Mithilfe eines Berechtigungsmanagement-Systems können Fachabteilungen Zugriffsrechte für Verzeichnisse und Sites selbst vergeben. Das verbessert die Datensicherheit, beschleunigt Freigabeprozesse und entlastet gleichzeitig IT-Ressourcen.
In vielen Organisationen werden große Mengen unstrukturierter Daten in Form von Dokumenten – oftmals mit hochsensiblen Inhalten – auf Fileservern und Sharepoint gespeichert. Unter Risikoaspekten ist diese Form der Datenspeicherung besonders anfällig für missbräuchliche Nutzung: Denn die Weitergabe dateibasierter Daten stellt selbst für technische Laien keine Hürde dar.
Umso wichtiger ist es, den für den Zugriff berechtigten Personenkreis so klein wie möglich zu halten. Das klingt zunächst nach keiner besonders schwierigen Aufgabe, existieren doch auf Ebene der verschiedenen Betriebs- beziehungsweise Verzeichnissysteme mehr als ausreichende technische Möglichkeiten zur Einschränkung des Verzeichniszugriffs.
Gewachsene Strukturen
In der Praxis zeigt sich die Komplexität dieser Aufgabe jedoch zunehmend durch die Anforderungen der Fachabteilungen nach Verschachtelungen in der Berechtigungsstruktur, unterbrochener Vererbung, Herstellung von Querbeziehungen und oftmals ad hoc vergebenen Direktberechtigungen einzelner Benutzer vorbei am wohldurchdachten Gruppenkonzept.
Letztlich erfolgen die meisten Anpassungen im Sinne der Organisation und der bestehenden Geschäftsprozesse, resultieren jedoch früher oder später in einer nur schwer zu überblickenden Berechtigungsstruktur. Das in solchen Strukturen der Überblick für den meist wenig technisch versierten Datenverantwortlichen verloren geht, verwundert wenig.
Doch wie kommt es zu solchen Situationen? Häufig ist die Ursache hierfür eine Kombination aus an technischen Usern orientierten Berechtigungsdialogen, unzähligen Konfigurationsmöglichkeiten, manuellen Fehlern bei der Berechtigungsvergabe und letztlich einer lückenhaften bis vollständig fehlenden Dokumentation. In vielenFällen kann nicht mehr zeitnah und verlässlich nachvollzogen werden, wer auf welche Daten zugreifen darf – und vor allem: Wer diesen Zugriff zu welchem Zeitpunkt genehmigt hat.
Analysieren und Aufräumen – aber was dann?
Bestehende Analyse Tools geben Organisationen die Möglichkeit, sich einen Überblick über ihre aktuelle Berechtigungsstruktur zu verschaffen, sie zu analysieren, zu restrukturieren und zu vereinfachen. Doch wie kann eine dauerhafte Nachvollziehbarkeit bei der stetigen Veränderung einer Organisationsstruktur, wechselnden Aufgabenbereichen und Zuständigkeiten gewährleistet werden?
Diesen fortwährenden Veränderungsprozess lückenlos zu dokumentieren, gleichzeitig dafür zu sorgen, dass der technische Ist-Zustand tatsächlich mit dem freigegebenen Soll-Zustand übereinstimmt und dieser nicht umgangen werden kann, ist die eigentliche dauerhafte Herausforderung.
Der Schlüssel zu einem revisionssicheren Berechtigungsmanagement liegt folglich in der Kombination aus einer weitgehenden Automatisierung der Berechtigungsprozesse von Antragstellung bis Umsetzung, einer kontinuierlichen Überwachung und einem umfassenden Reporting: den Kernkompetenzen des BAYOOSOFT Access Managers.
Auslöser von Anpassungen des Berechtigungszustands können hier je nach Situation und betrieblichem Umfeld direkt die Anwender und Datenverantwortlichen über das Self-Service-Portal oder ein anderes System via Programmierschnittstelle sein. Verknüpft mit einem kontinuierlichen Abgleich der tatsächlichen Berechtigungen gegen die Definition durch die Datenverantwortlichen, führt dieser Lösungsansatz zu einer bislang nicht vorhandenen Transparenz der erteilten Zugriffsberechtigungen.
