Compliance in Unternehmen

Was bringt softwaregestütztes Identity & Access Management?

22.04.2014
Von Jan Pieter  Giele
Wer besitzt welche Zugriffsrechte? Wann und von wem wurden bestimmte Daten aufgerufen? Wer hat ein Benutzerkonto überhaupt angelegt? Ein softwaregestütztes Identity & Access Management ermöglicht fundierte Antworten.

Der Siegeszug mobiler Devices und die Verlagerung von Anwendungen in die Cloud ändern kaum etwas daran: Nach aktuellen Zahlen des Statistischen Bundesamtes setzen noch immer knapp 90 Prozent der Unternehmen hierzulande auf Betriebssysteme von Microsoft. Und fast jede dieser Firmen muss die Berechtigungen für Zugriffe auf ihre IT-Infrastruktur regeln - etwa durch Einstellungen im Active Directory.

Hierbei zeigen die Erfahrungen, dass heterogene Anwendungslandschaften mit ihren vielfältigen Optionen sehr komplexe (Berechtigungs-)Strukturen erzeugen - auch bei KMU. Gleichzeitig steigt die Sensibilität für Datenschutz und Datensicherheit stetig an, wie Studien von PwC oder TNS Infratest zeigen. Viele IT-Leiter kennen daher die Frage der Geschäftsleitung: "Wer kann eigentlich auf unsere Daten zugreifen?" Ein aussagekräftiges und belastbares Reporting sowie Berechtigungen auszulesen, fällt vielen IT-Abteilungen jedoch schwer.

IT unter Kontrolle - aber wie?

Dabei werden immer mehr Unternehmen in immer kürzeren Zeitabständen mit Audits konfrontiert und die IT-Verantwortlichen müssen stets demonstrieren, dass sie Ihre IT vollständig unter Kontrolle haben. So gilt es beispielsweise nachzuweisen, dass sie zu jeder Zeit wissen, welche Personen welche Berechtigungen auf welche Ressourcen im Netzwerk besitzen, wann Berechtigungen vergeben wurden und wem dies im Rahmen von Reportings bekannt gegeben wurde. Wer etwa hat das Passwort von Kollege X wann und warum zurückgesetzt?

Solche Anforderungen enthalten zudem fast immer Vorgaben zur Komplexität von Passwörtern. Starke Passwörter mit Windows-Bordmitteln umzusetzen, bedeutet jedoch, die Komplexität im Active Directory zu erhöhen. Ergebnis sind umfangreiche Konsequenzen für die Endnutzer und zudem sind die Passwortregeln in vielen Bereichen unzureichend. Die Folge: Allein die Praktikabilität im Arbeitsalltag verhindert es häufig, die eigentlich gebotenen Regeln umzusetzen und ein regelkonformes Verhalten lückenlos nachzuweisen.

NTFS-Berechtigungen definieren

Berechtigungsreports für einen User.
Berechtigungsreports für einen User.
Foto: Tools4ever

Besonders schwer fällt es vielen IT-Verantwortlichen, die NTFS-Berechtigungen auszulesen. Kein Wunder, denn das Betriebssystem selbst bietet hier keine praktikablen Tools - überhaupt lässt sich ein belastbares und nutzerfreundliches Identity & Access Management (IAM) mit Windows-Bordmitteln kaum realisieren. Insbesondere ab 50 oder 100 Beschäftigten werden die Berechtigungsstrukturen schnell unüberschaubar.

Daher ist es oft sinnvoll, hier auf eine dedizierte Software zu setzen, die ein umfassendes NTFS-Reporting ermöglicht. So lassen sich beispielsweise ausführliche Darstellungen über die bestehenden Berechtigungen für die Nutzer im Netzwerk oder für ein Verzeichnis generieren.

Berechtigungsreports für ein Verzeichnis.
Berechtigungsreports für ein Verzeichnis.
Foto: Tools4ever

Einen Einblick, wie IT-Reports aussehen können, zeigt die UMRA-Lösung (User Management Resources Administrator). Sie zeigen etwa, auf welche Verzeichnisse ein Nutzer zugreifen darf, welche Rechte er dort besitzt und in welchen Gruppen er Mitglied ist. Auf Verzeichnisebene lässt sich beispielsweise inklusive aller Unterverzeichnisse ersehen, welche Nutzer oder Nutzergruppen zugreifen dürfen und welche Arten von Berechtigungen bestehen.

Damit erhalten die Verantwortlichen eine Unterstützung beim Befolgen der relevanten Sicherheitsrichtlinien sowie der Gesetz- und Regelgebung etwa auf dem Gebiet von KonTraG, BDSG und anderen. Es lassen sich unterschiedliche Möglichkeiten darstellen, wie NTFS Berechtigungen auslesen, Management- oder Audit-Reportings erstellen.