Identity Management und Sicherheit

Lückenhafte Benutzerverwaltung ist ein Sicherheitsrisiko

26.04.2011 von Klaus Scherrbacher

Viele Unternehmen setzen bereits eine automatisierte Benutzerverwaltung ein. Allerdings sind diese Identity-Management-Systeme (IdM) oft nur unzureichend in die Firmenstruktur integriert, was zu fatalen Sicherheitsproblemen mit weitreichenden negativen Folgen führen kann.

Nach der Anwenderstudie "Identity Management - Security & Compliance" des Beratungshauses Deron verfügen zirka 33 Prozent der Unternehmen aktuell über eine Identity-Management-Lösung (IdM). Ein solches System entlastet den Administrator, da er beim Anlegen eines Benutzerkontos nicht mehr alle Komponenten wie E-Mails, Datenbanken, CRM, Data Warehouse und andere Anwendungen einzeln aktivieren muss. Mit einer automatisierten Benutzerverwaltung reicht es aus, das Mitarbeiterkonto einmal abzulegen, alle anderen Bestandteile werden automatisch im Hintergrund installiert.

Im Idealfall kann der Administrator vollkommen aus diesem Prozess herausgenommen werden, da die erste Anlaufstelle eines neuen Mitarbeiters in der Regel die Personalabteilung ist. Diese Instanz erfasst die ersten Personaldaten und legt die Position des Mitarbeiters im Unternehmen fest. Mit diesen Informationen kann das IdM-System dann automatisch alle weiteren Berechtigungen für den Mitarbeiter festlegen. Wird zum Beispiel der Mitarbeiter befördert oder verlässt das Unternehmen, ist die Personalabteilung wiederum die erste Anlaufstelle, die über diesen neuen Status des Mitarbeiters informiert wird. Damit kann diese Abteilung wiederum alle weiteren Änderungen der angebundenen Applikationen initiieren, die vom IdM automatisch geändert werden. Somit ist der Mitarbeiter immer mit den aktuellsten organisatorischen Veränderungen erfasst und mit sämtlichen Berechtigungen ordnungsgemäß ausgestattet. Dies beinhaltet im Umkehrschluss auch den Rechteenzug.

Problematisch: Selbst in Unternehmen mit IdM können 54 Prozent der Befragten weder "Benutzerleichen" noch kritische Rechtekombinationen mit Sicherheit ausschließen.
Foto: Deron

Unabhängig von der Integration der Personalabteilung in ein IdM-Umfeld birgt diese Technologie auch Gefahren, wenn sie nicht konsequent über alle Unternehmensbereiche stringent umgesetzt wird. Laut Studie sind in der Praxis nur zwölf Prozent der Systeme absolut lückenlos angelegt. 38 Prozent der Unternehmen mit IdM legen eigenen Angaben zufolge immer wieder Accounts und Berechtigungen provisorisch außerhalb der Prozesse an. Wer wissen möchte, ob das auch in seinem Unternehmen so ist, sollte einmal darauf achten, wie Einzelnen der Zugriff auf Projektdaten oder als Urlaubsvertretung ermöglicht und wie Accounts und Berechtigungen von Partnern, Kunden und Lieferanten eingerichtet werden. Meist sind es diese Bereiche, die beim IdM zunächst ausgespart werden, sodass keine Prozesse definiert sind. Braucht man sie dann aber, improvisiert die IT und legt Accounts und Berechtigungen "vorerst" außerhalb der Richtlinien und des IdM-Systems an, und das führt oft zu inkonsistenten Daten und damit zu Sicherheitsrisiken im Unternehmen.

Provisorien außerhalb der Richtlinien

So kommt es, dass das System diese Accounts und Berechtigungen nicht erkennt und sie deshalb bei Checks, zum Beispiel auf falsch eingestufte Benutzer oder kritische Rechtekombinationen, auch nicht definieren kann. Es findet und meldet dann zwar eine Abweichung, kann aber nicht angeben, wo sich diese genau befindet. Vom Prüfer zu verlangen, hier nachzuforschen, hieße, die Stecknadel im Heuhaufen zu suchen.

Foto: Deron

Folglich kann der IT-Leiter die Existenz von Lücken in Accounts und Berechtigungen für Urlaubsvertretungen, Projekte, Partner und Kunden nicht ausschließen. So räumen 54 Prozent aller Unternehmen trotz IdM ein, dass sie weder kritische Rechtekombinationen noch falsch eingestufte Benutzer sicher verhindern können. Und das, obwohl dies schwerwiegende Probleme sind. Schließlich stellen falsch eingestufte Benutzer ein gefundenes Fressen für Datendiebe dar, und kritische Rechtekombinationen führen unter Umständen dazu, dass der Besteller seine eigene Großbestellung genehmigen kann.

