Zuletzt aktualisiert: Mi, 10. November 2021
Wenn man sich in IT-Kreisen über die Themen Berechtigungen und Berechtigungsanalyse unterhält, fällt sehr oft das Beispiel vom Azubi, der mehr Berechtigungen als der Geschäftsführer hat. Was für ein Spaß. Alle lachen…
Aber ist das wirklich nur ein Scherz?
Schaut man einmal genauer hin, ist dieses Szenario gar nicht so abwegig und kommt wahrscheinlich häufiger vor, als man auf den ersten Blick vermutet.
Um die Firmenabläufe gesamthaft zu verstehen, durchlaufen Auszubildende in vielen Unternehmen während ihrer Lehrzeit verschiedene Abteilungen und Projekte. Dabei erhalten sie in jedem Fachbereich die notwendigen Berechtigungen, um dort arbeiten zu können. Allerdings werden diese Berechtigungen nur in den seltensten Fällen, mit Beendigung des jeweiligen Abteilungseinsatzes, auch wieder entzogen. Auf diese Art und Weise sammeln die Azubis fröhlich Zugriffsrechte, so dass sie am Ende ihrer Lehrzeit über einen bunten Strauß an Berechtigungen verfügen. Die meisten davon benötigen sie jedoch nicht mehr und dürften sie daher auch gar nicht mehr besitzen.
Natürlich gilt das nicht nur für Auszubildende. Auch Mitarbeiter sind temporär in verschiedenen Projekten tätig und wechseln oft regelmäßig die Abteilung. Die Zugriffsrechte aber bleiben erhalten.
Aus diesem Grund ist es von enormer Wichtigkeit, die Berechtigungen aller Mitarbeiter regelmäßig zu analysieren und – falls notwendig – zu korrigieren.
Berechtigungen anhand des Need-to-know-Prinzips vergeben
Grundsätzlich sollte dabei nach dem Need-to-know-Prinzip gehandelt werden. Auch wenn eine Person generell Zugriff auf Daten oder Informationen einer Sicherheitsebene hat, verbietet das Need-to-know-Prinzip den Zugriff, wenn die Informationen nicht unmittelbar für die Erfüllung einer konkreten Aufgabe von dieser Person benötigt werden.
Vereinfacht gesagt, jeder hat nur auf das Zugriff, was er für seine tägliche Arbeit braucht.
Wie das in der Praxis umgesetzt wird, hängt natürlich in erster Linie von der Größe des Unternehmens ab. Vermutlich ist es in den meisten Fällen sinnvoll die Zugriffsrechte über AD-Gruppen abzubilden. Wie feingranular diese Strukturen sein müssen, sollte in einem Berechtigungskonzept festgelegt werden.
Ohne regelmäßige Berechtigungsanalyse ist das Schadenspotential enorm
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist auf seiner Webseite darauf hin, dass Vorstände und Geschäftsführer persönlich haften, wenn sie Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwachen und durch geeignete Maßnahmen vorbeugen.
Diese Formulierung klingt erst einmal recht allgemein und unverbindlich. Jedoch lassen sich hieraus konkrete Verpflichtungen eines Unternehmens in Bezug auf das IT-Sicherheitsniveau ableiten.
Sicherheitsvorfälle, wie zum Beispiel Datendiebstahl, können massive wirtschaftliche Schäden verursachen und schlimmstenfalls die Existenz eines Unternehmens gefährden. Für bestimmte Berufsgruppen wie zum Beispiel Ärzte und Rechtsanwälte gibt es darüber hinaus Sonderregelungen im Strafgesetzbuch, die sogar Freiheitsstrafen vorsehen, wenn vertrauliche Angaben von Patienten bzw. Mandanten ohne Einwilligung öffentlich gemacht werden. Ein fahrlässiger Umgang mit Informationstechnik kann diesen Tatbestand unter Umständen bereits erfüllen.
Berechtigungsanalyse im beruflichen Alltag
Die Verantwortung für aktuelle und korrekt gesetzte Zugriffsrechte werden in der Regel von der Geschäftsführung an die jeweiligen Abteilungs- und Teamleiter delegiert. Diese geben das Thema ihrerseits wieder an die IT-Abteilung weiter, mit der Begründung, dass sie nicht in der Lage seien nachzuvollziehen, wer welche Berechtigungen hat. Die IT-Abteilung weiß aber im Gegenzug gar nicht, welcher Mitarbeiter überhaupt auf welche Daten zugreifen darf. Eine klassische Pattsituation entsteht und die Arbeit, in diesem Fall die Berechtigungsanalyse, bleibt liegen.
Ein gängiger Ansatz das Thema trotzdem in den Griff zu bekommen ist, dass die IT den jeweiligen Fachabteilungsleitern regelmäßig, zum Beispiel monatlich, eine komplette Liste aller zugeordneter Mitarbeiter und derer Berechtigungen zur Überprüfung und gegebenenfalls Korrektur zukommen lässt. Die Rückmeldungen können dann wiederum von der IT eingepflegt werden.
Berechtigungsanalyse mit Docusnap: automatisiert und wiederkehrend
Unsere Software Docusnap kann Ihnen bei der Analyse der Berechtigungen sehr viel Arbeit abnehmen.
Sie inventarisiert und dokumentiert Ihre gesamte Berechtigungsstruktur automatisiert und wiederkehrend. Dabei bietet Docusnap die Möglichkeit, effektive Zugriffsberechtigungen für Benutzer und Gruppen zu ermitteln und zu analysieren. Dafür stehen umfangreiche Berichte zur Verfügung, welche die aktuelle Berechtigungssituation vom Standpunkt der Benutzer und Gruppen oder vom Standpunkt einer Ressource (z. B. ein Verzeichnis) beleuchten. Diese Berichte können zudem automatisiert und regelmäßig per Email an beliebige Empfänger, zum Beispiel alle Abteilungsleiter Ihres Unternehmens, verschickt werden.
Mit der Berechtigungsanalyse von Docusnap können Sie unter anderem folgende Fragen beantworten:
- Worauf hat Mitarbeiter X Zugriff?
- Wer hat Zugriff auf das Personalverzeichnis?
- Wie kommen Berechtigungen zustande?
- Wie setzen sich die Berechtigungen (NTFS, Freigabe) für einen Benutzer zusammen?
Die Berechtigungsanalyse ist für alle Windows-Systeme bzw. Systeme, die das SMB- oder CIFS-Protokoll (z. B. Samba, Netapp Filer) unterstützen, möglich.
Darüber hinaus können auch die Berechtigungen für SharePoint-Server und für Exchange-Postfächer ausgelesen und analysiert werden.
Die Möglichkeiten mit Docusnap sind mannigfaltig. Nutzen Sie sie, um sich und Ihr Unternehmen zu schützen.
So geht’s in Docusnap:
