand oft nichts bringt

Das führt dann auch direkt zu der zweiten Herausforderung bei der Rezertifizierung: Die Qualität der Ergebnisse ist oft nicht so, wie sie sein sollte. Das gilt natürlich insbesondere dann, wenn man mit riesigen Papierstapeln operiert. Niemand kann ernsthaft erwarten, dass damit die Risiken von überhöhten Zugriffsberechtigungen effektiv reduziert werden.

Aber auch dann, wenn Rezertifizierer technische Berechtigungen rezertifizieren müssen, die sie gar nicht verstehen, wird die Ergebnisqualität immer mangelhaft sein. Nur was man versteht, kann man auch bewerten und damit korrekt bestätigen oder ablehnen. Und nur dann werden auch nicht mehr erforderliche Berechtigungen erkannt und wirksam entzogen.

Aber auch die in heutigen Tools oft zu findenden komplexen Matrizen mit Benutzern und Berechtigungen sind, vor allem wenn auch noch eine Option "Alle bestätigen" angeboten wird, nicht zielführend. Sie erhöhen die Neigung, eben nicht genau auf die Berechtigungen zu schauen, sondern alles so zu belassen wie es ist. Kleinere Einheiten bis hin zum Extrem der einfachen Neugenehmigung nach Ablauf der Gültigkeitsdauer sind besser geeignet, um eine gute Qualität zu erreichen.

Zielerreichung

Oder: Warum viele Risiken weiter bestehen bleiben

Selbst wenn man den Rezertifiizierungsprozess perfekt umgesetzt hat, reicht das aber nicht aus. Zum einen besteht das Problem, dass ein Mitarbeiter Berechtigungen vielleicht zwischenzeitlich nicht mehr benötigt. Bei einer jährlichen Rezertifizierung kann ein Mitarbeiter im schlechtesten Fall 11 Monate und 29 Tage überhöhte Berechtigungen besitzen. Kürzere Intervalle verkürzen zwar dieses Intervall, lösen das eigentliche Problem aber nicht - und führen dazu auch noch zu mehr Aufwand für die Rezertifizierung.

Hier braucht es gute Prozesse für die so genannten "mover"- und "leaver"-Prozesse, also Änderungen von Berechtigungen bei Änderungen und den Entzug von Berechtigungen, wenn jemand das Unternehmen verlässt.

Ein ganz anderes Problem entsteht, weil auch korrekt vergebene Berechtigungen missbraucht werden können. Wenn ein interner Mitarbeiter, der auch die Berechtigung eines Backup-Operators hat (und braucht), statt einem Backup zwei Backups macht und eines aus dem Unternehmen entwendet, wird das durch die Rezertifizierung nicht erkannt.

Und wenn ein Angreifer den Account eines Mitarbeiters "gekapert" hat und ihn missbraucht, erkennt das die Rezertifizierung nicht. Zusätzlich zur Rezertifizierung braucht es auch Access Intelligence, um beispielsweise besonders riskante Berechtigungskombinationen oder Benutzer mit überdurchschnittlichen Berechtigungen erkennen zu können.

Es braucht darüber hinaus aber insbesondere eine permanente Analyse des Verhaltens von Benutzern zur Laufzeit, um Anomalien und damit Missbrauch zu erkennen und darauf reagieren zu können. Dabei geht es nicht um eine permanente Mitarbeiterüberwachung, sondern darum, Missbrauch zu erkennen. Richtig umgesetzt mit Pseudonymisierung und durchdachten Workflows für den Zugriff auf personenbezogene Informationen kann man Risiken reduzieren, ohne dabei die Rechte von Mitarbeitern zu verletzen.
In Anbetracht der heutigen Cyber-Risiken führt kein Weg mehr an solchen Verfahren vorbei. Denn nur so lassen sich Zugriffsrisiken wirklich umfassend erkennen und reduzieren.

Rezertifizierung

Oder: Mehrere Teillösung ergeben die richtige Lösung

Die heute üblichen Ansätze für die Rezertifizierung müssen dringend überdacht werden. Das beginnt damit, dass Prüfer sich auf das Ergebnis einer Risikoreduktion von Berechtigungen fokussieren müssen und nicht auf eine bestimmte Vorgehensweise. Es braucht eine regelmäßige Überprüfung von Zugriffsberechtigungen. Diese muss aber richtig umgesetzt werden, um ihr Ziel zu erreichen.

Aber auch eine perfekte Rezertifizierung reicht nicht aus. Vorgelagert sollten gut definierte und umgesetzte Prozesse für das Management von Identitäten und Zugriffsberechtigungen sein. Und es braucht ergänzend weitere Ansätze, mit denen auch der Missbrauch von Berechtigungen erkannt werden kann. Zeit, neue Wege zu gehen - sowohl für die Rezertifizierung als auch darüber hinaus. (bw)