Was ist Rezertifizierung von Zugriffsrechten?

Was ist Rezertifizierung von Zugriffsrechten? (Berechtigungsprüfung IAM)

Rezertifizierung von Zugriffsrechten im Identity & Access Management beschreibt den Prozess, vergebene Berechtigungen, Rollen und Gruppenzugehörigkeiten regelmäßig auf ihre Rechtmäßigkeit zu überprüfen. Auch Rollenkonzepte und Regelwerke für Berechtigungskombinationen sollten mindestens jährlich einer Rezertifizierung unterzogen werden.

Diese Berechtigungsprüfung innerhalb des Unternehmens wird durch gesetzliche Vorgaben und Compliance-Vorschriften vorgeschrieben. Für (Active Directory) Sicherheitsaudits ist sie zwingende Voraussetzung. Rezertifizierung soll Datenmissbrauch (vor allem durch interne Mitarbeiter) und Datendiebstahl (insbesondere durch Ex-Mitarbeiter mit intakten Zugangsdaten) vorbeugen. Der IT-Abteilung kommt hierbei die Rolle des Koordinators zu, denn die inhaltliche Überprüfung kann nur durch Dateneigentümer (Vorgesetzte, Manager, Abteilungsleiter) erfolgen, die die Mitarbeiter und ihre Aufgaben kennen.

Warum überhaupt rezertifizieren?

Jeder Benutzer erhält bei seinem Einstieg ins Unternehmen ein individuelles Benutzerkonto mit Berechtigungen für Dateien, Gruppenmitgliedschaften im Active Directory und zugeordneten Ressourcen, die er für seine Aufgaben benötigt. Im Laufe der Unternehmenszugehörigkeit kommt es aber oft zu Änderungen: Abteilungswechsel, Änderung des Aufgabengebiets, Aufstieg in eine Führungsrolle etc.

Dementsprechend müssen sich auch die Zugriffsrechte des Users ändern, damit er seine Aufgaben weiterhin ungehindert ausführen kann. Der Fehler liegt hier oft im Detail: Hinzugefügt werden Rechte sehr schnell, es hapert am Entzug veralteter Zugriffsrechte oder an unerwünschten Berechtigungskombinationen im Sinne der Segregation of Duties während des User Lifecycle Managements. Am Beispiel des Azubi-Problems wird das sehr deutlich:

Die Auszubildende Anna erhält an ihrem ersten Tag ein Set von IT-Berechtigungen für die Sales-Abteilung, in der sie die ersten Monate eingearbeitet wird. Als sie in die Marketing-Abteilung wechselt, behält sie ihre Berechtigungen für Zugriff auf Kundendaten und erhält zusätzlich Einsicht in Marketingbudgets und Zielgruppenanalysen. Es folgen Stationen in der Buchhaltung, HR-Abteilung und im Lager, bevor Anna am Ende ihrer Ausbildung zur Konkurrenz wechselt. Mittlerweile hat sie mehr Zugriffsrechte angesammelt als der Geschäftsführer! Und weil ihr Account nicht sofort deaktiviert wird, könnte sie sogar wertvolle Unternehmensdaten, Kunden, geistiges Eigentum, Budgets an ihren neuen Arbeitgeber liefern.

Rechteakkumulation, unbefugte Zugriffe und Datenschutzverletzungen sind ein längst bekanntes Risiko in Unternehmen. Doch die IT-Abteilung hat oft nicht die personellen Kapazitäten, Berechtigungen in einem Rezertifizierungsprozess wirklich regelmäßig überprüfen zu lassen, um die Berechtigungslandschaft dauerhaft sauber zu halten.

Wie gelingt Rezertifizierung von IT-Berechtigungen?

Man muss es leider sagen: Rezertifizierung funktioniert nicht.

Die regelmäßige Berechtigungsprüfung ist für große wie kleine Unternehmen einfach nicht stemmbar. Der Überprüfungsprozess für Zugriffsrechte ist aufwendig und zeitintensiv. Schon aufgrund seiner Regelmäßigkeit und der nötigen Koordination im gesamten Unternehmen muss die wertvolle Arbeitszeit vieler Mitarbeiter für Planung, Überprüfung und Kontrolle aufgewendet werden. Wenn Änderungen der Berechtigungen auch noch händisch erfolgen müssen, ist das Berechtigungsmanagement für IT-Mitarbeiter nicht mehr zu stemmen, geschweige denn strategische Aufgaben oder Innovationen aus der IT-Abteilung.

Außerdem können in den Intervallen bis zur nächsten Berechtigungsprüfung Überberechtigungen lange unentdeckt bleiben. Jeder neue Nutzer und jeder Abteilungswechsel machen so im Zweifel die Berechtigungslandschaft unübersichtlicher und schaffen große Sicherheitslücken und ein Risiko für Datenmissbrauch.

Alternative zu Rezertifizierung: Business Rules

Das zugrundeliegende Problem bleibt natürlich bestehen. Unnötige Berechtigungen und unbefugte Zugriffe im Unternehmen müssen vermieden werden. Andernfalls führen sie zu hohen Datenschutzrisiken, negativen Audits, Kosten für unnötige Lizenzen, Verschwendung limitierter IT-Personalressourcen, potentiell zu Daten- und Imageverlust des Unternehmens.

Gehen Sie deshalb von Anfang an einen anderen Weg: Halten Sie die Zugriffsrechte automatisch aktuell und reduzieren Sie gleichzeitig den Verwaltungsaufwand für IT und Mitarbeiter mit einem Modell von Business Rules.

Mithilfe einer IAM-Lösung mit User Provisioning lassen sich Berechtigungen schon beim Onboarding auf Basis von Attributen einheitlich vergeben. Ändert sich im Laufe des User Lifecycles eines dieser Attribute, beispielsweise die Abteilung oder die Position, führt eine IAM-Lösung anhand der definierten Business Rules automatisch alle relevanten Zugriffsänderungen im Netzwerk durch. Beim Offboarding werden jegliche Konten am Austrittstag deaktiviert. So sind Zugriffsrechte immer tagesaktuell und korrekt, ohne dass die IT manuell eingreifen muss.

Kritische Berechtigungen per Self-Service mit Ablaufdatum

Für kritische Rechte, wie den erweiterten Zugriff auf das ERP-System oder IT-Adminrechte, können per Self-Service und Workflows temporäre Berechtigungen genehmigt werden. Diese werden am Ablaufdatum automatisch entzogen bzw. müssen auf Anfrage erneut vom Dateneigentümer genehmigt werden. So wird eine handhabbare Variante des Rezertifizierungsprozesses nur für kritische Systeme durch Automatisierung unterstützt.

Mit Business Rules anstelle eines aufwendigen Rezertifizierungsprozesses einzuführen, lohnt sich für große und kleine Unternehmen. Denn neben der Gewährleistung von Datensicherheit und Compliance wird gleichzeitig die IT von aufwendiger Berechtigungsverwaltung entlastet.