Viele Unternehmen stehen vor der Aufgabe, die an Mitarbeiter, externe Personen und technische Accounts vergebenen Zugriffe und Berechtigungen zu dokumentieren und auf einem aktuellen Stand zu halten. Leider wird das immer noch häufig sehr stiefmütterlich behandelt – aus unterschiedlichen Gründen. Natürlich ist man mit unterschiedlichen Tätigkeiten oder anderen Projekten im täglichen Arbeitsalltag beschäftigt, weshalb man sich ungern mit vergebenen Berechtigungen befasst. Gerne wird diese Aufgabe auch von den Fachbereichen an die IT abgegeben. “Das ist sowieso ein Thema, welches in die IT-Abteilung gehört.”
So der Irrglaube!
Spätestens beim nächsten internen Audit kommen die Problemfälle und Optimierungspotentiale ans Licht. So wie etwa weiterhin vorhandener Zugriff von Benutzeraccounts, deren Besitzer schon vor Monaten das Unternehmen verlassen haben.
Doch das muss nicht sein! Eine regelmäßige Rezertifizierung kann ein gutes Mittel sein, um den oben beschriebenen Problemen entgegenzuwirken.
Was ist eine Rezertifizierung?
Streng genommen handelt es sich bei einer Rezertifizierung um einen Audit, welcher die Gültigkeit eines Zertifikates prüft und gegebenenfalls verlängert.
Jedoch soll es um solche Rezertifizierungen in diesem Beitrag nicht gehen.
Wir wollen uns mit der „Rezertifizierung von Berechtigungen“ auseinandersetzen.
Die Rezertifizierung von Zugriffen ist ein Prozess, in dem die Kontrolle und
Abnahme eines Zustandes bestätigt wird. Dabei prüft eine geeignete verantwortliche Person (CISO, Vorgesetzte, Fachverantwortliche) die vergebenen Berechtigungen der Anwender und entscheidet, ob dieser Zustand weiterhin Bestand haben soll oder nicht. Dabei werden die notwendigen Änderungen im Idealfall auch gleich umgesetzt. Einfach gesprochen handelt es sich hier um eine Überprüfung von Berechtigungen im Rahmen vom Benutzermanagement.
Im IAM Umfeld werden Rezertifizierungen heute bereits vom Gesetzgeber verlangt, auf Basis der DSGVO und BSI Empfehlungen.
Somit kann die Einführung eines Rezertifizierungsprozesses ein Unternehmen vor anfallenden Sicherheitsverstößen und eventuellen Bußgeldern schützen.
Heute sollte die Rezertifizierung fester Bestandteil vom Berechtigungsmanagement und Compliance Vorschrift sein.
Laden Sie unser Whitepaper herunter!
Darin erfahren Sie alle notwendigen Schritte zur erfolgreichen Implementierung eines IAM Systems.
Was sollte rezertifiziert werden?
Bei Rezertifizierungen von Zugriffen oder Berechtigungen sollten die folgenden Bereiche beim Erstellen des Prüfkonzeptes berücksichtigt werden:
- Rollen-Identitäts-Zuweisungen
- Rollen-Rechte-Zuweisungen
- Regelwerke der Zuweisungen
- Gültigkeit von Identitäten
Rollen-Identitäts-Zuweisungen
Hier sollte geprüft werden, ob ein Mitarbeiter die Rollen im Unternehmen innehat, welche seiner Stellenschreibung entsprechen und für die Erfüllung seiner täglichen Aufgaben erforderlich sind.
Rollen-Rechte-Zuweisungen
Bei Rollen-Rechte-Zuweisungen wird geprüft, ob die einzelnen Rollen im Unternehmen noch die korrekten Berechtigungen auf den eingesetzten Systemen besitzen. Dabei sollen nicht nur Unternehmensrollen überprüft werden, sondern auch Zugriffsrollen in den Geschäftsanwendungen und in der Infrastruktur.
Der Ist-Zustand sollte mit den vorhandenen oder aktualisierten Richtlinien und Vorgaben verglichen und erforderliche Anpassungen vorgenommen werden.
Regelwerke der Zuweisungen
Sind die Regelwerke und Abläufe, mit denen Rollen an Berechtigungen und Identitäten an Rollen geknüpft werden noch aktuell und korrekt? Sind die notwendigen Genehmigungsschritte für die Zuweisung noch zeitgemäß und die Genehmiger noch im Unternehmen?
