IT-Berechtigungen ermöglichen Mitarbeitenden den Zugriff auf IT-Ressourcen, doch falsch konfiguriert öffnen sie Hackern Tür und Tor. IT-Sicherheitsexperte Helmut Semmelmayer vom IAM-Entwickler tenfold verrät, wie Organisationen sich schützen können. [...]
Unternehmen unterliegen einem ständigen Wandel. Mitarbeiter stoßen zum Team, übernehmen neue Funktionen, wechseln die Abteilung, gehen in Elternzeit oder scheiden aus dem Betrieb aus. All diese Veränderungen gilt es auch auf der digitalen Ebene abzubilden: Um den reibungslosen Zugriff auf das Firmennetzwerk, Cloud-Dienste und externe Anwendungen zu gewährleisten, müssen Admins laufend neue Benutzer anlegen, mit den richtigen Rechten ausstatten und diese auch rechtzeitig wieder entfernen.
Während die nötigen Anpassungen sich im kleinen Rahmen noch vergleichsweise einfach bewerkstelligen lassen, entwickelt sich die manuelle Steuerung von Zugriffsrechten bei hunderten Konten, dutzenden Diensten und etlichen Verzeichnissen schnell zu einem Mammutprojekt, das nicht nur Unmengen an Zeit verschlingt, sondern bei dem es auf Dauer auch zwangsläufig zu Fehlern kommt.
Die Ursachen für falsch konfigurierte Zugriffsrechte sind vielfältig. Teils sorgt der interne Informationsfluss für Probleme, etwa wenn die HR das IT-Team nicht rechtzeitig über einen Abgang informiert und so verwaiste Konten im Unternehmensnetzwerk zurückbleiben. Die parallele Pflege von Active Directory, Azure AD, Geschäfts- und Drittanwendungen ist eine weitere Fehlerquelle, da bei Anpassungen leicht eines der zahlreichen Systeme übersehen wird. Häufig werden für Projekte und Vertretungen auch spezielle Rechte »auf Zeit« vergeben, an die später einfach niemand mehr denkt.
Teil des Problems ist die Tatsache, dass ein Überschuss an Zugriffsrechten im Arbeitsalltag kaum auffällt. Ein Benutzer, der auf eine benötigte Datei nicht zugreifen kann, kontaktiert selbstständig den Helpdesk. Doch niemand würde sich bei der IT melden, weil er noch immer Zugriff auf Daten aus seiner vorigen Abteilung hat, falls ihm das überhaupt bewusst ist. Überflüssige Berechtigungen bleiben solange unsichtbar, bis sie zum Problem werden. Doch dann ist es oft schon zu spät.
Einfallstor für Hacker
Nicht mehr benötigte Konten und Rechte können sich nämlich doch als nützlich erweisen – und zwar für Cyberkriminelle. Insbesondere verwaiste Konten sind ein beliebtes Ziel für Hacker, da diese in Sachen Sicherheit oft nicht auf dem neuesten Stand sind und es auch keinen User dahinter gibt, der wegen verdächtiger Aktivität Alarm schlagen könnte. Einmal im System, können sich Angreifer dank der weitreichenden Berechtigungen, die in vielen Unternehmen bestehen, ungehindert im Firmennetzwerk ausbreiten.
Die Verwaltung von Benutzern und Zugriffsrechten ist also in doppelter Hinsicht eine Frage der Sicherheit. Einerseits können Organisationen durch das konsequente Löschen nicht mehr benötigter Konten ihre Angriffsfläche reduzieren und damit das Risiko für Cyberangriffe deutlich senken. Andererseits hilft die Einschränkung von Zugriffsrechten auf ein notwendiges Minimum dabei, den Schaden im schlimmsten Fall so gering wie möglich zu halten. Dieser Grundsatz, auch als Least-Privilege-Prinzip bezeichnet, zählt nicht ohne Grund zu den Best Practices der IT-Sicherheit.
Datendiebstahl leicht gemacht
Dabei braucht es nicht zwangsläufig einen Angriff von außen, damit sensible Daten in die falschen Hände geraten. Auch bei internen Sicherheitsvorfällen, vom vorsätzlichen Datendiebstahl bis hin zu unabsichtlichen Datenpannen, spielt die Berechtigungsstufe von Mitarbeitenden eine wesentliche Rolle. Auf je mehr Systeme eine Person zugreifen kann, desto mehr Informationen sind gefährdet, wenn der oder die Betroffene einem Phishing-Link, Passwort-Leak oder ähnlichem zum Opfer fällt. Oder schlicht aus Neugier in Verzeichnissen stöbert, die weit außerhalb ihres Aufgabenbereichs liegen.
