Sie sind hier: Home » Markt » Hinweise & Tipps

Prozess zur Zertifizierung des Benutzerzugriffs


Zugriffs-Zertifizierung ist keine einmalige Angelegenheit, sondern ein Prozess, der gut geplant sein will
Inventur der Identitäten: Wie man Zugriffsrechte zertifiziert



Von Stephen Lowing, VP Marketing bei Omada

Die Zugriffs-Zertifizierung beschreibt die unabhängige Prüfung der Zugriffsrechte durch einen Auditor. Dieser untersucht, ob die den Benutzern gewährten Rechte wirklich notwendig sind. Ein gründlicher Prozess zur Zertifizierung des Benutzerzugriffs stellt sicher, dass die digitale Identität jedes Mitarbeiters nur die Berechtigungen hat, welche für die Erfüllung seiner Aufgaben nötig sind. So wird auch die Sicherheit der internen Daten gewährleistet.

Wenn die Belegschaft wächst und sich immer weiter ausdehnt, können sich die Zugriffsanforderungen im Handumdrehen ändern. Unternehmen müssen auf der Hut sein, dass sie ihren Mitarbeitern, externen Auftragnehmern, Prüfern oder Saisonarbeitern nicht überhastet zu viele Zugriffsrechte für die Erfüllung ihrer Aufgaben einräumen, die gar nicht erforderlich sind.

Um ernsthafte Sicherheitsrisiken und versäumte Audits zu vermeiden, sollte jedes Unternehmen regelmäßige Zugriffs-Zertifizierungen durchführen. Dieser Artikel klärt, welche Bereiche im Unternehmen man hierbei besonders priorisieren sollte und welche Vorteile Zugriffs-Zertifizierungen IT-Sicherheitsverantwortlichen bieten können.

Wichtige Bereiche für die Zugriffskontrolle
Eine Liste über aktive Zugriffs-Berechtigungen und ein Plan zum Entfernen von Zugangsrechten, die nicht mehr benötigt werden, sind das Herzstück eines erfolgreichen IGA-Programms (Identity Governance and Administration).

Dabei gibt es eine große Anzahl von Variablen, die bestimmen, welche Zugangsrechte und Berechtigungen gewährt werden sollten:

1. Geschäftsressourcen
Verschiedene Personen benötigen Zugang zu verschiedenen Arten von Anwendungen, sei es Infrastruktur wie Azure oder AWS, Datenbanken, Kommunikationsanwendungen wie Teams und Slack, CRMs wie Salesforce oder ITSM-Tools wie ServiceNow.

Ebenfalls gilt es zu beachten: Bestimmte Anwendungen sind nur für bestimmte Gruppen der Belegschaft erforderlich, während einige von ihnen von allen benötigt werden. Ein Beispiel für einen solchen gemeinsamen Nenner: Höchstwahrscheinlich benötigen alle Mitarbeiter in einer Organisation Zugang zu einem E-Mail-System.

2. Arbeitsorte
Je nachdem, wo die Mitarbeiter arbeiten, benötigen sie Zugang zu verschiedenen Dingen, beispielsweise zu physischen Standorten wie Büros. Ebenfalls denkbar ist, dass sie sich über verschiedene VPN-Standorte, geografische Untergruppen von Anwendungen oder bestimmte Kundendaten anmelden müssen, um die lokalen Datenschutzgesetze wie die Datenschutz-Grundverordnung (DSGVO) einzuhalten.

3. Funktion oder Status des Arbeitsplatzes
Die Arbeitsplatzfunktion ist meist an die Rolle im Unternehmen gebunden. Eine Person, die an einem Fließband arbeitet, hat beispielsweise Zugriff auf fertigungsbezogene Systeme, während ein Back-Office-Mitarbeiter ganz andere Berechtigungen für die Finanz- und Buchhaltungsanwendungen des Unternehmens hat.

Eine weitere Variable könnte die Art des Beschäftigungsverhältnisses sein: Vollzeitbeschäftigte sollten andere Zugriffsrechte erhalten als Zeitarbeitskräfte und Zugang zu Ressourcen wie betrieblichen Leistungen haben. Es ist immer wichtig, Rollen und Kontexte als kritische Komponente für die kontinuierliche Verwaltung und Regelung von Zugriffsrechten zu identifizieren.

Diese Variablen, die oft kontextabhängig sind, können auch auf der Grundlage von Ereignissen gewährt werden: entweder regelmäßig auftretende und geplante oder solche, die kurzfristig eintreten. Beispiele dafür sind:

>> Audits: Wenn eine Prüfung ansteht, müssen Unternehmen nachweisen können, dass nur bestimmte Personen Zugang zu bestimmten Systemen haben. Möglicherweise müssen sie auch zusätzliche Personen mit Zugriff auf Datenbanken und verschiedene Anwendungen beauftragen, um die für ein bestimmtes Audit benötigten Daten zu sammeln.

>> Hochsaison: Vor allem im Einzelhandel herrscht um die Feiertage herum oft Hochsaison. Allerdings findet diese in verschiedenen Branchen zu unterschiedlichen Zeiten statt und kann mit der Einstellung zusätzlicher Mitarbeiter zur kurzfristigen Unterstützung zusammenfallen, was zu einem Anstieg der Zahl der Zeitarbeiter führt. In diesen Zeiten haben IT-Teams alle Hände voll zu tun, da den Mitarbeitern der Zugang zu bestimmten Ressourcen mit hoher Priorität zugewiesen wird. Umso wichtiger ist es dann, diesen Zugang wieder zu entziehen, wenn die Saison vorbei ist.

