Der Siegeszug mobiler Devices und die Verlagerung von Anwendungen in die Cloud ändern kaum etwas daran: Nach aktuellen Zahlen des Statistischen Bundesamtes setzen noch immer knapp 90 Prozent der Unternehmen hierzulande auf Betriebssysteme von Microsoft. Und fast jede dieser Firmen muss die Berechtigungen für Zugriffe auf ihre IT-Infrastruktur regeln - etwa durch Einstellungen im Active Directory.
Hierbei zeigen die Erfahrungen, dass heterogene Anwendungslandschaften mit ihren vielfältigen Optionen sehr komplexe (Berechtigungs-)Strukturen erzeugen - auch bei KMU. Gleichzeitig steigt die Sensibilität für Datenschutz und Datensicherheit stetig an, wie Studien von PwC oder TNS Infratest zeigen. Viele IT-Leiter kennen daher die Frage der Geschäftsleitung: "Wer kann eigentlich auf unsere Daten zugreifen?" Ein aussagekräftiges und belastbares Reporting sowie Berechtigungen auszulesen, fällt vielen IT-Abteilungen jedoch schwer.
- One person, many identities
Die Vielzahl an digitalen Identitäten und Passwörtern, die ein Nutzer bewältigen muss, lässt sich durch Single-Sign-On (SSO) reduzieren. Im Idealfall reicht eine Zugangskontrolle für alle genutzten Anwendungen. Dies kann zum Beispiel eine biometrische Zugangskontrolle sein wie bei BioID. - Twitter - Sign in
Social-Media-Dienste wie Twitter bieten sich als Identitätsdienst an, so dass zum Beispiel die Twitter-Zugangsdaten auch für andere Online-Dienste genutzt werden können - vorausgesetzt, diese unterstützen die Anmeldung über Twitter. - Alternative Mozilla Persona
Neben dem Identitätsdienst OpenID bietet sich auch Mozilla Persona an, um einheitliche Anmelde-Verfahren bei mehreren Webseiten zu schaffen. - One E-Mail to rule 'em all
Bei Mozilla Persona dient die E-Mail-Adresse des Nutzers als eindeutiges Kennzeichen, über das verschiedene Anmelde-Verfahren auf Webseiten vereinheitlicht werden können. - ClaimID OpenID
Einer der führenden Identitätsdienste im Internet ist OpenID. Dieser wird auch von zahlreichen Identitätsmanagement-Lösungen unterstützt, die Unternehmen für das interne Netzwerk und für Cloud-Dienste einsetzen. - CA CloudMinder
Die Lösung CA CloudMinder bietet Single-Sign-On für eine Vielzahl von Anwendungen, ob im eigenen Netzwerk oder in der Cloud. Zusätzlich werden Self-Service-Funktionen angeboten, mit denen die Nutzer zum Beispiel selbst ein Passwort zurücksetzen können. - SecureAuth IdP
Für die SSO-Lösung SecureAuth IdP gibt es spezielle mobile Apps, mit denen sich die SSO-Zugänge auch über mobile Geräte nutzen lassen. - Aveska MyAccess Mobile
Für die SSO-Plattform MyAccessLive gibt es mobile Zugriffsmöglichkeiten, mit denen Administratoren Nutzeranfragen zu neuen oder geänderten Zugängen mobil bearbeiten können.
IT unter Kontrolle - aber wie?
Dabei werden immer mehr Unternehmen in immer kürzeren Zeitabständen mit Audits konfrontiert und die IT-Verantwortlichen müssen stets demonstrieren, dass sie Ihre IT vollständig unter Kontrolle haben. So gilt es beispielsweise nachzuweisen, dass sie zu jeder Zeit wissen, welche Personen welche Berechtigungen auf welche Ressourcen im Netzwerk besitzen, wann Berechtigungen vergeben wurden und wem dies im Rahmen von Reportings bekannt gegeben wurde. Wer etwa hat das Passwort von Kollege X wann und warum zurückgesetzt?
Solche Anforderungen enthalten zudem fast immer Vorgaben zur Komplexität von Passwörtern. Starke Passwörter mit Windows-Bordmitteln umzusetzen, bedeutet jedoch, die Komplexität im Active Directory zu erhöhen. Ergebnis sind umfangreiche Konsequenzen für die Endnutzer und zudem sind die Passwortregeln in vielen Bereichen unzureichend. Die Folge: Allein die Praktikabilität im Arbeitsalltag verhindert es häufig, die eigentlich gebotenen Regeln umzusetzen und ein regelkonformes Verhalten lückenlos nachzuweisen.
NTFS-Berechtigungen definieren
Besonders schwer fällt es vielen IT-Verantwortlichen, die NTFS-Berechtigungen auszulesen. Kein Wunder, denn das Betriebssystem selbst bietet hier keine praktikablen Tools - überhaupt lässt sich ein belastbares und nutzerfreundliches Identity & Access Management (IAM) mit Windows-Bordmitteln kaum realisieren. Insbesondere ab 50 oder 100 Beschäftigten werden die Berechtigungsstrukturen schnell unüberschaubar.
Daher ist es oft sinnvoll, hier auf eine dedizierte Software zu setzen, die ein umfassendes NTFS-Reporting ermöglicht. So lassen sich beispielsweise ausführliche Darstellungen über die bestehenden Berechtigungen für die Nutzer im Netzwerk oder für ein Verzeichnis generieren.
Einen Einblick, wie IT-Reports aussehen können, zeigt die UMRA-Lösung (User Management Resources Administrator). Sie zeigen etwa, auf welche Verzeichnisse ein Nutzer zugreifen darf, welche Rechte er dort besitzt und in welchen Gruppen er Mitglied ist. Auf Verzeichnisebene lässt sich beispielsweise inklusive aller Unterverzeichnisse ersehen, welche Nutzer oder Nutzergruppen zugreifen dürfen und welche Arten von Berechtigungen bestehen.
Damit erhalten die Verantwortlichen eine Unterstützung beim Befolgen der relevanten Sicherheitsrichtlinien sowie der Gesetz- und Regelgebung etwa auf dem Gebiet von KonTraG, BDSG und anderen. Es lassen sich unterschiedliche Möglichkeiten darstellen, wie NTFS Berechtigungen auslesen, Management- oder Audit-Reportings erstellen.