Angestrebtes Ziel der automatisierten Berechtigungsvergabe via Self-Service ist die Verschiebung der Verantwortung und Abwicklung der Berechtigungsprozesse weg von den Administratoren und hin zu den Datenverantwortlichen. Denn nur, wenn keine Berechtigung mehr „am System vorbei“ vergeben wird, sondern lediglich über den vorgegebenen Beantragungs- und Freigabeworkflow, kann der definierte Soll-Zustand nachhaltig beibehalten und unautorisierte Berechtigung vermieden werden. Weiterhin resultiert dies in einer Entlastung von ITAdministration und Helpdesk.
Kontinuierliches Monitoring
Der automatische Abgleich der technischen IST-Berechtigungen mit dem definierten Sollzustand sowie das im Bedarfsfall automatische Zurücksetzen “nicht autorisierter Veränderungen” erhöht zudem das Schutzniveau der Daten und verhindert neuen Wildwuchs in der Berechtigungsstruktur. Durch die Einbindung der Fachverantwortlichen in den Berechtigungsprozess und die Übertragung damit verbundener Verantwortlichkeiten wird eine Sensibilisierung der jeweiligen Entscheider im Umgang mit der Vergabe von Zugriffsrechten auf „ihre“ Verzeichnisse herbeigeführt, wodurch sich die Datensicherheit entscheidend erhöhen lässt.
Transparenz
Der Einsatz des BAYOOSOFT Access Managers sichert die dauerhafte Nachvollziehbarkeit aller Entscheidungen: Die Berechtigungssituation wird kontinuierlich per Monitoring überwacht und jede Berechtigungsveränderung über eine auditsichere Protokollierung festgehalten. Die Auswertung über einfache, für technische Laien verständliche Reports, die ohne IT-Know-how auf Knopfdruck erzeugt werden können, sorgt für maximale Transparenz für die Datenverantwortlichen und leistet somit einen wichtigen Beitrag zur Informationssicherheit in der Organisation. Somit sind Datenverantwortliche jederzeit in der Lage, das Wesentliche zu erkennen: Wer hat auf welche Daten Zugriff, seit wann und von wem wurde dieser Zugriff genehmigt?
Fazit
Lösungen für automatisiertes Berechtigungsmanagement bieten deutlich mehr als nur eine bunte Oberfläche als Ersatz für die mitunter schwerfälligen Standarddialoge des Betriebssystems oder kryptische Reports. Der Einsatz solcher Produkte sorgt für ein nachhaltiges Konzept, um die Berechtigungsvergabe weg von der IT-Administration hin zu den Datenverantwortlichen zu verlagern, wo immer dies angebracht erscheint. Auch bringen sie für die technisch nicht versierten Dateneigentümer leicht verständliche Transparenz in die Berechtigungssituation. Ein kontinuierlicher Abgleich des Soll- und Ist-Zustands ermöglicht eine dauerhaft saubere Berechtigungsstruktur. Die Einbeziehung der Datenverantwortlichen führt nachhaltig zu einer höheren Sensibilisierung im Umgang mit der Vergabe von Zugriffsrechten und damit zu einer Erhöhung der Informationssicherheit. Wird über die Einführung eines Berechtigungsmanagement-Systems nachgedacht, so stehen Organisationen oft vor der Wahl zwischen einer ganzheitlichen Identity-and-Access-Management-(IAM)-Lösung oder einer spezifischen Lösung nach dem Best-of-Breed-Ansatz. Insbesondere in Umgebungen mit hohem Schutzinteresse ist der Best of Breed-Ansatz jedoch die bessere Wahl. Denn hier liegt der uneingeschränkte Fokus auf Fileserver– und Sharepoint-Berechtigungen und es können selbst komplexe Berechtigungsstrukturen bis auf das Level der technischen Ressource überwacht werden. Der BAYOOSOFT Access Manager ist modular erweiterbar und kann an unterschiedliche Anforderungen angepasst werden. Für die Integration in Workflows und in andere IAM-Systeme steht eine REST-API als Erweiterungsmodul zur Verfügung.
Möchten Sie mehr über die Vorteile des automatisierten Berechtigungsmanagements erfahren?
Vereinbaren Sie noch heute einen Termin für eine individuelle Produktvorstellung oder schauen Sie bei einem unserer regelmäßigen Webinare vorbei. Unsere Experten für Berechtigungsmanagement stellen Ihnen den BAYOOSOFT Access Manager gerne persönlich vor: