Mit der grundlegenden Ausrichtung an rechtlichen Anforderungen und der immer wichtiger werdenden Erfüllung regulatorische Anforderungen in vielen Branchen haben neue Prozesse im Bereich der Verwaltung von Benutzerrechten Einzug in die Unternehmen gehalten. Wichtige, grundlegende Prinzipien werden in diesen Prozessen verankert. So bedeutet das Minimalprinzip, dass ein Mitarbeiter nur die Rechte erhält, die er zur Ausführung seiner Tätigkeit auch tatsächlich benötigt.
Foto: optimarc - www.shutterstock.com
Beispielsweise sollte ein Sachbearbeiter, dessen Zuständigkeitsbereich sich klar auf eine eindeutig definierte Menge von Kunden eingrenzen lässt, nicht Zugriff auf alle Kundendaten erhalten. Ein Administrator, der für die regelmäßige Durchführung von Backups und deren Kontrolle zuständig ist, benötigt keine vollständigen Administrationsrechte auf den jeweiligen Systemen.
Das Prinzip der Funktionstrennung hingegen legt fest, welche Berechtigungen einander widersprechen und welche deshalb nicht durch eine einzelne Person wahrgenommen werden sollen. Dies sind insbesonders Prozesse, die innerhalb einer Prozesskette logisch voneinander abhängen. Beispielsweise sollte ein beantragender Mitarbeiter nicht auch eine Genehmigung im gleichen Kredit-Genehmigungsprozess durchführen dürfen.
Bausteine der Access Governance
Die Umsetzung dieser Prinzipien in eine gelebte Praxis ist Bestandteil des Berechtigungsmanagements (Access Management) und der neueren, sie begleitenden Disziplin der Access Governance. Diese beiden eng miteinander vewandten Disziplinen desSicherheitmanagements umfassen eine Vielzahl von Komponenten. Dazu gehört beispielsweise ein strategisches und zielgerichtetes Rollenmanagement. Dieses gewährleistet, dass schon bei der Definition von zuweisbaren Rollen die oben genannten Prinzipien eingehalten werden und auch schon vom Grundsatz her mit schlanken Berechtigungen agiert wird.
- 70 Prozent sind in der Wolke
69 Prozent der deutschen Firmen nutzen mittlerweile Cloud-Services. 55 Prozent der Anwender haben eine Cloud-Strategie. - Eine Drittel Überzeugungstäter
Kennen tut Cloud Computing inzwischen fast jeder Anwender. Wichtig ist das Thema für ein Drittel der Befragten. Ähnlich hoch ist der Anteil der Firmen, für die die Cloud eine geringe Rolle spielt. - Gründe gegen die Cloud
Am schwersten wiegen traditionell Sicherheits- und Compliance-Bedenken gegen die Cloud. 54 Prozent der Befragten sehen indes für sich schlichtweg keinen Nutzen in der Wolke. - Erwartungen an die Cloud
Kosteneinsparung ist der Vorteil, denn zwei Drittel der Anwender in der Cloud realisieren wollen. Vier weitere Erwartungen werden von mehr als der Hälfte der Befragten geäußert. - Erfahrungen in der Cloud
So beurteilen die Nutzer ihre Erfahrungen mit den diversen Cloud-Arten. IaaS sorgt für die höchste Zufriedenheit, PaaS ist noch vergleichsweise unbekannt. - Anforderungen an die Public Cloud
Die Public Cloud als Speicherort kommt für die Firmen oft nur unter Umständen in Frage. Zum Beispiel dann, wenn der Speicherort in Deutschland oder der EU liegt.
Der Nachweis der betrieblichen Notwendigkeit der Zuweisung eine Berechtigung an einen Mitarbeiter erfolgt oft durch die Definition und Umsetzung eines umfassenden- Beantragungs- und Genehmigungsprozesses für die Zuweisung von Berechtigungen. Diese Prozesse implementieren schon auf technischer Basis ein Vier- oder Mehraugenprinzip, so dass eine Berechtigung nicht unkontrolliert und außerhalb der jeweiligen Aufgabenbereiche vergeben werden kann.
Mit Risikoanalyse das Wichtige identifizieren
Mehr und mehr setzt sich in diesem Bereich eine risikoorientierte Betrachtungsweise von Berechtigungen durch. Die konsequente Identifikation von inhärenten Risiken, die mit unterschiedlichen Berechtigungen verbunden sind und die sich durchaus maßgeblich unterscheiden können, ist hierbei ein wichtiges Konzept. Sind jede Rolle und jede Berechtigung einer Risikobeurteilung zugeordnet, so wird den sie administrierenden Mitarbeitern ein wertvolles Hilfsmittel an die Hand gegeben, um kritische Bereiche bei der Überprüfung von Berechtigungen zu identifizieren.
In der Praxis erweist sich nämlich, dass die Bereiche Rollendefinition und -Pflege, und der Bereich der Genehmigung- und Beantragungsprozesse in vielen Unternehmen in der täglichen Arbeit angekommen sind. Effiziente Prozesse, um schnell an die jeweils benötigten Berechtigungen zu gelangen, sind oft sehr schnell und flächendeckend in den Unternehmen etabliert.
Ganz anders sieht es leider oft bei der Kontrolle bereits erteilter Berechtigungen auf ihre Validität und bei dem Entzug nicht mehr benötigter Berechtigungen aus. Hier zeigt sich der direkte Nutzen für den jeweiligen Mitarbeiter und das gesamte Unternehmen nicht mehr sofort. Das führt dazu, dass man in der Unternehmensrealität die Beantragung des Entzugs einer bereits erteilten und nicht mehr benötigten Berechtigung eines Mitarbeiters eher selten sieht.