Um sich vor Hacker-Angriffen zu schützen, muss man denken wie einer

Es gibt die unterschiedlichsten Arten und Weisen von Cyber-Attacken. Täglich liest man von neuen Attacken auf Unternehmen und Konzerne, die gehackt wurden und dabei zahlreiche Unternehmensdaten nach außen gelangt sind. Als IT-Abteilung versucht man alles Mögliche, genau dies zu verhindern. Doch wie soll präventiv gegen Cyber Sicherheit voran gegangen werden, wenn intern noch reichlich strukturelle Maßnahmen fehlen.

Es gibt Möglichkeiten, die nicht nur Cyber-Attacken entgegenwirken, sondern auch gleichzeitig interne Strukturen und Prozesse im Unternehmen richten, die seit Jahren entweder manuell vorgenommen werden oder etliche Genehmigungs- und Formularwege gehen müssen. Eine Identity and Access Management Lösung verhilft einem Unternehmen sämtliche Daten von Mitarbeitern, Rechtevergabe, Berechtigungen, Genehmigungsverfahren u.v.m. zu verwalten und somit eine ganzheitliche Übersicht zu geben. Mit wenigen Klicks kann mit IAM sowohl konform als auch sicher und effizient gearbeitet werden. Viele Aufgaben können an die Mitarbeiter delegiert werden oder durch Dateneigentümer übernommen werden.

Eine Auswahl an weiteren Herausforderungen, möchten wir Ihnen etwas näher erläutern:

User Life Cycle – Ob Neueinstellung, Job Rotation oder Beendigung

Viele Organisationen sind von außen ziemlich schwer zu hacken, allerdings wird es wesentlich einfacher, wenn innerhalb der Unternehmenswände gehackt wird. Beispielsweise wenn ehemalige Mitarbeiter immer noch eine Zugangskarte besitzen und somit in der Lage sind auf das Netzwerk zuzugreifen und sensible Daten klauen können. Die meisten Sicherheitslücken treten bei dem User-LifeCycle-Prozess auf, wenn Mitarbeiter ihren Arbeitsplatz wechseln, den Unternehmensstandort oder ganz ausscheiden. Entscheidend sind hier das Onboarding aber auch der Offboarding Prozess eines Mitarbeiters.

On-/ Offboarding – Zusammenarbeit mit Personalmanagement-System

On- und Offboarding-Prozesse können ein Alptraum für IT-Leiter und Personalverantwortliche sein, insbesondere in wachsenden Unternehmen. Gerade das Offboarding erfordert die vollständige Entkopplung eines Mitarbeiters von allen Konten und Systemen - On-Premise und/oder in der Cloud. Doch viele Unternehmen haben keinen Überblick, welche Zugangsrechte und Datenzugriffe ein Mitarbeiter hat. Die Identitäts- und Zugriffsmanagement-Systeme sind oftmals veraltet und selbst entwickelt. Viele interne Prozesse laufen noch manuell ab. Dabei werden Berechtigungen schrittweise und unprotokolliert vergeben bzw. gesperrt. Daher ist es häufig gar nicht so einfach, die verschiedenen Logins beim Ausscheiden eines Mitarbeiters abzuschalten. Expertenmeinungen gehen davon aus, dass fast ein Drittel ehemaliger Arbeitnehmer noch Zugang zu den Netzwerken ihres früheren Arbeitgebers haben. Das Risiko für Unternehmen ist enorm, durch Insider-Bedrohungen, Opfer von Datenverlust, -manipulation oder -diebstahl zu werden.

Zu viele Rechte

Bei der anfänglichen Registrierung eines neuen Mitarbeiters, werden bestimmte Rechte zugewiesen. In den meisten Fällen erhält dieser Mitarbeiter, dieselben Rechte wie andere Mitarbeiter mit einer ähnlichen Funktion. (Template User) Beim Kopieren dieser Rechte werden oft schon zu viele Rechte gewährt. Dem Mitarbeiter selber ist dies erstmal nicht bewusst, dass er „Exra" Rechte besitzt. Schwierig wird es, wenn dieser Mitarbeiter bspw. die Abteilung wechselt und weitere Rechte benötigt. In diesem Fall, werden diesen Personen meist die zusätzlichen Rechte gewährt aber die ursprünglichen nicht mehr benötigten Rechte, werden ihm nicht entzogen. Dies schafft eine Anhäufung an Rechten.

Wer darf denn jetzt was?

Diese Anhäufung von Rechten ist nicht immer für die Unternehmen ersichtlich, weil meistens niemand im Unternehmen den vollständigen Überblick von den gewährten Rechten und Genehmigungen der Mitarbeiter hat. Aus Erfahrungswerten ist es oftmals auch ein zeitlicher Aspekt, dass zusätzliche Rechte schnell gewährt werden ohne zu prüfen, welche Genehmigungen nicht mehr notwendig sind und entzogen werden können. Ein Identity Management System könnte diese Sicherheitslücken erheblich reduzieren.

Wie unterstützt Identity & Access Management mich als Organisation?

Ein Lösungsweg wäre die RBAC-Funktion (Role Based Access Control). Mit dieser Funktion erhalten die Mitarbeiter nur die Genehmigungen die zu deren Arbeitsfeld benötigt werden. Zu diesem Zweck erstellt die Organisation eine Berechtigungsmatrix, die alle Rechte im Detail beinhaltet für die verschiedenen Systeme und Anwendungen und erteilt bspw. Schreib- oder Leserechte bei einem bestimmten Auftrag.

Wenn ein neuer Mitarbeiter im HR-System angelegt wird, kann mit Hilfe von User Provisioning (Onboarding und Offboarding Prozesse), eine Funktion des Identity Management System, ein Netzwerkkonto automatisch mit allen benötigten Rechten erstellt werden. Die IAM Software liest die Berechtigungsmatrix für die bestimmte Funktion des Mitarbeiters und weiß genau, welche Berechtigungen er dem neuen Benutzerkonto zuordnen muss. RBAC verhindert, dass Mitarbeiter zu viele Rechte erhalten. Somit kann der Mitarbeiter nur innerhalb seines Arbeitsfeldes Schaden verursachen und nicht außerhalb.

Durch eine zusätzliche Verknüpfung mit einem Smartcard-System, können weitere Sicherheitsmaßnahmen getroffen werden. Hierbei kann ebenfalls die Zugangskarte mit einer bestimmten Rolle eines Mitarbeiters verknüpft werden, sodass ein Mitarbeiter nur zu den Räumen Zugang erhält, die für seine bestimmte Funktion notwendig sind. Gerade bei Gesundheitseinrichtungen ist dieses Smartcard-System weit verbreitet.

Das Berechtigungsmanagement (ERAM) hilft Ihnen als Organisation einen Überblick über jegliche Rechte, die sie vergeben haben oder RBAC übernimmt einzusehen. Mit wenigen Klicks sammeln Sie die Daten, können diese analysieren, sich Reports für Audits ausstellen und durch Delegation sparen Sie viel Zeit und Wege.

Schadensbegrenzung durch IAM

Wenn trotz aller Maßnahmen, Schäden entstehen, kann ein Identity Management System immer noch dazu beitragen, diesen Schaden zu begrenzen. Bpw. bei einer fristlosen Kündigung, hier wäre das Führungspersonal sofort in der Lage die Berechtigungen zu entziehen und das mit einem Klick.