Vorteile einer regelmäßigen Zertifizierung des Zugriffsmanagements
Mit einer regelmäßigen Zertifizierung der Zugriffsverwaltung können Unternehmen überprüfen, ob die richtigen Personen weiterhin Zugriff auf die richtigen Ressourcen haben, um ihre Aufgaben zu erledigen - und gleichzeitig inaktive und stillgelegte Konten identifizieren.

Es ist unverzichtbar, die korrekte Zugriffszuweisung für die verschiedenen Geschäftsrollen zu validieren, damit die Sicherheits- und Compliance-Risiken im Unternehmen minimiert werden können.

Kampagnen zur Zugriffs-Zertifizierung

Unternehmen brauchen die Möglichkeiten, kontinuierlich zu zertifizieren. Nur so können Zugriffsrechte sicher verwaltet werden und sichergestellt werden, ob diese überhaupt weiterhin benötigt werden.

Bei der Erstellung von Zertifizierungskampagnen sollten Organisationen Folgendes anstreben:

>> Daten darüber sammeln, wer auf was, wann, warum, wie oft usw. zugreift

>> Umfragen einrichten, die für Geschäftsanwender schnell zu beantworten und für Administratoren schnell einzurichten sind

>> Detaillierte Daten sammeln, um intelligentere Geschäftsentscheidungen treffen zu können

>> Interpretation der Ergebnisse auf eine Art und Weise, die für Sicherheits- und Risikomanagement-Teams leicht umsetzbar ist, sodass die geringsten Rechte gewahrt bleiben

>> Nachweis der Konformität gegenüber Prüfern

>> Automatisierung von Prozessen, die zuvor manuell durchgeführt wurden

Zugriffs-Zertifizierungskampagnen sind eine Möglichkeit für Unternehmen, Berechtigungen zu prüfen und formell zu bestätigen, dass die Zugriffsrechte von Einzelpersonen angemessen sind. Konzeptionell gesehen zielen diese Kampagnen darauf ab, nicht mehr benötigten Zugang zu entfernen, oder den Zugang zu Ressourcen dauerhaft zu genehmigen, die zuvor ad hoc gewährt wurden.

Wer Zertifizierungskampagnen ernst nimmt und regelmäßig durchführt, stellt nicht nur die Compliance-Treue und Einhaltung gesetzlicher Regularien sicher, sondern schützt auch wertvolle Kunden- und Unternehmensdaten. Selbst wenn Cyberkriminelle im schlechtesten Falle Login-Daten erlangen und korrumpieren, werden ihnen so durch zuvor geringstmöglich vergebene Zugriffsrechte frühzeitig die Wege abgeschnitten. (Omada: ra)

eingetragen: 07.08.24
Newsletterlauf: 19.09.24

Omada Solutions: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Investitionen in nachhaltige Rechenzentren

    Digitale Technologien spielen eine wesentliche Rolle, um schädliche Emissionen zu reduzieren und die Klimaziele in Deutschland zu erreichen. So ergab eine aktuelle Bitkom-Studie zum Einsatz von digitaler Lösungen in Sektoren wie Energie, Industrie und Verkehr, dass die CO2-Emissionen im Klimaziel-Stichjahr 2030 jährlich um 73 Millionen Tonnen reduziert werden könnten.

  • NIS-2-Umsetzung in Deutschland

    Mit dem neuen für NIS-2-Gesetz kommen auf viele Unternehmen strengere Cybersicherheitsanforderungen zu - doch es gibt noch offene Fragen und neue Entwicklungen, die bisher wenig Beachtung gefunden haben. Jetzt ist die Zeit zum Handeln. Seit der Verabschiedung der NIS-2-Richtlinie durch die EU im Jahr 2022 war die Umsetzung in den Mitgliedstaaten ein komplexer Prozess.

  • Dem Fiskus drei Schritte voraus

    Teure Materialien sowie steigende Energie- und Transportpreise sind nur zwei Gründe, warum in zahlreichen Unternehmen der Sparzwang wächst. "Unvorhergesehene und potenziell kostspielige Steuernachzahlungen können in einer ohnehin angespannten Situation den Druck auf die finanziellen Ressourcen empfindlich erhöhen", weiß Prof. Dr. Christoph Juhn, Professor für Steuerrecht an der FOM Hochschule und geschäftsführender Partner der Kanzlei Juhn Partner.

  • Prüfungsangst kommt nicht von ungefähr

    Stehen die Prüfer des Fiskus vor der Tür, steigt in fast jedem Unternehmen das Nervositätslevel. Die Besucher kündigen sich zwar rechtzeitig an, stellen ihren Gastgebern aber ausführliche Detailfragen und schauen sich interne Unterlagen genau an, was nicht nur Zeit und Nerven kostet, sondern manchmal auch sehr viel Geld.

  • Gesetze über Gesetze

    Der Countdown läuft: Die NIS2-Richtlinie steht praktisch schon vor der Tür und Betreiber kritischer Infrastrukturen (KRITIS) arbeiten auf Hochtouren daran, bis Oktober alle notwendigen Maßnahmen zu treffen.

Regulierung und Beaufsichtigung von Banken NIS2-Umsetzung mit SIEM, SOAR und UEBA

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen