Compliance in Unternehmen

Was bringt softwaregestütztes Identity & Access Management?

Wer besitzt welche Zugriffsrechte? Wann und von wem wurden bestimmte Daten aufgerufen? Wer hat ein Benutzerkonto überhaupt angelegt? Ein softwaregestütztes Identity & Access Management ermöglicht fundierte Antworten.

Der Siegeszug mobiler Devices und die Verlagerung von Anwendungen in die Cloud ändern kaum etwas daran: Nach aktuellen Zahlen des Statistischen Bundesamtes setzen noch immer knapp 90 Prozent der Unternehmen hierzulande auf Betriebssysteme von Microsoft. Und fast jede dieser Firmen muss die Berechtigungen für Zugriffe auf ihre IT-Infrastruktur regeln - etwa durch Einstellungen im Active Directory.

Hierbei zeigen die Erfahrungen, dass heterogene Anwendungslandschaften mit ihren vielfältigen Optionen sehr komplexe (Berechtigungs-)Strukturen erzeugen - auch bei KMU. Gleichzeitig steigt die Sensibilität für Datenschutz und Datensicherheit stetig an, wie Studien von PwC oder TNS Infratest zeigen. Viele IT-Leiter kennen daher die Frage der Geschäftsleitung: "Wer kann eigentlich auf unsere Daten zugreifen?" Ein aussagekräftiges und belastbares Reporting sowie Berechtigungen auszulesen, fällt vielen IT-Abteilungen jedoch schwer.

IT unter Kontrolle - aber wie?

Dabei werden immer mehr Unternehmen in immer kürzeren Zeitabständen mit Audits konfrontiert und die IT-Verantwortlichen müssen stets demonstrieren, dass sie Ihre IT vollständig unter Kontrolle haben. So gilt es beispielsweise nachzuweisen, dass sie zu jeder Zeit wissen, welche Personen welche Berechtigungen auf welche Ressourcen im Netzwerk besitzen, wann Berechtigungen vergeben wurden und wem dies im Rahmen von Reportings bekannt gegeben wurde. Wer etwa hat das Passwort von Kollege X wann und warum zurückgesetzt?

Solche Anforderungen enthalten zudem fast immer Vorgaben zur Komplexität von Passwörtern. Starke Passwörter mit Windows-Bordmitteln umzusetzen, bedeutet jedoch, die Komplexität im Active Directory zu erhöhen. Ergebnis sind umfangreiche Konsequenzen für die Endnutzer und zudem sind die Passwortregeln in vielen Bereichen unzureichend. Die Folge: Allein die Praktikabilität im Arbeitsalltag verhindert es häufig, die eigentlich gebotenen Regeln umzusetzen und ein regelkonformes Verhalten lückenlos nachzuweisen.

NTFS-Berechtigungen definieren

Berechtigungsreports für einen User.
Berechtigungsreports für einen User.
Foto: Tools4ever

Besonders schwer fällt es vielen IT-Verantwortlichen, die NTFS-Berechtigungen auszulesen. Kein Wunder, denn das Betriebssystem selbst bietet hier keine praktikablen Tools - überhaupt lässt sich ein belastbares und nutzerfreundliches Identity & Access Management (IAM) mit Windows-Bordmitteln kaum realisieren. Insbesondere ab 50 oder 100 Beschäftigten werden die Berechtigungsstrukturen schnell unüberschaubar.

Daher ist es oft sinnvoll, hier auf eine dedizierte Software zu setzen, die ein umfassendes NTFS-Reporting ermöglicht. So lassen sich beispielsweise ausführliche Darstellungen über die bestehenden Berechtigungen für die Nutzer im Netzwerk oder für ein Verzeichnis generieren.

Berechtigungsreports für ein Verzeichnis.
Berechtigungsreports für ein Verzeichnis.
Foto: Tools4ever

Einen Einblick, wie IT-Reports aussehen können, zeigt die UMRA-Lösung (User Management Resources Administrator). Sie zeigen etwa, auf welche Verzeichnisse ein Nutzer zugreifen darf, welche Rechte er dort besitzt und in welchen Gruppen er Mitglied ist. Auf Verzeichnisebene lässt sich beispielsweise inklusive aller Unterverzeichnisse ersehen, welche Nutzer oder Nutzergruppen zugreifen dürfen und welche Arten von Berechtigungen bestehen.

Damit erhalten die Verantwortlichen eine Unterstützung beim Befolgen der relevanten Sicherheitsrichtlinien sowie der Gesetz- und Regelgebung etwa auf dem Gebiet von KonTraG, BDSG und anderen. Es lassen sich unterschiedliche Möglichkeiten darstellen, wie NTFS Berechtigungen auslesen, Management- oder Audit-Reportings erstellen.

Compliance-konforme Managementdokumentationen erstellen

Compliance beschränkt sich bei den meisten Unternehmen nicht nur darauf, die Regeln zu befolgen, gefordert sind zudem ausführliche und verständliche Berichte ans Management. Im Bereich der Berechtigungen und Zugriffe müssen diese neben dem aktuellen Status oftmals auch die Historie umfassen. Also was wurde wann und von wem beantragt, genehmigt und geändert? Eine nachvollziehbare Managementdokumentation sollte daher unterschiedlichste Bereiche umfassen, wie zum Beispiel:

• Eine Übersicht der Anfragen und Änderungen insgesamt im Zeitabschnitt x

• Eine Übersicht der Gruppenzugehörigkeiten (auch pro User)

• Eine Übersicht der NTFS-Berechtigungen (auch pro User)

• Eine Übersicht der Konten die sich länger als 30 Tage nicht angemeldet haben

• Eine Übersicht der deaktivierten- oder gesperrten Konten

So sieht eine Compliance-konforme Managementdokumentation aus.
So sieht eine Compliance-konforme Managementdokumentation aus.
Foto: Tools4ever

Mit Hilfe einer IAM-Software lassen sich derartige Dokumentationen auf Knopfdruck erstellen. Es ist also kein langwieriges Zusammenstellen aus unterschiedlichen Quellen mehr nötig und es ist gewährleistet, dass die Angaben vollständig und korrekt sind.

Identity & Access Management einführen

Wo Unternehmen kein IAM nutzen, bestehen meist Bedenken im Hinblick auf (Lizenz-)Kosten und Aufwand. