Modernes Berechtigungsmanagement
Besser griffbereit
Veröffentlicht in Ausgabe 12/2020 - SCHWERPUNKT
Nimmt ein Wirtschaftsprüfer ein Berechtigungskonzept in Augenschein, ist er in erster Linie daran interessiert, dass alle Änderungen sorgfältig dokumentiert sind und systemübergreifend übereinstimmen. Das zu kontrollieren war für die Prüfer in der Vergangenheit eine zeit- und nervenaufwendige Aufgabe. Mühsam mussten sie die benötigten Daten manuell sammeln und durchforsten. Das war fehleranfällig und das Prüfergebnis deshalb nicht selten fragwürdig. Hinzu kam, dass dieser Prozess neben dem Prüfer auch vielfach Kapazitäten in der IT in Anspruch nahm und die Betriebsprüfung – neben allen anderen Unannehmlichkeiten – auch noch zu einem unerwarteten Kostenfaktor werden konnte.
Gezielte Auditanalysen
Heute muss sich kein Unternehmen mehr einem solchen Szenario aussetzen. Moderne Berechtigungsmanagementsysteme beinhalten eine Vielfalt an Funktionen, die vor allem im Fall eines Audits sehr hilfreich sein können. Wer dem Wirtschaftsprüfer die nötigen Daten unkompliziert zugänglich machen möchte, sollte dafür sorgen, dass dieser auf gezielte Auditanalysen zugreifen kann – so lässt sich die Einhaltung von Compliance-Richtlinien schnell und unproblematisch nachweisen.
Unternehmen, die in diesem Fall nicht mit einem Berechtigungsmanagementtool arbeiten, können ihre Compliance meist nur mit unverhältnismäßig hohem Aufwand nachweisen – insbesondere wenn Diskrepanzen oder Verdachtsfälle bestehen sollten. Grundsätzlich aber lässt sich festhalten, dass Unternehmen, die ihre Compliance noch manuell nachweisen, keinen guten Eindruck auf den Prüfer machen. Der Einsatz einer Berechtigungsmanagementsoftware sowie die hierdurch erzeugten Reporte wirken sich dagegen positiv aus: Der Prüfer kann selbstständig auf alle wichtigen Dateien zugreifen, sodass seitens der IT oder in anderen Abteilungen quasi kein zusätzlicher Aufwand entsteht. Der Auditor erkennt auch sehr schnell, ob die rechtlichen und betrieblichen Vorgaben eingehalten werden. Allein die Tatsache, dass sich ein Unternehmen eines modernen Berechtigungsmanagementsystems bedient, zeigt dem Prüfer, dass sich das Unternehmen um Transparenz bemüht und auf dem Stand der Technik befindet.
Nimmt ein Wirtschaftsprüfer ein Berechtigungskonzept in Augenschein, ist er in erster Linie daran interessiert, dass alle Änderungen sorgfältig dokumentiert sind und systemübergreifend übereinstimmen. Das zu kontrollieren war für die Prüfer in der Vergangenheit eine zeit- und nervenaufwendige Aufgabe. Mühsam mussten sie die benötigten Daten manuell sammeln und durchforsten. Das war fehleranfällig und das Prüfergebnis deshalb nicht selten fragwürdig. Hinzu kam, dass dieser Prozess neben dem Prüfer auch vielfach Kapazitäten in der IT in Anspruch nahm und die Betriebsprüfung – neben allen anderen Unannehmlichkeiten – auch noch zu einem unerwarteten Kostenfaktor werden konnte.
Gezielte Auditanalysen
Heute muss sich kein Unternehmen mehr einem solchen Szenario aussetzen. Moderne Berechtigungsmanagementsysteme beinhalten eine Vielfalt an Funktionen, die vor allem im Fall eines Audits sehr hilfreich sein können. Wer dem Wirtschaftsprüfer die nötigen Daten unkompliziert zugänglich machen möchte, sollte dafür sorgen, dass dieser auf gezielte Auditanalysen zugreifen kann – so lässt sich die Einhaltung von Compliance-Richtlinien schnell und unproblematisch nachweisen.
Unternehmen, die in diesem Fall nicht mit einem Berechtigungsmanagementtool arbeiten, können ihre Compliance meist nur mit unverhältnismäßig hohem Aufwand nachweisen – insbesondere wenn Diskrepanzen oder Verdachtsfälle bestehen sollten. Grundsätzlich aber lässt sich festhalten, dass Unternehmen, die ihre Compliance noch manuell nachweisen, keinen guten Eindruck auf den Prüfer machen. Der Einsatz einer Berechtigungsmanagementsoftware sowie die hierdurch erzeugten Reporte wirken sich dagegen positiv aus: Der Prüfer kann selbstständig auf alle wichtigen Dateien zugreifen, sodass seitens der IT oder in anderen Abteilungen quasi kein zusätzlicher Aufwand entsteht. Der Auditor erkennt auch sehr schnell, ob die rechtlichen und betrieblichen Vorgaben eingehalten werden. Allein die Tatsache, dass sich ein Unternehmen eines modernen Berechtigungsmanagementsystems bedient, zeigt dem Prüfer, dass sich das Unternehmen um Transparenz bemüht und auf dem Stand der Technik befindet.
Doch unabhängig von den Mehrwerten für den Prüfer dienen Berechtigungsmanagementsysteme insbesondere der Entlastung der IT sowie Administratoren. Vor allem in den Bereichen Active-Directory-Überwachung, Prüfungen für Windows-Dateifreigaben, Überwachung von Microsoft Exchange, Zugriffsüberwachung und -verwaltung für SharePoint, Benutzerbereitstellung und -verwaltung sowie bei der Analyse von Benutzerberechtigungen bieten sie Erleichterungen.
Datensicherheit herstellen
Im Gegensatz zum Schutz materieller Güter vor Verlust, Diebstahl oder ungewolltem Zugriff lassen sich Daten nicht einfach wegsperren. Dennoch haben moderne Berechtigungsmanagementwerkzeuge einige Gemeinsamkeiten mit dem klassischen Tresor: Nur Befugte haben Zugriff und der Schutz erfolgt über einen sicheren Code.
Deshalb sollten sich IT-Verantwortliche hinsichtlich der Datensicherheit ähnliche Gedanken machen wie bei der Sicherung materieller Güter:
- Wie lassen sich die Daten vor Verlust, Diebstahl oder allgemein unberechtigtem Zugriff schützen?
- Wie lässt sich die Compliance eines Unternehmens sicherstellen?
- Welche Möglichkeit gibt es, um festzustellen, ob und wann ein ungewollter Zugriff auf Daten stattgefunden hat?
- Welche Maßnahmen würden im Fall eines unberechtigten Zugriffs eingeleitet, um den Schaden so gering wie möglich zu halten?
Ein ungewollter Datenzugriff durch Nichtberechtigte verstößt nicht nur gegen die Datenschutzgrundverordnung (DSGVO) und andere Compliance-Richtlinien, sondern kann auch zum Verlust von unternehmensbezogenen Daten führen. Nicht zu vergessen ist der damit einhergehende, meist irreparable Imageverlust für ein Unternehmen. Laut DSGVO muss ein Unternehmen nicht nur Datensicherheit und Integrität gewährleisten, sondern auch seiner Rechenschaftspflicht nachkommen. Dazu zählt unter anderem die Dokumentation der Zugriffsrechte.
Entscheidend für die Erfüllung dieser zentralen Anforderungen ist also im ersten Schritt die Analyse der Berechtigungssituation. Die nahtlose Dokumentation der Berechtigungen und vor allem die penible Pflege der sich ständig ändernden, komplexen Berechtigungssituation – ganz zu schweigen von Aspekten wie der Einführung der Rolle des "Data Owners" – erfordern viel Aufwand.
Alte Zöpfe abschneiden
Zuallererst sind die bestehenden Verzeichnisstrukturen, Berechtigungen und Gruppen zu analysieren. Häufig stellt sich im Anschluss heraus, dass die vorhandenen (historisch gewachsenen) Strukturen angepasst oder gar komplett neu konzeptioniert werden müssen. Diese Anpassungen über die bekannten Microsoft-Optionen durchzuführen ist nicht nur mühsam, zeitaufwendig und fehleranfällig. Auch die fehlende Transparenz der Rechtevergabe, Gruppenzugehörigkeiten sowie der unterschiedlichen Zugriffskonzepte, die sich im Laufe der Zeit ergeben haben, lassen sich über die Microsoft-Funktionen nur schwer anpassen. Problematisch ist auch, dass Änderungen nicht protokolliert und deshalb auch nicht über ein Tool verwaltet oder gesteuert werden können.
Das erzeugt neue Konflikte. Wie bereits genannt, müssen Unternehmen neben der DSGVO auch weitere Compliance-Anforderungen erfüllen. Beispielsweise definiert das Bundesamt für Informationssicherheit (BSI) mit dem IT-Grundschutz zentrale Kriterien und hohe Anforderungen für eine sichere IT, denen es gleichsam nachzukommen gilt. Wie aber lässt sich maximale Datensicherheit bei gleichzeitiger Einhaltung der Datenschutz-Anforderungen sowie anderer Sicherheits- sowie Compliance-Richtlinien gewährleisten und wie hängen all diese Faktoren voneinander ab?
Modernes Berechtigungsmanagement
Für das Active Directory, Fileserver, Exchange, SharePoint und viele weitere Bereiche werden im Unternehmen üblicherweise Zugriffsrechte vergeben. Mithilfe eines Berechtigungsmanagementsystems besteht die Möglichkeit, diese Zugriffe automatisiert oder manuell auszulesen, sich Reports zu generieren und gegebenenfalls Berechtigungen zu bearbeiten. Mit nur einem Klick erhält der Administrator die Übersicht über seine gesamte IT-Infrastruktur.