Gültigkeit von Identitäten
Bei der Gültigkeit von Identitäten legt man das Augenmerk auf die unterschiedlichen Account, welche unternehmensweit im Einsatz sind.
Dabei kann man sich die folgenden Fragen stellen:
- Ist ein Mitarbeiter, externe Berater, Administrator-Account oder Dienstkonto noch aktuell?
- Hat ein ehemaliger Mitarbeiter den Austrittsprozess korrekt durchlaufen?
- Ist ein externer Berater noch im Unternehmen tätig oder kann sein Account gelöscht werden?
- Ist der Administrator-Account eines scheidenden Mitarbeiters ebenfalls in den Austrittsprozess überführt worden?
- Erfüllt das Dienstkonto weiterhin seinen ursprünglichen Zweck oder wird es gegebenenfalls für andere Aufgaben verwendet?
Suchen Sie eine professionelle Beratung?
Benötigen Sie Unterstützung bei der Einführung eines IAM Systems? Sprechen Sie uns gerne an!
Wie baut man eine Rezertifizierung sinnvoll auf?
Die Umsetzung einer Rezertifizierung kann sowohl manuell als auch automatisch aufgebaut und durchgeführt werden. Heutzutage gibt es zahlreiche Softwareprodukte aus dem Access Governance Bereich auf dem Markt, dass selbst kleine Unternehmen die Kosten für die Implementierung eines Rezertifizierungsprozesses stemmen können.
Mit Hilfe solcher Applikationen lassen sich solche Rezertifizierungen nicht nur einfacher aufbauen und zeitlich steuern, sie werden auch revisionssicher dokumentiert und anfallende Änderungen gegebenenfalls sofort umgesetzt.
Der Aufbau einer Rezertifizierung ist denkbar einfach. Dazu kommt der „gute alte” Tabellenansatz zum Tragen. Wir wollen das hier anhand eines Beispiels erläutern. Nehmen wir an, wir wollen unser CRM System rezertifizieren,
welches den Zugriff über systeminterne Rollen steuert.
Der Aufbau einer solchen Rezertifizierungstabelle könnte wie folgt aussehen:
Bei der Tabelle wird eine Kreuzmatrix aus den verfügbaren Rollen und der Inhaber der Rollen erstellt. Der Rezertifizierer muss dann lediglich die Entscheidung treffen, ob er mit der Rollenzuweisung für die Person einverstanden ist oder nicht.
So eine Matrix ist leicht verständlich und intuitiv bedienbar. Der Rezertifizierer erkennt sofort, welche Berechtigungen einer Person gewährt wurden und kann anhand von Vorgaben, Richtlinien, Prüfungen oder eigenem Ermessen, entscheiden, ob diese weiterhin zugewiesen bleiben sollen oder nicht.
Diese Matrixtabellen lassen sich auch auf die anderen 3 Rezertifizierungsbereiche portieren, in dem einfach nur die Spalten- und Zeilenüberschriften entsprechend angepasst werden.
Moderne Systeme für Access Governance oder Identity Access Management (IAM) bieten Rezertifizierungsfunktionalitäten an, welche auf dem oben gezeigten Beispiel basieren, und generieren diese Tabellen automatisch.
Neben der Frage, wie man eine Rezertifizierung aufbaut, muss man sich auch die Frage stellen, wie oft dieser Prozess ausgeführt werden soll.
Erfahrungsgemäß sollten Rezertifizierungen in einem Zeitraum zwischen 3 und 6 Monaten wiederholt werden. Damit reduziert man die Zeit, in der gegebenenfalls falsche Rollen oder Berechtigungen einer Person zugewiesen bleiben. Natürlich hängt der Zeitraum auch von der Menge der zu überprüfenden Rollen, Berechtigungen und Identitäten ab. Einzelne Berechtigungen werden in der Regel häufiger kontrolliert als Rollenzuweisungen. Hierfür gibt es kein Richtig oder Falsch. Der Prozess muss in die jeweilige Arbeitsweise des Unternehmens passen.
Zusammenfassend kann man sagen, dass die Rezertifizierung ein effizientes Mittel ist, um das eingesetzte Berechtigungsmanagement regelmäßig zu überprüfen und auf einem sauberen Stand zu halten. Darüber hinaus vermeidet es unangenehme Situationen, wie Datenschutzverstöße oder Bußgelder.