Mit der grundlegenden Ausrichtung an rechtlichen Anforderungen und der immer wichtiger werdenden Erfüllung regulatorische Anforderungen in vielen Branchen haben neue Prozesse im Bereich der Verwaltung von Benutzerrechten Einzug in die Unternehmen gehalten. Wichtige, grundlegende Prinzipien werden in diesen Prozessen verankert. So bedeutet das Minimalprinzip, dass ein Mitarbeiter nur die Rechte erhält, die er zur Ausführung seiner Tätigkeit auch tatsächlich benötigt.
Foto: optimarc - www.shutterstock.com
Beispielsweise sollte ein Sachbearbeiter, dessen Zuständigkeitsbereich sich klar auf eine eindeutig definierte Menge von Kunden eingrenzen lässt, nicht Zugriff auf alle Kundendaten erhalten. Ein Administrator, der für die regelmäßige Durchführung von Backups und deren Kontrolle zuständig ist, benötigt keine vollständigen Administrationsrechte auf den jeweiligen Systemen.
Das Prinzip der Funktionstrennung hingegen legt fest, welche Berechtigungen einander widersprechen und welche deshalb nicht durch eine einzelne Person wahrgenommen werden sollen. Dies sind insbesonders Prozesse, die innerhalb einer Prozesskette logisch voneinander abhängen. Beispielsweise sollte ein beantragender Mitarbeiter nicht auch eine Genehmigung im gleichen Kredit-Genehmigungsprozess durchführen dürfen.
Bausteine der Access Governance
Die Umsetzung dieser Prinzipien in eine gelebte Praxis ist Bestandteil des Berechtigungsmanagements (Access Management) und der neueren, sie begleitenden Disziplin der Access Governance. Diese beiden eng miteinander vewandten Disziplinen desSicherheitmanagements umfassen eine Vielzahl von Komponenten. Dazu gehört beispielsweise ein strategisches und zielgerichtetes Rollenmanagement. Dieses gewährleistet, dass schon bei der Definition von zuweisbaren Rollen die oben genannten Prinzipien eingehalten werden und auch schon vom Grundsatz her mit schlanken Berechtigungen agiert wird.
Der Nachweis der betrieblichen Notwendigkeit der Zuweisung eine Berechtigung an einen Mitarbeiter erfolgt oft durch die Definition und Umsetzung eines umfassenden- Beantragungs- und Genehmigungsprozesses für die Zuweisung von Berechtigungen. Diese Prozesse implementieren schon auf technischer Basis ein Vier- oder Mehraugenprinzip, so dass eine Berechtigung nicht unkontrolliert und außerhalb der jeweiligen Aufgabenbereiche vergeben werden kann.
Mit Risikoanalyse das Wichtige identifizieren
Mehr und mehr setzt sich in diesem Bereich eine risikoorientierte Betrachtungsweise von Berechtigungen durch. Die konsequente Identifikation von inhärenten Risiken, die mit unterschiedlichen Berechtigungen verbunden sind und die sich durchaus maßgeblich unterscheiden können, ist hierbei ein wichtiges Konzept. Sind jede Rolle und jede Berechtigung einer Risikobeurteilung zugeordnet, so wird den sie administrierenden Mitarbeitern ein wertvolles Hilfsmittel an die Hand gegeben, um kritische Bereiche bei der Überprüfung von Berechtigungen zu identifizieren.
In der Praxis erweist sich nämlich, dass die Bereiche Rollendefinition und -Pflege, und der Bereich der Genehmigung- und Beantragungsprozesse in vielen Unternehmen in der täglichen Arbeit angekommen sind. Effiziente Prozesse, um schnell an die jeweils benötigten Berechtigungen zu gelangen, sind oft sehr schnell und flächendeckend in den Unternehmen etabliert.
Ganz anders sieht es leider oft bei der Kontrolle bereits erteilter Berechtigungen auf ihre Validität und bei dem Entzug nicht mehr benötigter Berechtigungen aus. Hier zeigt sich der direkte Nutzen für den jeweiligen Mitarbeiter und das gesamte Unternehmen nicht mehr sofort. Das führt dazu, dass man in der Unternehmensrealität die Beantragung des Entzugs einer bereits erteilten und nicht mehr benötigten Berechtigung eines Mitarbeiters eher selten sieht.
Effizienzhemmnis Rezertifizierung
Dieser Herausforderungen begegnen viele Unternehmen mit der Durchführung von Rezertifizierung-Kampagnen. Hier werden Mitarbeiter auf der Business-Seite, die für Teams oder ganze Anwendungen Verantwortung tragen, in die Pflicht genommen, bereits erteilte Berechtigungen auf ihre Notwendigkeit und Rechtfertigung zu prüfen.
In regelmäßigen Abständen, gerne zum Abschluss eines Geschäftsjahres, kommt ein erheblicher Mehraufwand auf diese Mitarbeiter zu, der sie dazu zwingt, eine Vielzahl von Berechtigungen und ihre Zuordnung zu Mitarbeitern zu prüfen. Je nach Reifegrad der Rollendefinition kann das durchaus in der Praxis dazu führen, dass ein Teamleiter kryptische, weil technische Detailberechtigungen in Zielsystemen überprüfen muss, wofür ihm sowohl die fachlichen Voraussetzungen als auch die Zeit fehlen.
Dies birgt die Gefahr, dass der Verantwortliche die eigentliche Prüfung an andere Teammitglieder oder die Teamassistenz delegiert oder im Handstreich eine Vielzahl von Genehmigungen ungeprüft akzeptiert, um nicht aus Versehen noch benötigte Berechtigungen zu widerrufen. Dies könnte nämlich für den Betroffenen und damit für das Unternehmen im Alltag erhebliche Auswirkungen haben.
Schon das Konzept einer jährlichen oder halbjährlichen Rezertifizierung ist grundlegend überdenkenswert. So herrscht nur zum Rezertifizierungs-Zeitpunkt ein oder zwei Mal im JahrCompliance. Ziel aber sollte doch sein, dass das Unternehmen kontinuierlich und dauerhaft überprüfbar Compliance zu den gestellten Herausforderungen gewährleistet. Wird die Rezertifizierung dann auch noch so wie oben beschrieben durchgeführt, ist der Wert noch weiter vermindert.
Anregungen für eine moderne Access Governance
Die folgenden Anregungen können dazu dienen, den Umfang der Rezertifizierung zu vermindern und trotzdem zu einer dauerhaften und nachweisbaren Compliance zu gelangen. Viele, erfolgsversprechende Methoden sind gar nicht technischer Art, sondern helfen, einen effizienten und fokussierten Blick auf Berichtigungen zu erreichen:
Die oben dargestellte risikoorientierte Betrachtung von Berechtigungen ist ein wichtiges Hilfsmittel wenn es darum geht, wichtige von weniger wichtigen Berechtigungen zu trennen. Beispielsweise kann man dann häufigere, kleinere und über den Jahresablauf verteilte Zertifizierungskampagnen vornehmen, bei denen kritischere Berechtigungen überprüft werden.
Als hilfreiches Werkzeug haben sich die grundlegend nur auf begrenzte Zeit erteilte Berechtigungen herausgestellt: Werden Berechtigungen nur auf einem beschränkten Zeitraum, beispielsweise kritische Berechtigungen auf wenige Wochen oder weniger kritische Berechtigungen auf einige Monate erteilt, muss diese nach Ablauf dieser Zeit erneut beantragt werden. Ist die Notwendigkeit weiterhin gegeben, wird eine erneute Berechtigung im normalen Tagesablauf leicht in Genehmigungsprozesse erfolgen. Wird sie aber nicht mehr benötigt, entzieht sie sich quasi von selbst. Alle diese Berechtigungen müssen nicht rezertifiziert werden.
Ergänzend und unterstützend haben mittlerweile aber auch neue Technologien ihren Einzug in den immer wichtiger werdenden Bereich der Access Governance gefunden. Mit Werkzeugen für Access Analytics werden heute Analyseverfahren aus der Big-Data-Welt auf die bereits erteilten Berechtigungen angewandt. Hier können eine Vielzahl von Abweichungen identifiziert werden, die schon im Vorfeld einer Rezertifizierungs-Kampagne bereinigt werden können und so das Ausmaß der notwendigen Tätigkeiten erheblich verringern. So lassen sich beispielsweise Mitarbeiter mit einer ungerechtfertigt hohen Anzahl von kritischen Berechtigungen ungeschickt geschnittene Rollen identifizieren.
Schon das Aufteilen großer monolithischer Rollen in mehrere kleine und eine angemessene Zuteilung an die sie tatsächlich benötigenden Mitarbeiter kann eine Vielzahl von Problemen beheben helfen.Zahlreiche aktuelle Werkzeuge bietet hierbei schon Unterstützung. In Projekteinsätzen ermittelte Erfahrungswerte (Best Practices) führen schnell und effizient zur Umsetzung einer besseren Governance.
Werkzeuge aus dem Bereich der User Behaviour Analytics können in Echtzeit die Analyse der Benutzung kritischer Berechtigungen unterstützen, um schon zur Laufzeit Abweichungen bei der gewünschten Berechtigungswahrnehmung zu identifizieren. Hierbei lassen sich in anonymisierten oder pseudonymisierten Bewegungsdaten durchaus auch Muster erkennen, die auf der Basis an sich zu Recht gewährter Berechtigungen basieren, aber dennoch dem gewünschten Nutzungsverhalten der Anwender widersprechen.
Die Schaffung und Aufrechterhaltung der Compliance zu allen notwendigen Anforderungen (rechtlich, regulatorisch, intern) ist eine Voraussetzung für die Existenz eines jeden Unternehmens und damit ein zentrales Unternehmensziel. Rezertifizierung als Bestandteil einer umfassenden Access-Governance-Strategie ist an vielen Stellen heute noch notwendig, Sie kann aber dennoch durch intelligente Prozesse und moderne Werkzeuge ergänzt und an vielen Stellen schon abgelöst werden. Für das Team, das Access Management und Access Governance innerhalb eines Unternehmens steuert. muss es eine zentrale Herausforderung sein, die notwendigen Prozesse für die IT und das Business so auszugestalten, dass ein Höchstmaß an Compliance erreicht werden kann, ohne dass das Business über Gebühr belastet wird. (haf)