Diese Übersicht eignet sich hervorragend als interne Entscheidungsvorlage und natürlich auch für Audits und Prüfungen. Hier werden alle zuvor ausgewählten Verzeichnisse, deren berechtigten Personen und Gruppen sowie deren Zugriffsrechte in einer graphischen Übersicht dargestellt. Anhand dieser Informationen lässt sich auf einem Blick erkennen, welcher Mitarbeiter welche Berechtigungen hat und auf welches Verzeichnis er zugreifen kann. So lässt sich in kürzester Zeit erkennen, ob ihm diese Rechte zustehen und ob sie aktuell sind.
Als typisches Beispiel lässt sich hier die "Azubi-Thematik" anführen. Azubis oder auch Praktikanten wechseln die Abteilungen und erhalten deshalb eine Zugangsberechtigung nach der anderen. Tatsache ist jedoch, dass es oft versäumt wird, ihnen diese Berechtigungen nach dem Verlassen der Abteilung wieder zu entziehen. Hier helfen moderne Berechtigungsmanagementsysteme. Mit ihnen können beispielsweise auch benutzerbezogene Reports erstellt werden, sodass der Administrator einen schnellen Überblick über die aktuellen Azubi-Berechtigungen hat; da zeigt sich dann von ganz allein, ob und, wenn ja, wo der Azubi noch über Zugangsberechtigungen verfügt.
Mithilfe eines integrierten Dashboards lassen sich kritische Faktoren wie inaktive Benutzer, Direktberechtigungen auf Verzeichnisse, Benutzer mit Berechtigungen auf alle Verzeichnisse, leere Gruppen und noch viele weitere Auswertungen sofort einsehen. Diese Fehlberechtigungen oder leeren Gruppen lassen sich im Anschluss sofort oder zeitverzögert mittels Veränderungsanfragen bearbeiten. Auch beim Wechseln eines Mitarbeiters von einer Abteilung in eine andere können die Gruppenzugehörigkeiten oder die Zugriffe zeitverzögert durchgeführt werden. Das heißt, die Konfiguration lässt sich im Vorfeld festlegen und ab einem definierten Datum aktivieren. Diese Funktionen unterstützen die IT-Administratoren ungemein, da keine Reminder mehr für das Hinzufügen oder Entfernen von Zugriffen hinterlegt werden müssen. Auch die Umsetzung, also das Entfernen aus Gruppen und das Hinzufügen in eine andere Gruppe, erfolgt daraufhin automatisch über das Tool.
Um auch im Hinblick auf die DSGVO und andere Richtlinien konform zu sein, bietet ein gutes Berechtigungsmanagement-System natürlich auch die Möglichkeit, Änderungen von Berechtigungen zu protokollieren. So haben die Unternehmen immer eine Übersicht darüber, wer worauf Zugriff hat und welche Art von Zugriffen vergeben wurde. Wer schon immer wissen wollte, was innerhalb eines bestimmten Zeitraumes an den Systemen und deren Zugriffen verändert wurde, der findet diese Informationen mithilfe eines sogenannten "Scanvergleichs" – eines Abgleichs zwischen der alten mit der aktuellen Struktur.
10 Tipps für Berechtigungsmanagementprojekte
1. Zieldefinition wie etwa TISAX-Zertifizierung oder Entlastung der IT durch Automatisierung.2. Zu berücksichtigende Systeme, zum Beispiel Active Directory oder Exchange.3. Installation, Konfiguration und Einführungsschulung.4. Auswertung der Analysen und Aufbereitung der Dashboards.5. Identifikation der Data Owner und Ausarbeitung des Data-Owner-Konzepts.6. Prüfung von Berechtigungen und Zugriffen.7. (Re-)Organisation der Datenablagen, gegebenenfalls Archievieren und Löschen von Daten.8. Definition des Anforderungs- und Genehmigungsprozesses für Berechtigungen.9. Festlegung der Dokumentationstiefe inklusive Erstellen von Reports.10. Definition und Zeitplan für die Zertifizierung.
Fazit
Eine moderne Berechtigungsmanagementsoftware kann für die notwendige Transparenz der Zugriffsberechtigungen sorgen. Zudem ist sie in der Lage, eine zentrale, prozessuale sowie unkomplizierte und revisionssichere Zugriffsrechteverwaltung sicherzustellen und somit gleichzeitig die IT- Sicherheit zu erhöhen. Automatisierte Reports und Dokumentationen entlasten die IT und erhöhen die Sicherheit und Integrität in den Unternehmen. Darüber hinaus sorgen sie für Effizienz.
Auch der Datenschutzbeauftragte sowie der interne Auditor profitieren von automatisierten Berichten. Da die Pflege von Zugriffsrechten auf personenbezogene Daten durch einen Data Owner gewährleistet werden muss, ist es wichtig, dass dieser im Rahmen regelmäßiger Rezertifizierungen unkompliziert Berechtigungen verwalten kann – ganz ohne weitreichende IT-Kenntnisse. Mit einem geeigneten Tool behalten Unternehmen nicht nur die komplexe Berechtigungslage im Überblick. Sie schützen auch die personenbezogenen Daten der Mitarbeiter und bieten die Möglichkeit, rechtzeitig einzugreifen, wenn ein Datenverlust droht.
(dr)
Michael Krause ist Geschäftsführer bei der TAP.DE Solutions GmbH.