• Identity Management
    • Benutzerverwaltung
    • Delegation
    • Self Service
    • Abwesenheitsassistent
    • Password Reset
    • Telefonbuch
  • Authorization
    • Berechtigungsverwaltung
    • Genehmigungs-Workflow
    • Rollenbasierter Zugriff
    • Single Sign-on
    • Automation
  • Systeme
    • Active Directory
    • Entra ID – M365
    • HR-System
    • PowerShell
  • Lösung
    • Warum IDM-Portal
    • IAM Compliance
    • Editionen & Preise
    • Weitere Services
  • Referenzen
    • Unsere Kunden
    • Unsere Projekte
    • Partnerschaft
    • Presse
  • Unternehmen
    • Über uns
    • News
  • Kontakt
  • Deutsch
    • Englisch
FirstWare IDM-PortalFirstWare IDM-Portal
FirstWare IDM-PortalFirstWare IDM-Portal
User Driven
Identity Management
  • Identity Management
    • Benutzerverwaltung
    • Delegation
    • Self Service
    • Abwesenheitsassistent
    • Password Reset
    • Telefonbuch
  • Authorization
    • Berechtigungsverwaltung
    • Genehmigungs-Workflow
    • Rollenbasierter Zugriff
    • Single Sign-on
    • Automation
  • Systeme
    • Active Directory
    • Entra ID – M365
    • HR-System
    • PowerShell
  • Lösung
    • Warum IDM-Portal
    • IAM Compliance
    • Editionen & Preise
    • Weitere Services
  • Referenzen
    • Unsere Kunden
    • Unsere Projekte
    • Partnerschaft
    • Presse
  • Unternehmen
    • Über uns
    • News
  • Kontakt
  • Deutsch
    • Englisch

Wann die Rezertifizierung von Berechtigungen Sinn macht

Authorization Management, Compliance, Identity Management |

 

Rezertifizierungen sollen sicherstellen, dass jeder nur auf das zugreifen kann, was er/sie zum Arbeiten braucht. Es geht also darum, die Zugriffsrechte der Mitarbeiter regelmäßig zu kontrollieren und zu bestätigen.

Wer sich mit dem Thema Identity & Access Management beschäftigt, wird sich fragen, warum eine Rezertifizierung von Berechtigungen überhaupt nötig ist. Mit einer ausgereiften IAM-Lösung sind die Prozesse bereits so optimiert und teilweise vollautomatisiert, dass es keiner zusätzlichen Kontrollinstanz bedarf. Warum ist das Thema „Rezertifizierung von Berechtigungen“ dann in aller Munde?

Index

  • Wunsch nach 100%iger Sicherheit
  • Rezertifizierung als Kontrollmechanismus
  • Rezertifizierung von Berechtigungen ist lästig
  • Rezertifizierung entfällt bei vollautomatisierten Gruppen
    • Vollautomatisierung durch attributbasierte Regeln
    • Zeitsteuerung und temporäre Berechtigungen
  • Hier macht eine Rezertifizierung von Berechtigungen Sinn
    • Unternehmen wollen Rezertifizierungen
    • Unternehmen verwalten Gruppenmitgliedschaften nicht vollautomatisiert
    • Menschliches Versagen  
    • Grenzen der Rezertifizierung

Wunsch nach 100%iger Sicherheit

Auf der einen Seite zeigt es, dass das Thema Sicherheit für viele Unternehmen das Thema Nummer 1 ist. Immer wieder besteht die Herausforderung, sensible Daten und Anwendungen so zu schützen, dass kein Missbrauch damit betrieben werden kann. Unternehmen, im Speziellen die IT-Verantwortlichen, machen sich aktiv Gedanken dazu, wie man Zugriffsberechtigungen bestmöglich unter Kontrolle behält, Datendiebstahl verhindert und die IT-Compliance generell stärkt.

Natürlich muss man zugeben, dass eine 100%ige Garantie nicht möglich ist, denn auch automatisierte Prozesse müssen von Menschen initiiert und überwacht werden. In einem Unternehmen sind die Mitarbeiter so vernetzt und technisch ausgestattet, dass es unmöglich ist, alles und jeden vollständig zu kontrollieren.

Auf der anderen Seite wird ersichtlich, dass viele Unternehmensleitungen das Potential von IAM-Lösungen nicht voll ausschöpfen bzw. zusätzliche Kontrollinstanzen für nötig halten.

Rezertifizierung als Kontrollmechanismus

Rezertifizierung bedeutet im Wesentlichen, dass die Zugriffsrechte eines jeden Mitarbeiters regelmäßig überprüft und neu bestätigt werden müssen. Es beschreibt einen Kontrollmechanismus, der eine aktive Überprüfung und Genehmigung durch eine verantwortliche Person („Rezertifizierungsverantwortlicher“) beinhaltet. Damit soll sichergestellt werden, dass die internen Compliance-Richtlinien eingehalten werden.

