Obwohl jede vergebene Zugangsberechtigung im Unternehmen zum Risiko werden kann, nimmt deren Zahl rasant zu. Folglich ist besonders das Management der Zugriffsrechte die hohe Kunst einer modernen Risiko-Management-Strategie. Hinzu kommt, dass etliche Compliance-Richtlinien die Steuerung und Nachvollziehbarkeit von Berechtigungsvergaben einfordern. Daher sollten interne Zugriffsberechtigungen so eingerichtet sein, dass jeder Mitarbeiter wirklich nur auf diejenigen Systeme zugreifen kann, die seine Arbeit erfordert. Der Zugriff darf nur den Umfang haben, den der jeweilige Mitarbeiter zur Erledigung seiner Tätigkeit zwingend benötigt.

Diese Checkliste zeigt auf, worauf Unternehmen bei Planung, Einführung und Umsetzung eines Access Risk Management Systems achten sollten.

Nutzen Sie die Möglichkeiten der intelligenten Risikoanalyse

Niemand garantiert Ihnen, dass sich jedes Zugriffsrisiko erfassen lässt. Auf Business-Intelligence-Technologie aufbauende Access-Intelligence-Lösungen ermöglichen jedoch zumindest den Nachweis, dass alles für die Erfüllung der Compliance-Vorgaben Wichtige erfasst und dokumentiert wurde.

Es geht um die Beantwortung der wesentlichen Fragen der Berechtigungsverwaltung, beispielsweise darum, welcher Nutzer welche Berechtigungen besitzt und wie diese in der Vergangenheit aussahen. Unternehmen können mögliche Problemstellen identifizieren und sich maßgeschneiderte Risikoberichte erstellen, aber auch Lösungsmöglichkeiten aufzeigen lassen.

Think big, start small! Führen Sie Risiko-Management in einem Stufenmodell ein

Der Business-Intelligence-Ansatz macht weitreichende Analysen möglich. Seine Einführung bietet sich als Schritt-für-Schritt-Prozess an, der schon früh in ein ausbaufähiges System mündet. Die Technik selbst wird erst ganz am Schluss implementiert. Wichtig ist, vorab die Frage zu klären, wer die Bewertung der Risiken vornimmt.

In einem ersten Schritt werden ausschließlich die wichtigsten Risikopotenziale bewertet. Erfahrene Consultants sollten jedes Projekt begleiten und fundierte Vorschläge sowie Handlungsempfehlungen aussprechen. Um den Aufwand in Grenzen zu halten, empfiehlt sich die Konzentration auf das Wichtigste, also beispielsweise auf hochrisikobehaftete Applikationen und Systeme. Nicht relevante Fragestellungen oder sehr geringe Risiken sind derweil zu vernachlässigen. So kann das Risiko-Management-System schnell eingeführt und implementiert werden. Die Risikobewertung lässt sich später schrittweise erweitern.

Machen Sie es Ihren Kollegen einfach, verlässliche Aussagen treffen zu können

Von der Einführung eines intelligenzbasierten Risiko-Managements sollten vor allem vier Gruppen im Unternehmen profitieren: das Auditing & Controlling, die lT bzw. IT-Security, das Management und die Anwender in den Fachabteilungen.

Für Auditoren ist es wichtig, dass ihre Anforderungen mit möglichst geringem Aufwand erfüllt werden können. Spontane (Nach-)Fragen des Auditors zum Access Management sollten flexibel, schnell und individuell beantwortet werden können. Für IT-Administratoren oder IT-Security-Verantwortliche müssen umfassende Analysen und Informationen leicht aufzufinden sein, um das Risiko aus erteilten Zugriffsberechtigungen bewerten zu können.

Auch das Management gewinnt durch die Einführung von Risikomanagement-Systemen in vielfacher Hinsicht. So steigt die Transparenz in der Berechtigungsvergabe, während gleichzeitig sichergestellt ist, dass sämtliche Veränderungen nachvollziehbar und erklärbar bleiben. Auf diese Weise stellen Sie sicher, dass die Compliance-Vorgaben eingehalten werden können. Schließlich zählen auch die Anwender in den Fachabteilungen zu den Nutznießern, vorausgesetzt die Wahl fällt auf eine einfach zu bedienende und übersichtliche Lösung. Ein intuitiv aufgebautes Tool ist hier für die Business-Nutzer von Vorteil, das über vorgefertigte Reports sowie Analyseoptionen verfügt und regelmäßige Push-Informationen versenden kann.

Verzetteln Sie sich nicht in quantitativen Risikoeinschätzungen

Wer ein Risiko-Management-System aufbaut, muss dafür Sorge tragen, dass die Adressaten - wie etwa Geschäftsführung, Abteilungsleiter, Auditoren und viele andere - nur mit genau den Informationen versorgt werden, die für sie auch einen Wert haben. Entscheidend ist nicht die Menge, sondern die Qualität der Daten. Dafür bedarf es Schlüsselindikatoren, in denen große Datenmengen auf eine qualitative Aussage zusammengefasst werden. So wird es möglich, wichtige Informationen sofort zu erkennen und die Hochrisikobereiche auszumachen.

Identifizieren Sie "Hochrisiko-Nutzer"

Alle Gefahren des Berechtigungsmanagements zu erfassen und zu bewerten, würde zu viel Zeit kosten. Deshalb ist es ratsamer, sich auf die riskantesten Berechtigungen zu beschränken. Jedes Unternehmen sollte in der Lage sein, im Zusammenhang mit Hochrisikonutzern, zu denen privilegierte Anwender wie Administratoren gehören, folgende Fragen zu beantworten: Gibt es im Unternehmen User, die im täglichen Geschäft Zugriff auf sensible Daten haben? Verfügt das Unternehmen über geeignete Werkzeuge, um die Zugriffsberechtigungen auf ein Minimum zu reduzieren? Kann das Unternehmen durch Änderungen an den Zugriffsberechtigungen - beispielsweise durch Rollenkonzepte - das Risiko weiter reduzieren? Besteht die Möglichkeit, die Aktivitäten der privilegierten Benutzer aufzuzeichnen? Wem sind die Nutzer zugeordnet und welche übergeordneten Gruppen oder Rollen nutzen sie? Welche Aktivitäten führen sie aus?

Sind die privilegierten Nutzer respektive diejenigen mit Hochrisiko-Berechtigung oder -Autorisierung identifiziert, können sich Unternehmen auf diese Gruppen konzentrieren.

Verwenden Sie Berechtigungspfadanalysen

Weil die Berechtigungsstrukturen oft weitverzweigt sind, geht mit der typischen Frage "Wer hat welche Berechtigung auf welche Ressource" direkt eine weitere Frage einher: Über welche Zuweisungen (Rollen, Gruppen, Autorisierungsobjekte etc.) wurden dem Benutzer die Berechtigungen vergeben? Über welche Berechtigungspfade hat der Benutzer Zugriff auf die Ressourcen? Mit dem pfad-orientierten Ansatz ist eine Vielzahl von neuartigen Auswertungen möglich.

Nutzen Sie Ad-hoc-Analysen

Wie hoch die Gefahr durch eine vergebene Berechtigung tatsächlich ist, hängt von vielen nicht-standardisierbaren Faktoren ab. Deshalb bieten sich hier Ad-hoc-Analysen an. Ein intelligentes Risiko-Management sollte als Werkzeug dienen, um alle Daten mit einem leistungsfähigen Ad-hoc-Reporting-System verarbeiten zu können. Hier bietet sich beispielsweise Microsoft Excel an, weil die meisten Anwender damit bereits vertraut sind. (sh)