Mit Netz und doppeltem Boden

Rezertifizierung von Zugriffsrechten auf schützenswerten Daten

Mitarbeiterberechtigungen sind im Laufe der Zeit einem unkontrollierten Wachstum ausgesetzt. Durch die Kombination einer Automatisierung des Zugriffsmanagements mit der regelmäßigen Überprüfung bestehender Rechte lassen sich das Pflichtbewusstsein in den Fachabteilungen und die Datensicherheit optimieren.

Need-to-know heißt das Prinzip, durch welches Mitarbeiter ausschließlich bei Bedarf Kenntnis von Daten im Unternehmen erlangen sollen. In Bezug auf Zugriffsrechte sollen sie nur solche Berechtigungen erhalten, die sie wirklich für ihre tägliche Arbeit benötigen. Häufig kommt diese Vorgehensweise bei der Vergabe zum Einsatz: Neue Mitarbeiter treten dem Unternehmen bei, Mitarbeiter wechseln eine Abteilung oder arbeiten in neuen Projekten, Auszubildende wandern durch verschiedenste Bereiche, um möglichst viele Erfahrungen zu sammeln. Um diese Mitarbeiter nicht warten zu lassen, werden Berechtigungen schnell und dabei großzügig, zum Beispiel auf Abteilungsebene, vergeben oder es werden Vergleichsbenutzer mit ähnlichem Aufgabengebiet herangezogen. Oft wird dabei jedoch vernachlässigt, diese schnellen Berechtigungsänderungen zu dokumentieren oder zu prüfen, ob bereits bestehende Berechtigungen weiterhin benötigt werden. In der Praxis gibt es hier zusätzlich Übergangsfristen, sodass das Wochen später anstehende Entfernen von nicht mehr benötigten Rechten durch diesen Zeitversatz häufig vernachlässigt oder vergessen wird. Somit steigen die Berechtigungen eines Mitarbeiters mit zunehmender Unternehmenszugehörigkeit immer weiter an – ob diese Rechte auch nach Jahren tatsächlich noch benötigt werden, ist offen.

Um diesem unkontrollierten Wachstum an Berechtigungen vorzubeugen, empfehlen Auditoren die Rezertifizierung oder auch Attestierung der Berechtigungen, wodurch zusätzlich die rechtlichen Anforderungen, wie der Sarbanes-Oxley-Act der Finanzbranche, erfüllt werden sollen. Datenverantwortliche sollen in regelmäßigen Abständen die bestehende Rechtesituation überprüfen. Werden hierbei nicht mehr erforderliche Berechtigungen entdeckt, sollen diese den entsprechenden Mitarbeitern als Maßnahme zur Risikominderung entzogen werden. Dieser wiederkehrende Prozess führt insbesondere bei Führungskräften zu wenig Begeisterung – bedeutet er doch erhebliche Mehraufwände sowie eine Auseinandersetzung mit technischen Details oder Papierbergen voll komplexer Matrizen über die vollständige Berechtigungssituation. Solche intransparenten und unübersichtlichen Informationen stellen massive Hürden dar, welche die Zielerreichung eines Überprüfungsprozesses erheblich gefährden.

Automatisierung schützt

Soll das „Need-to-Know“-Prinzip eingehalten werden, ist es erforderlich bestehende Hürden so weit wie möglich zu reduzieren. Ein seit zehn Jahren erprobter Lösungsansatz stellt die Fileserver Management Suite durch ihre Automatisierung des Berechtigungsmanagements für Fileserver, SharePoint und Active Directory dar. Die Softwarelösung etabliert Datenschutz als Default und überwacht die tatsächliche Berechtigungssituation durch einen kontinuierlichen Abgleich mit dem genehmigten und auditierten Stand an Berechtigungen. Dabei wird die technische Umsetzung vollständig vom System übernommen, ein Mitwirken der IT-Administration kann auf Wunsch komplett entfallen. Diese Automatisierung ermöglicht eine Berechtigungsverwaltung direkt durch die Datenverantwortlichen. Sie können durch eine übersichtliche und leicht verständliche Darstellung der notwendigen Informationen ohne technisches Hintergrundwissen und ohne IT-Unterstützung transparent und revisionssicher Zugriffsrechte auf die von ihnen verantworteten Ressourcen verwalten. Die Kombination einer Vergabe von persönlichen Berechtigungen mit dem Einsatz des integrierten Profilmanagements für die Abbildung von Organisationsstrukturen ersetzt die Notwendigkeit Berechtigungen eines anderen Benutzers zu kopieren oder diese für gesamte Abteilungen vergeben zu müssen. Gemeinsam mit der Möglichkeit Ablaufdaten zum automatischen Entfernen nicht mehr benötigter Rechte zu definieren, liefert die Fileserver Management Suite einen zuverlässigen Weg das unkontrollierte Anhäufen von Berechtigungen einzudämmen und dabei die Akzeptanz bei den Datenverantwortlichen durch Transparenz zu fördern.

Regelmäßige Prüfung bestehender Rechte

Um das Risiko ungewollter Zugriffe auf schützenswerte Daten weiter zu reduzieren, kommt ergänzend zum kontinuierlichen Abgleich des Zielsystems das Reapproval für alle verwalteten Zugriffsrechte auf Fileservern, SharePoint und im Active Directory zum Einsatz. Diese Funktion überträgt das Berechtigungsmanagementkonzept mit einer intuitiven Bedienung über den Browser, sodass der Prozess der Rezertifizierung vereinfacht und beschleunigt wird. Datenverantwortliche erhalten zum Stichtag eine E-Mail, welche sie über die zu überprüfenden Ressourcen informiert. Auf der Weboberfläche werden daraufhin für den Prozess nicht relevante sowie bereits überprüfte Ressourcen ausgefiltert und lediglich anstehende Prüfungen dargestellt. Entscheidungen können so intuitiv und einfach per „ja/nein“ bestätigt oder widerrufen werden. Durch die Möglichkeit multiple Datenverantwortliche pro Ressource zu definieren kann die Bearbeitung auf verschiedene Köpfe verteilt werden. Somit wird der Prozess der Rezertifizierung für Datenverantwortliche so einfach wie möglich gestaltet. Sie werden nicht mit Papierbergen oder komplexem IT-Fachwissen konfrontiert und können ihre Aufgabe effizient bearbeiten. Das ermöglicht die Reduzierung der Rezertifizierungshürde, um so den Erfolg eines redundanten Monitorings für die im Unternehmen schützenswerten Daten zu gewährleisten.

DSGVO-Konformität

Auch für die Einhaltung der Datenschutzgrundverordnung ist die Kenntnis über bestehende Rechte und deren Notwendigkeit ein erheblicher Faktor. Um die Erstellung und Aufrechterhaltung des Verzeichnisses für Verarbeitungstätigkeiten zu unterstützen, müssen personenbezogene Daten gemäß Artikel 9 gekennzeichnet und der Verarbeitungszweck definiert werden. Insbesondere an dieser Stelle ist der Einsatz des redundanten Sicherungssystems Rezertifizierung relevant, um die Datenverantwortlichen zu verpflichten das Thema Datensicherheit ernst zu nehmen. Das Reapproval wird hierfür mit den, an die Kategorien der Datenschutzgrundverordnung orientierten Datenschutzklassifizierungen kombiniert. Erhält eine Ressource eine entsprechende Klassifizierung, ist diese automatisch ein Kandidat für die Überprüfung der Berechtigungen und wird zum folgenden Stichtag berücksichtigt.

Fazit

Berechtigungsänderungen aufgrund personeller oder struktureller Veränderungen führen häufig zu einer Abweichung vom „Need-to- Know“-Prinzip und sorgen damit langfristig durch ein unkontrolliertes Wachstum an Berechtigungen für einen Verlust der Datensicherheit. Durch den Ansatz der Automatisierung bietet die Fileserver Management Suite ein dauerhaftes Monitoring der Fileserver-, Share- Point- und Active-Directory-Rechte und wirkt diesem schleichenden Prozess dauerhaft entgegen. Gleichzeitig werden die Transparenz und das Bewusstsein für Datensicherheit im Unternehmen erhöht. Die Kombination von Datenschutzklassifizierungen als Kennzeichnung besonders schützenswerter Daten mit der redundanten Sicherung durch die leicht verständliche Überprüfung der Berechtigungssituation nehmen dabei die Datenverantwortlichen in die Pflicht, Verantwortung für die Erfüllung der Compliance-Anforderungen zu übernehmen.

Die Fileserver Management Suite ist ein probates Mittel, um dem Zugriffsmanagement im Unternehmen einen doppelten Boden für Datensicherheit zu verleihen und damit bei geringem operativen Aufwand eine dauerhaft revisionssichere Berechtigungssituation zu gewährleisten.

Möchten Sie mehr über die Vorteile des automatisierten Berechtigungsmanagements erfahren?

Vereinbaren Sie noch heute einen Termin für eine individuelle Produktvorstellung oder schauen Sie bei einem unserer regelmäßigen Webinare vorbei. Unsere Experten für Berechtigungsmanagement stellen Ihnen die Fileserver Management Suite gerne persönlich vor:

Datenschutzerklärung