Organisationen, die Zugriffsrechte nicht angemessen beschränken, riskieren neben dem Verlust geschützter Informationen auch erhebliche Datenschutzstrafen. Denn der Schutz vor unberechtigtem Zugriff zählt zu den Pflichten bei der DSGVO-konformen Verarbeitung von personenbezogenen Daten. Dass es Organisationen hier nicht immer genau nehmen, zeigt etwa der Fall eines portugiesischen Krankenhauses, in dem 985 Benutzerkonten Zugang zu Patientendaten hatten, obwohl nur knapp 300 Mediziner dort tätig waren. Die örtliche Datenschutzbehörde verhängte daher ein Bußgeld von 400.000 Euro für die Klinik. Ähnliche Urteile sorgen immer wieder für Schlagzeilen und machen deutlich, wie weit verbreitet unsichere Zugriffstrukturen sind.
Wege aus dem Chaos
Chaotische, unsichere Strukturen entstehen nicht von einem Tag auf den anderen, sondern wachsen oft über Jahre hinweg an. Je länger man diese Altlasten ignoriert, desto schlimmer wird das Problem. Daher ist entschlossenes Vorgehen besonders wichtig, um für Ordnung und Sicherheit zu sorgen. Organisationen, die mit der Verwaltung von Berechtigungen kämpfen, sollten aber unbedingt darauf achten, eine langfristige Lösung zu finden, anstatt nur Symptome zu behandeln.
Beispielsweise ermöglichen Audit- und Reporting-Tools zwar einen kurzfristigen »Frühjahrsputz« im Firmennetzwerk, lösen aber nicht das grundlegende Problem der fehleranfälligen Berechtigungsvergabe. Nach der großen Aufräumaktion sammeln sich daher schon bald wieder überflüssige Rechte an und das Spiel geht von Neuem los. Um das Problem an der Wurzel zu packen, muss die Vergabe von Rechten standardisiert und automatisiert werden.
Identity und Access Management Lösungen stellen eine zentrale Plattform für die Berechtigungsverwaltung bereit, die nicht nur auf aktuelle Probleme hinweist, sondern Sicherheitslücken dauerhaft schließt. Anstatt unzählige Systeme parallel pflegen zu müssen, überträgt IAM-Software sämtliche Änderungen automatisch, wann immer sich die Position eines Mitarbeitenden verändert. Somit ist sichergestellt, dass allee Beschäftigten vom ersten bis zum letzten Tag genau über jene Rechte verfügen, die sie für ihre Aufgabe brauchen. Die übersichtliche Zusammenfassung aller Zugriffsrechte erlaubt es dabei, die Einhaltung von Datenschutz- und Sicherheitsrichtlinien jederzeit im Blick zu behalten.
Als angenehmer Nebeneffekt trägt die zentrale Verwaltung neben dem besseren Schutz von IT-Ressourcen auch zur Entlastung von Admins bei. Durch die Automatisierung von Routine-Aufgaben in der Berechtigungsvergabe und -Anpassung entfallen zahlreiche lästige und fehleranfällige Arbeitsschritte. Durch Self-Service-Funktionen und die Bestimmung von Datenverantwortlichen innerhalb von Abteilungen kann die Freigabe von Daten in den jeweiligen Fachbereich verlagert werden, was Entscheidungswege verkürzt und eine präzisere Abstimmung der Zugriffsrechte ermöglicht.
Mehr Sicherheit bedeutet also nicht zwangsläufig mehr Aufwand. Für Organisationen, die aufgrund ihrer Größe bei der manuellen Anpassung von Rechten an ihre Grenzen stoßen, stellt die automatisierte Berechtigungsverwaltung eine Win-Win-Situation dar. IAM-Lösungen sichern sensible Daten bestmöglich ab, ohne den Zugriff im Arbeitsalltag zu erschweren. Als Senior Manager Channel Sales bei dem IAM-Entwickler tenfold hilft der IT-Sicherheitsexperte Helmut Semmelmayer Firmen dabei, Zugriffsrechte sicher und effizient zu verwalten.
*Helmut Semmelmayer ist Senior Manager Channel Sales bei tenfold.
Be the first to comment