Hier sechs Tipps zur Umsetzung einer dynamischen Rechtevergabe:
1) Implementieren Sie ein zentrales Repository mit klar definierten Whitelisting-Richtlinien
In den meisten IT-Abteilungen werden Benutzerrechte für Anwendungen, Datenbanken und Inhalte in separaten Zugriffslisten manuell gepflegt. Regelungen für den Umgang mit sicherheitsrelevanten Technologien werden daneben an wiederum anderen Orten vorgehalten. Die fehlende Automatisierung und dezentrale Zugriffsverwaltung verhindern dabei, dass sich Identitäts- oder Kontextattribute berücksichtigen lassen, die für ein dynamisches Whitelisting nötig sind.
Der Aufbau eines einheitlichen Repository mit klar definierten Whitelisting-Richtlinien ist daher der erste Schritt für den dynamischen Umgang mit Zugriffsrechten. Diese Richtlinien können zwar von verschiedenen Personen mit entsprechender Autorität im Unternehmen verwaltet werden, sie müssen allerdings an einem einzigen, zuverlässigen und aktuellen Ort vorliegen – und das, über alle Ressourcen, Parameter und Benutzergruppen hinweg.
2) Lösen Sie sich von selbst erstellten Skripten
Die IT-Sicherheit hat immer dann ein Problem, wenn eine IT-Abteilung auf "Skript-Helden" baut. Die Implementierung von Zugriffsrichtlinien erfolgt leider in vielen Firmen immer noch auf Basis von anwendungs- und datenbankspezifischen Admin-Tools und selbst entwickelten Provisioning-Skripten. Aus sicherheitstechnischer Sicht sind Skripte jedoch schlicht zu unzuverlässig. Auch sind sie nicht untrennbar mit den zugrundeliegenden Richtlinien verbunden.
Die IT benötigt daher heute eine einheitliche und automatisierte Möglichkeit zur Implementierung von Zugriffsrichtlinien, zum Onboarding von Mitarbeitern und zur Erfüllung der steigenden Anforderungen an das Audit-Reporting.
3) Entziehen Sie ausscheidenden Mitarbeitern ihre digitalen Rechte
Aus Perspektive der IT-Sicherheit müssen einem Mitarbeiter unmittelbar nach seiner Kündigung alle digitalen Rechte entzogen werden. In der Praxis verfügt allerdings kaum ein Unternehmen über eine automatisierte Technologie, um die Zugriffsberechtigungen einer Person für alle Anwendungen, Datenbanken, SharePoint-Instanzen und Kommunikationsdienste restlos und sofort zu beseitigen. Einige der Rechte bleiben Tage, Wochen oder sogar Monate nach der Kündigung eines Mitarbeiters bestehen.
Verzahnen Sie daher ein einheitliches System für die Rechteverwaltung mit anderen Systemen, die eine Beendigung von Zugriffsrechten anstoßen. Das können zentrale Identity & Access Management Systeme (IAM) ebenso sein, wie HR-Anwendungen oder Auftragsnehmerdatenbanken. Dabei sollte ein führendes System definiert werden (z.B. das HR System), von dem aus alle Änderungen in die IT-Landschaft weitergegeben werden – automatisiert und möglichst ohne notwendiges Zutun eines Administrators.
4) Flexibilisieren Sie Ihre Zugriffskontrolle
Die meisten Firmen wenden nur einen begrenzten und relativ groben Satz von Parametern auf ihre Zugriffskontrolle an: Benutzer A erhält Leserechte für Datensatz X, Benutzer B besitzt Administratorrechte für Anwendung Y und so weiter. Die IT-Sicherheit hält bei solch starren Vergaberegeln kaum noch Schritt mit aktuellen Formen der Arbeit. Dies lässt sich nur lösen, indem Zugriffsparameter reichhaltiger und kontextbezogener eingesetzt werden. Geo-Fencing ist ein typisches Beispiel dafür: Je nachdem, an welchem Ort sich ein Nutzer befindet, können seine Zugriffsrechte freier oder strenger gestaltet sein.
Um eine solche flexible Zugriffskontrolle zu implementieren, benötigt die IT-Abteilung jedoch ein Rechte-Management-System, das automatisch und in Echtzeit auf den jeweiligen Sitzungskontext reagiert und eine hashbasierte Identifizierung durchführt. Denn ohne diese Kontrollen schränkt die IT ihre Verteidigungslinie gegen verschiedene Arten von Identitäts- und Content-Spoofing stark ein.
5) Schaffen Sie konsistente Prozesse, um neue Cloud-Anwendungen zur Whitelist hinzuzufügen
Mitarbeiter nutzen Cloud-Dienste häufiger, als es den IT-Mitarbeitern vielfach lieb ist. Viele dieser Services werden direkt von den Geschäftsbereichen aktiviert, ohne dass die IT Einfluss darauf hat. Früher wurde dies als "Schatten-IT" bezeichnet. Die Art, wie Mitarbeiter in ihrem Unternehmen Software und analytische Tools in der Cloud nutzen, ist jedoch längst nicht mehr nur ein Schatten – sie ist unternehmenskritisch.
Die IT benötigt also einen schnellen und konsistenten Prozess für das Hinzufügen neuer Cloud-Ressourcen zum Whitelisting-Repository oder der Automatisierungs-Engine. Ein solcher Prozess muss ähnlich verankert sein, wie der einer On-Premise-Anwendung. Ohne ihn ist die IT nicht in der Lage, mit den prozessualen Veränderungen im Unternehmen Schritt zu halten.
6) Bereiten Sie sich auf ein Security-Audit vor
Die IT-Abteilung hat heute grundsätzlich die Möglichkeit, jeden Benutzer perfekt auf eine exakt definierte Anzahl an sicheren, digitalen Ressourcen zu beschränken. Ressourcen, auf die er Anspruch hat und die ihn in seiner täglichen Arbeit unterstützen. Dies nützt jedoch wenig, wenn Unternehmen nicht in der Lage sind, einen Compliance-Prüfer glaubwürdig von der Sicherheit der umgesetzten Maßnahmen zu überzeugen.
Aus diesem Grund benötigt die IT ein regelbasiertes und automatisches Rechtemanagement, das sich vollständig selbst dokumentiert. Skripte nützen hier wenig. Nur ein zentrales „Gehirn“, also eine unternehmensübergreifende Zugriffssteuerung, sichert IT-Ressourcen effektiv ab und liefert alle Informationen für ein erfolgreiches Audit. Das IT-Security-Team wird auskunftsfähig: Es kann nachweisen, dass alle erforderlichen Maßnahmen zur Absicherung des Unternehmens ergriffen wurden. Diese „Mean time to Innocence“ – also möglichst schnell den Nachweis für Unschuldigkeit erbringen zu können, ist beim nächsten auftretenden Sicherheitsvorfall essenziell, um zeitnah die richtigen Entscheidungen treffen zu können.
Fazit
Ein automatisierter und richtlinienbasierter Ansatz für die Zugriffskontrolle stärkt die IT-Sicherheit. Indem sich die IT-Abteilung auf ein zentrales Rechtemanagement für den Zugriff auf alle digitalen Ressourcen fokussiert, gelingt der Spagat zwischen dem berechtigten Sicherheitsbedürfnis der IT und einer möglichst weitreichenden digitalen Unterstützung der Mitarbeiter. Ein solcher Ansatz greift bei komplexen Anwendungen für das Kerngeschäft ebenso, wie bei den neuesten Cloud-Services.
Ivanti: Die Stärke der Unified IT. Ivanti verbindet die IT mit dem Sicherheitsbetrieb im Unternehmen, um den digitalen Arbeitsplatz besser zu steuern und abzusichern. Auf PCs, mobilen Geräten, virtualisierten Infrastrukturen oder im Rechenzentrum identifizieren wir IT-Assets – ganz gleich, ob sie sich On-Premise oder in der Cloud verbergen. Ivanti verbessert die Bereitstellung des IT-Services und senkt Risiken im Unternehmen auf Basis von Fachwissen und automatisierten Abläufen. Durch den Einsatz moderner Technologien im Lager und über die gesamte Supply Chain hinweg hilft Ivanti dabei, die Lieferfähigkeit von Firmen zu verbessern – und das, ohne eine Änderung der Backend-Systeme.
Ivanti hat seinen Hauptsitz in Salt Lake City, Utah, und betreibt Niederlassungen auf der ganzen Welt. Weitere Informationen finden Sie unter www.ivanti.de. Folgen Sie uns über @GoIvanti.
Ivanti
Lyoner Straße 12
60528 Frankfurt am Main
Telefon: +49 (69) 667780134
http://www.ivanti.de
Telefon: +49 (69) 941757-28
E-Mail: christine.butsmann@ivanti.com
Senior Account Manager
Telefon: +49 (611) 74131918
E-Mail: ivanti@finkfuchs.de