Führungskräfte gehen aber davon aus, dass ihre IT nicht improvisiert, sondern bisher ausgesparte IT-Geschäftsprozesse definiert und anlegt, sobald dies notwendig wird. Offensichtlich unterschätzen sie die Forderung, die sie damit stellen: Immerhin sehen 74 Prozent der Unternehmen die Definition der Prozesse als größte Herausforderung eines IdM-Projekts an. Trotzdem müssen Mitarbeiter der IT diese Aufgabe immer wieder im Alltagsgeschäft nebenbei erledigen.

Eine kritische Rechtekombination

Ein Beispiel macht deutlich, was das im Einzelnen bedeutet: Zunächst erscheint es leicht festzulegen, welche unterschiedlichen Berechtigungs-Sets Studenten, Mitarbeiter und Dozenten einer Universität bekommen sollten. Sobald aber Studenten einen Aushilfs-Job haben, für den sie auch Rechte eines Mitarbeiters brauchen, wird es schon komplizierter. Wenn diese Studenten gar als Doktoranden an der Hochschule lehren, benötigen sie zudem Dozentenrechte. Hat ein Student aber sowohl Studenten- als auch Mitarbeiter- und Dozentenrechte, besteht die Gefahr, dass er in der Dozentenrolle, in der er andere Studenten zu bewerten hat, auch sich selbst eine Note ausstellt und diese dann in der Mitarbeiterrolle in seine Studentenakte einträgt.

Diese Gefahr auszuschließen und den Prozess lückenlos zu definieren erfordert langes, mit viel Erfahrung und Weitblick verbundenes Feilen. Das kann keiner allein und neben seinem Alltagsgeschäft erledigen. Trotzdem wird Vergleichbares oft erwartet. Führungskräfte verlassen sich dabei auf die Wirkung der Policies, die die IT verpflichten, kritische Rechtekombinationen zu eliminieren. Sie übersehen, dass Policies die Frage, welche einzelnen Rechte nicht miteinander kombiniert werden dürfen, nicht beantworten.

Die Prozesse sind nicht ausgereift

Aber nicht nur bei fehlenden Prozessen missachten Administratoren notgedrungen die Richtlinien. Auch definierte Prozesse werden umgangen, nämlich dann, wenn sie nicht ausgereift sind. So haben viele Unternehmen eine IT-gestützte Kommunikation zwischen IT und Fachvorgesetzten eingerichtet, damit der IT einfach, schnell und nachvollziehbar mitgeteilt werden kann, welche Zugriffsrechte benötigt werden. Nicht selten haben dann Betriebswirte, Verkäufer oder Juristen, also Mitarbeiter mit durchschnittlichen IT-Kenntnissen, in schier endlosen Webkatalogen Hunderte von Checkboxen abzuarbeiten, die sie höchstens zum Teil verstehen.

Das Ziel: Deutliche Verbesserungen bringt IdM in der Benutzerverwaltung, sei es im Bereich Security/Compliance, bei den Prozessen oder in puncto Kosten.
Foto: Deron

Die Folge: Entweder sie kreuzen alles an, damit die benötigten Berechtigungen auch sicher dabei sind, oder sie rufen den Administrator an und fragen, was sie ankreuzen müssen beziehungsweise ob er auch ohne das Webformular die benötigten Accounts und Berechtigungen anlegen kann. Damit hat sich der Nutzen des Webkatalogs in Luft aufgelöst. Denn die digitale Abbildung eines Prozesses allein bringt wenig. Prozesse können erst dann gewinnbringend abgebildet werden und für die nötige Sicherheit sorgen, wenn auch wirklich alle Beteiligten mit ihnen umgehen können.

An den Produkten liegt es nicht

Unternehmen kämpfen heutzutage also mehr mit der Definition ihrer eigenen Prozesse als mit den Schwächen der IdM-Produkte. Kein Wunder, haben sich doch die Produkte in den vergangenen Jahren stark entwickelt: Wo sich früher jedes rudimentäre Meta-Directory IdM nannte, stehen heute ausgereifte Lösungen mit Workflows, Meta-Directory und Business-Role-Management zur Verfügung. Auch musste man sich früher mit Reports der aktuellen Berechtigungen zufriedengeben und Abweichungen zum Soll-Zustand selbst heraussuchen. Heute darf man dagegen ein Audit von seinem IdM-Produkt erwarten, das die Abweichungen zwischen Soll- und Ist-Zustand gezielt aufzeigt.

Aber trotz dieser Stärken sind Unternehmen mit ihren IdM-Produkten noch nicht wunschlos glücklich. Denn die vielen Funktionen eines IdM sind nicht integriert, und so müssen einzelne Module selbst verbunden, einzeln administriert und teilweise auch separat gekauft werden. Eine einheitliche Administrations- und Entwicklungsoberfläche für alle Funktionen des IdM wie Rollen, Audit, Workflow und Meta-Directory wäre eine echte Arbeitserleichterung.

Schaut man noch weiter in die Zukunft, wäre es eine Überlegung wert, auch Softwareverteilung, Lizenzverwaltung und Zutrittsberechtigungssystem mit dem IdM zu koppeln. Erste Unternehmen praktizieren dies bereits, sodass ihre Mitarbeiter automatisiert und maßgeschneidert Software auf ihren Arbeitsplatzrechner aufgespielt bekommen oder die Lizenz für den neuen Mitarbeiter nicht neu gekauft, sondern von einem ausgeschiedenen Kollegen übernommen wird. Für die meisten ist dies aber noch Zukunftsmusik.

Die häufigsten Fehler beim IdM

Trotz solcher Entwicklungsaufgaben überzeugt IdM schon heute: 89 Prozent der IdM einsetzenden Firmen sind mit ihrer Benutzerverwaltung zufrieden, wohingegen in Firmen ohne IdM nur 50 Prozent ihre Benutzerverwaltung als gut beurteilen. 88 Prozent der Unternehmen sind mit ihren Projekten zufrieden, und 74 Prozent bestätigten das Erreichen aller Ziele.

Details: Interessanterweise profitiert die Qualität der Benutzerverwaltung mit IdM besonders in Unternehmen mittlerer Größenordnung.
Foto: Deron

Außerdem verzeichnen IdM-Nutzer trotz der beschriebenen Lücken eine Steigerung der IT-Sicherheit. Denn schließlich kommen selbst durch ein lückenhaftes IdM keine neuen Mängel hinzu. Im Gegenteil: Das IdM schließt Lücken. Und von den Risiken, die schon vor Einführung des Systems bestanden haben, bleibt nur der Teil übrig, für den noch keine Geschäftsprozesse abgebildet sind. Offensichtlich sind das aber immer noch zu viele.

Die häufigsten Fehler beim IdM

Projektleitung schließt bestimmte Prozesse aus: In IdM-Projekten werden meist zuerst die Prozesse der "normalen" Mitarbeiter angelegt und externe Mitarbeiter, Kunden, Lieferanten sowie Partner ausgespart. Für diese können die Sicherheitsstandards des IdM nicht gelten. Datendiebe wissen das.
Unpräzise Policies und Vorgaben für Administratoren: Sätze in Policies wie "Kritische Rechtekombinationen sind unverzüglich zu löschen" nützen nichts. Es muss konkrete Aussagen darüber geben, welche Rechte genau nicht kombiniert werden dürfen.
Account-Vergabe wird weder geprüft noch sanktioniert: Wenn Prozesse nicht definiert sind, geht die provisorische Account-Vergabe einfacher und schneller. So wie jeder Autofahrer manchmal das Tempolimit vergisst, solange kein Blitzer aufgestellt ist, übergehen Administratoren auch Sicherheitsvorgaben, wenn sie in Eile sind und weder Kontrolle noch Sanktionen zu erwarten haben.
Unausgereifte Prozesse: Nicht selten müssen Vorgesetzte für einen Mitarbeiter aus ellenlangen Listen mit undurchsichtigen Accounts und Berechtigungen die richtigen auswählen. Sie sind damit überfordert und kreuzen einfach alles an oder fragen den Administrator, was sie ankreuzen müssen, oder bitten ihn, die benötigten Accounts und Berechtigungen "irgendwie" anzulegen. Solange also Listen zur Auswahl von benötigten Berechtigungen nicht für alle verständlich sind, bringt auch die Einbindung in ein IdM-System nichts.
Kein Prozess für Vertretungen und Projekte: Für wechselnde Projekte benötigen Mitarbeiter wechselnde Zugriffsberechtigungen. Oft ist dafür kein Prozess vorgesehen. Dann werden meist nur die zusätzlich benötigten Berechtigungen provisorisch eingerichtet, aber die obsoleten nicht gelöscht. So sammeln sich Rechte, unter Umständen entstehen gar kritische Kombinationen. Nur wenn für solche wechselnden Berechtigungen Prozesse im IdM-System angelegt sind, kann das System kritische Rechtekombinationen oder die Weiterführung nicht mehr aktiver Benutzer ausschließen. (hal)

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.