Als Begründung für die Notwendigkeit einer Rezertifizierung wird oft der Azubi oder Praktikant als Beispiel herangezogen. Dieser durchwandert in seiner Ausbildungszeit mehrere Abteilungen, um möglichst viele Prozesse im Unternehmen kennenzulernen. Dabei erhält er auch Zugang zu verschiedenen Laufwerken und Anwendungen. Wichtig ist hierbei die Frage: Wo ist der Azubi organisatorisch eingeordnet?

Wird er den Abteilungsgruppen zugeordnet und nach einem Wechsel nicht wieder entfernt, dann behält er über Monate/Jahre hinweg die Zugriffsberechtigungen vieler Gruppen. Diese unbemerkte Überberechtigung eines einzelnen Mitarbeiters, sei es ein Azubi oder festangestellter Mitarbeiter, stellt ein Sicherheitsrisiko und eine Nichteinhaltung der Compliance-Vorschriften dar.

Hier bietet ein Rezertifizierungs-Check eine Möglichkeit, regelmäßig Gruppenmitgliedschaften zu prüfen und Mitglieder zu entfernen.

Rezertifizierung von Berechtigungen ist lästig

Auf den ersten Blick scheint es: Rezertifizierung ist lästig. Sie kostet Zeit und ist eine ungeliebte Hausaufgabe, die man gerne vor sich herschiebt. Dabei ist es in der Praxis keine sonderlich zeitaufwendige Aufgabe.

Mit der Rezertifizierung im FirstWare IDM-Portal ist ein Verantwortlicher in kurzer Zeit mit der Hausaufgabe fertig. Dies sind die Schritte unserer Lösung:

1. Der Automation Service im IDM-Portal durchläuft einmal am Tag alle Gruppen im AD und prüft das Datum des „Last Check“.

Rezertifizierung von Berechtigungen_Datum des Last check

2. Je nach Definition weiß der Service, wann der nächste „Compliance Check“ für eine Gruppe fällig ist (wöchentlich, monatlich, jährlich – abhängig von der Einstellung) und wendet die Regeln an.

3. Steht der „Compliance Check“ bevor, verschickt der Automation Service eine E-Mail an den Rezertifizierungsverantwortlichen der Gruppe (i.d.R. der Group Owner) mit dem Hinweis: „Rezertifizierung nötig“.

4. Über einen Link gelangt der Owner in das IDM-Portal und prüft die Mitglieder der Gruppe. Entdeckt er Mitglieder, die nicht mehr aktuell sind, kann er diese sofort entfernen.

Gruppenmitgliedschaften prüfen

5. Am Ende bestätigt er den „Compliance Check“ durch das Ticken des Kästchens. Das Datum wird als „Last Check“ gespeichert.

Compliance check

6. Wenn der Owner vor Ablauf der Frist nicht reagiert, sendet der Automation Service eine E-Mail an die IT-Security.

So ist ein an sich komplexer Prozess durch das IDM-Portal vereinfacht und anwenderfreundlich konzipiert. Rezertifizierungen lassen sich schnell erledigen und fallen nicht zur Last.

Rezertifizierung entfällt bei vollautomatisierten Gruppen

Vollautomatisierung durch attributbasierte Regeln

Rezertifizierung ist aber nicht per se notwendig.

Nutzt ein Unternehmen eine Lösung mit IAM-Automatisierung, wie das FirstWare IDM-Portal, dann müssen sich Leitungen nicht mit solchen „Azubi-Themen“ beschäftigen. Die Vollautomatisierung, die Unternehmen mit dem IDM-Portal erhalten, machen Rezertifizierungen obsolet.

Wie funktioniert das konkret?

Die IAM-Vollautomatisierung basiert auf einem Attribut und dessen Wert, z.B. Attribut „department = Marketing“. Die meisten Attribute sind single value attributes, d.h. das Attribut „department“ kann nur genau einen Wert haben:

      • Marketing ODER
      • HR ODER
      • Logistik

Die Vollautomatisierung im IDM-Portal basiert auf eindeutigen Regeln, z.B. gibt es eine dynamische Gruppe für die Marketingabteilung. Sie beinhaltet den Filter:

Ein User ist Mitglied, wenn das Attribut „department = Marketing“ ist.

Wird dieser Wert zu „department = Logistik“ geändert, verfällt die Mitgliedschaft in der alten Abteilung und ggf. greift eine andere.

Es kommt also nicht zu einer Überberechtigung, da diese aufgrund der festgelegten Regeln nicht möglich ist. Ein Mitarbeiter kann nicht in zwei Abteilungsgruppen gleichzeitig Mitglied sein.

