Identity Management und Sicherheit

Lückenhafte Benutzerverwaltung ist ein Sicherheitsrisiko

Viele Unternehmen setzen bereits eine automatisierte Benutzerverwaltung ein. Allerdings sind diese Identity-Management-Systeme (IdM) oft nur unzureichend in die Firmenstruktur integriert, was zu fatalen Sicherheitsproblemen mit weitreichenden negativen Folgen führen kann.

Nach der Anwenderstudie "Identity Management - Security & Compliance" des Beratungshauses Deron verfügen zirka 33 Prozent der Unternehmen aktuell über eine Identity-Management-Lösung (IdM). Ein solches System entlastet den Administrator, da er beim Anlegen eines Benutzerkontos nicht mehr alle Komponenten wie E-Mails, Datenbanken, CRM, Data Warehouse und andere Anwendungen einzeln aktivieren muss. Mit einer automatisierten Benutzerverwaltung reicht es aus, das Mitarbeiterkonto einmal abzulegen, alle anderen Bestandteile werden automatisch im Hintergrund installiert.

Im Idealfall kann der Administrator vollkommen aus diesem Prozess herausgenommen werden, da die erste Anlaufstelle eines neuen Mitarbeiters in der Regel die Personalabteilung ist. Diese Instanz erfasst die ersten Personaldaten und legt die Position des Mitarbeiters im Unternehmen fest. Mit diesen Informationen kann das IdM-System dann automatisch alle weiteren Berechtigungen für den Mitarbeiter festlegen. Wird zum Beispiel der Mitarbeiter befördert oder verlässt das Unternehmen, ist die Personalabteilung wiederum die erste Anlaufstelle, die über diesen neuen Status des Mitarbeiters informiert wird. Damit kann diese Abteilung wiederum alle weiteren Änderungen der angebundenen Applikationen initiieren, die vom IdM automatisch geändert werden. Somit ist der Mitarbeiter immer mit den aktuellsten organisatorischen Veränderungen erfasst und mit sämtlichen Berechtigungen ordnungsgemäß ausgestattet. Dies beinhaltet im Umkehrschluss auch den Rechteenzug.

Problematisch: Selbst in Unternehmen mit IdM können 54 Prozent der Befragten weder "Benutzerleichen" noch kritische Rechtekombinationen mit Sicherheit ausschließen.
Problematisch: Selbst in Unternehmen mit IdM können 54 Prozent der Befragten weder "Benutzerleichen" noch kritische Rechtekombinationen mit Sicherheit ausschließen.
Foto: Deron

Unabhängig von der Integration der Personalabteilung in ein IdM-Umfeld birgt diese Technologie auch Gefahren, wenn sie nicht konsequent über alle Unternehmensbereiche stringent umgesetzt wird. Laut Studie sind in der Praxis nur zwölf Prozent der Systeme absolut lückenlos angelegt. 38 Prozent der Unternehmen mit IdM legen eigenen Angaben zufolge immer wieder Accounts und Berechtigungen provisorisch außerhalb der Prozesse an. Wer wissen möchte, ob das auch in seinem Unternehmen so ist, sollte einmal darauf achten, wie Einzelnen der Zugriff auf Projektdaten oder als Urlaubsvertretung ermöglicht und wie Accounts und Berechtigungen von Partnern, Kunden und Lieferanten eingerichtet werden. Meist sind es diese Bereiche, die beim IdM zunächst ausgespart werden, sodass keine Prozesse definiert sind. Braucht man sie dann aber, improvisiert die IT und legt Accounts und Berechtigungen "vorerst" außerhalb der Richtlinien und des IdM-Systems an, und das führt oft zu inkonsistenten Daten und damit zu Sicherheitsrisiken im Unternehmen.