Durchblick im Gruppen-Dschungel – AD-Gruppenmitgliedschaften dauerhaft automatisiert verwalten

‚Need-to-know‘ heißt das Prinzip, durch welches Mitarbeiter ausschließlich bei Bedarf Kenntnis von Daten im Unternehmen erlangen sollen. In Bezug auf Zugriffsrechte sollen sie nur solche Berechtigungen erhalten, die sie wirklich für Ihre tägliche Arbeit benötigen. Dies gilt nicht nur für unstrukturierte Daten in Form von Dokumenten auf Fileservern, sondern auch für Active Directory basierte Zugriffsrechte, z. Bsp. auf Datenbanken oder Applikationen. Auch für die Einhaltung der Datenschutzgrundverordnung ist die Kenntnis über bestehende Rechte, wie zum Beispiel der Zutritt von Serverräumen oder Archiven und deren Notwendigkeit ein erheblicher Faktor.

Die Vergabe dieser Rechte verläuft häufig noch recht einfach: Neue oder aus anderen Abteilungen wechselnde Mitarbeiter sowie Auszubildende benötigen Berechtigungen auf Standardsoftware. Damit diese möglichst bald arbeitsfähig sind werden diese Änderungen nicht selten unter Druck und dabei großzügig bei der IT beauftragt. Die Dokumentation dieser schnellen Berechtigungsänderungen wird dabei oft vernachlässigt. Gleichzeitig fehlt es an Überblick über nicht mehr benötigte Gruppenmitgliedschaften, sodass diese weiterhin bestehen bleiben – ob diese auch nach Jahren tatsächlich noch benötigt werden, ist offen.

Analysieren & Aufräumen – aber was dann?

Bestehende Analyse Tools geben für diesen Urwald an Berechtigungen die Möglichkeit, einen Überblick zu erhalten, die aktuelle Berechtigungsstruktur sowie die AD-Gruppenmitgliedschaften zu analysieren, restrukturieren und zu vereinfachen. Doch wie kann eine dauerhafte Nachvollziehbarkeit bei der stetigen Veränderung einer Organisationsstruktur, wechselnden Aufgabenbereichen und Zuständigkeiten gewährleistet werden?

Lediglich ein konsequentes Dokumentieren jeder Berechtigungsänderung sowie die kontinuierliche Kontrolle, dass die tatsächliche Situation diesem dokumentierten Zustand entspricht, kann dies dauerhaft ermöglichen – eine Aufgabe, die bei der IT-Administration selten beliebt und bei manueller Tätigkeit sehr fehleranfällig ist. Erheblich effizienter und einfacher ist es, Berechtigungsprozesse bereits ab der Antragsstellung weitgehend zu automatisieren und dies bis zur Umsetzung und kontinuierlichen Überwachung weiterzuführen. Kombiniert mit einem umfassenden Reporting sind diese die Kernkompetenzen des BAYOOSOFT Access Manager.

Angestrebtes Ziel ist die Verschiebung der Verantwortung und Abwicklung der Berechtigungsprozesse weg von den Administratoren und hin zu Self Service Prozessen für Datenverantwortliche. Diese vergeben Berechtigungen einfach und transparent, die Dokumentation und Umsetzung erfolgt automatisch durch das System. Werden bei dieser Umsetzung nicht autorisierte Berechtigungen festgestellt, werden diese korrigiert und als Abweichung protokolliert. Denn nur, wenn keine Mitgliedschaft mehr „am System vorbei“ vergeben werden, kann der definierte SOLL-Zustand nachhaltig beibehalten und unautorisierte Gruppenmitgliedschaften vermieden werden.

Profilbasierte Berechtigungen

Um die Berechtigungsprozesse durch Datenverantwortliche noch einfacher zu gestalten, ermöglicht der Access Manager eine Kombination aus individuellen und Profilberechtigungen. So können zur Unterstützung personeller Veränderungen Organisationsstrukturen, wie z.B. Abteilungs- und Tätigkeitszuordnungen durch die Anlage von entsprechenden Benutzerprofilen im System abgebildet werden. Beim Wechsel des Tätigkeitsbereichs sind durch Vorgesetzte lediglich die entsprechenden Profile anzupassen und der  betreffende Mitarbeiter enthält direkt alle notwendigen Berechtigungen für den Aufgabenbereich – von Fileserver- und SharePoint Zugriffen über benötigte Druckerfreigaben, Laufwerksmapping oder Applikationsrechte. Durch Angabe von Start- und Enddatum kann dabei ein langsamer Übergang durch Überschneidung der Profilrechte ermöglicht werden. Benötigt ein Benutzer unabhängig hiervon zusätzliche Berechtigungen können diese über die Vergabe individueller Rechte ergänzt werden. So wird sichergestellt, dass der Benutzer nur die Berechtigungen erhält, die er auch wirklich benötigt. Gleichzeitig wird immer revisionssicher dokumentiert, wann er diese Berechtigung erhalten hat und durch wen diese Veränderung vorgenommen wurde.

Redundantes Monitoring

Der automatische Abgleich der technischen IST-Berechtigungen mit dem definierten SOLL-Zustand sowie das im Bedarfsfall automatische Zurücksetzen nicht autorisierter Veränderungen erhöht das Schutzniveau der Daten und verhindert neuen Wildwuchs in der Berechtigungsstruktur und den AD-Gruppenmitgliedschaften. Um das Risiko ungewollter Zugriffe auf schützenswerte Daten weiter zu reduzieren, kommt ergänzend das Reapproval für alle verwalteten Zugriffsrechte auf Fileservern, SharePoint und verwaltete Gruppen im Active Directory zum Einsatz. Mit einer leicht verständlichen Bedienung über den Browser können Datenverantwortliche Zugriffsrechte und Gruppenzugehörigkeiten intuitiv und einfach per „ja/nein“ bestätigen oder wiederrufen. Durch die Möglichkeit multiple Datenverantwortliche pro Ressource zu definieren kann die Bearbeitung auf verschiedene Köpfe verteilt werden. Somit wird der Prozess der Rezertifizierung so einfach wie möglich gestaltet. Sie werden nicht mit Papierbergen oder komplexem IT-Fachwissen konfrontiert und können ihre Aufgabe effizient bearbeiten. Das ermöglicht ein Reduzieren der Rezertifizierungshürde, um so den Erfolg eines redundanten Monitorings für die im Unternehmen schützenswerten Daten zu gewährleisten.

Berechtigung für Drittsysteme

Die Vergabe von, auf Active Directory Gruppen basierenden Rechten wird im Access Manager durch das 3rd Party Management ermöglicht. Hier können je nach Anforderungen der Organisation beispielsweise individuell benötigte Druckerfreigaben, Applikationsrechte, Verteilerlisten, Team Mitgliedschaften oder ähnliche Berechtigungen verwaltet werden. Dabei überwacht das System kontinuierlich die Mitgliedschaften in den jeweiligen AD-Gruppen. Durch die Konfiguration individuell erstellter PowerShell Skripte können weitere, mit der Mitgliedschaft verbundene Prozesse angestoßen werden.

Diese Entwicklung hin zur automatisierten Access Management Lösung ermöglicht, alle organisationsweit notwendigen, Active Directory basierten, Berechtigungen, direkt durch die Fachbereiche zu verwalten. Dabei verbleibt die Entscheidung darüber, welche Ressourcen unter Einbeziehung der Fachbereiche automatisiert verwaltet werden bei der IT-Administration. Das umfangreiche Reporting ermöglicht es, AD-Gruppenzugehörigkeiten auch für Personen ohne IT-Hintergrundwissen verständlich anzeigen zu lassen. Durch historische Berichte lässt sich so auch der Berechtigungszustand an einem Stichtag in der Vergangenheit nachvollziehen. Damit können Geschäftsprozesse bestmöglich, und für den Endanwender leicht verständlich, unterstützt und die schleichende Rechteausweitung im Unternehmen gestoppt werden.

Fazit

Berechtigungsänderungen aufgrund personeller oder struktureller Veränderungen führen häufig zu einer Abweichung vom „Need-to- Know“-Prinzip und sorgen damit langfristig durch ein unkontrolliertes Wachstum an Berechtigungen und AD-Gruppenmitgliedschaften für einen Verlust der Datensicherheit. Durch den Ansatz der Automatisierung bietet der Access Manager ein dauerhaftes Monitoring der Fileserver-, Share- Point- und Active-Directory-Rechte und wirkt diesem schleichenden Prozess dauerhaft entgegen. Gleichzeitig werden die Transparenz und das Bewusstsein für Datensicherheit erhöht. Eine Kombination von Datenschutzklassifizierungen als Kennzeichnung besonders schützenswerter Daten mit der redundanten Sicherung durch die leicht verständliche Überprüfung der Berechtigungssituation nehmen dabei die Datenverantwortlichen in die Pflicht, Verantwortung für die Erfüllung der Compliance-Anforderungen zu übernehmen.

Der BAYOOSOFT Access Manager ist ein probates Mittel, um in Unternehmen schützenswerte Daten durch automatisiertes Berechtigungsmanagement unter Dach und Fach zu bringen und damit bei geringem operativem Aufwand eine dauerhaft revisionssichere Berechtigungssituation zu gewährleisten.

Möchten Sie mehr über die Vorteile des automatisierten Berechtigungsmanagements erfahren?

Vereinbaren Sie noch heute einen Termin für eine individuelle Produktvorstellung oder schauen Sie bei einem unserer regelmäßigen Webinare vorbei. Unsere Experten für Berechtigungsmanagement stellen Ihnen den BAYOOSOFT Access Manager gerne persönlich vor:

Hinweis

Wir haben zur Zeit Probleme mit unseren Formularen. Falls Ihnen eine Fehlermeldung angezeigt wird, senden Sie gerne eine Mail mit ihrem Anliegen direkt an [email protected]