Zeitsteuerung und temporäre Berechtigungen

Mit dem IDM-Portal ist es ebenfalls möglich, Berechtigungen nach einer Frist automatisch zu entziehen. Diese „Zeitsteuerung“ ersetzt das manuelle Prüfen durch einen Verantwortlichen.

Es wird also manuell eine temporäre Berechtigung vergeben und automatisiert entzogen. Dies kann parallel für mehrere Abteilungen umgesetzt werden.

In einer weiteren Stufe sind sogenannte „Scheduled-Funktionen“ im IDM-Portal integrierbar, d.h. es gibt eine Regel, die z.B. täglich überprüft wird. Das kann vielfältig sein.

IAM-Lösungen mit Automatisierungs-Funktionen, wie 

      • attributbasierten Regeln,
      • Zeitsteuerung und
      • zusätzlichen geplanten Tasks

straffen das Sicherheitsnetz, so dass weitere Kontrollmechanismen (wie Rezertifizierungen) nicht nötig sind.

Hier macht eine Rezertifizierung von Berechtigungen Sinn

Unternehmen wollen Rezertifizierungen

In unseren Gesprächen mit zahlreichen Interessenten und Kunden wird klar, dass Unternehmensführungen Rezertifizierungen einsetzen wollen. Es verleiht die Gewissheit, dass eine Prüfinstanz die Gruppenmitglieder wenigstens einmal jährlich prüft und so Überberechtigungen aufdecken kann. Nicht zuletzt fordern auch Wirtschaftsprüfer diese Prüfprozesse ein, da Datendiebstahl als bedeutender Risikofaktor gesehen wird.

Unternehmen verwalten Gruppenmitgliedschaften nicht vollautomatisiert

Selbst Unternehmen, die ein Identity & Access Management System nutzen, wollen Rezertifizierungen einsetzen. Da IAM-Systeme keinem Standardmuster entsprechen und unterschiedlich konfiguriert werden, ist eine Vollautomatisierung nicht immer integriert.

Menschliches Versagen  

Auch Automatismen, Regeln und Zeitsteuerungen müssen manuell erstellt und immer wieder geprüft werden. Menschliches Versagen ist leider in keinerlei Hinsicht vollständig eliminierbar. Hier macht es auf jeden Fall Sinn, gewisse Gruppen einer regelmäßigen Rezertifizierung zu unterstellen.

Grenzen der Rezertifizierung

Es ist wichtig, einen Scope für die Rezertifizierung von Berechtigungen zu definieren. Ein vollständiger Ansatz für alle Berechtigungen ist in der Regel nicht sinnvoll. Hat beispielsweise ein Abteilungsleiter eine große Zahl von Berechtigungen zu bestätigen, entstehen leicht Flüchtigkeitsfehler – oder es fehlt dem Zuständigen schlicht die Lust zur Überprüfung. Dies kann im Extremfall dazu führen, dass er die Prüfung nicht wirklich durchführt, sondern nur „OK“ klickt. Damit wäre zwar die Haftung geklärt, eine Überberechtigung oder schlimmeres wäre aber dennoch möglich.

Eine gute Mischung aus vollautomatisierten und zeitlich begrenzten Berechtigungen zusammen mit einigen dauerhaften Berechtigungen, die rezertifiziert werden, kann dabei eine gute Lösung sein.

 

Möchten Sie Ihre Zugriffsberechtigungen besser kontrollieren? Lernen Sie unsere IAM-Lösung mit Automatisierung, Zeitsteuerung und Rezertifizierung kennen. Wir beraten Sie gern, welche Option bei Ihnen das beste Ergebnis erzielt.

Tags: RezertifizierungZugriffsrechte
Teilen

Search

Neueste Beiträge

  • Release von IDM-Portal 5.1 – Verwaltung von Entra ID Gruppen
  • Passwort-Regeln prüfen
  • Zentrale Verwaltung von Gastkonten in hybriden Umgebungen – AD und Entra ID
  • Onboarding-Prozesse bei Landkreisen optimieren
  • Mandantenfähiges IAM System: Das ist wichtig

Kategorien

  • Allgemeines
  • Authorization Management
  • Compliance
  • Identity Management
  • News
  • Projekte
  • Systeme


FirstAttribute

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 40
  • https://www.firstattribute.com

Themen

  • AGBs und EULA
  • Datenschutzerklärung
  • Impressum
  • Kontakt

News

  • Release von IDM-Portal 5.1 – Verwaltung von Entra ID Gruppen
  • Passwort-Regeln prüfen
  • Zentrale Verwaltung von Gastkonten in hybriden Umgebungen – AD und Entra ID
  • Onboarding-Prozesse bei Landkreisen optimieren
  • Mandantenfähiges IAM System: Das ist wichtig
  • Vergabe von Kalenderberechtigungen freigeben

© 2024 · FirstAttribute AG.

Prev Next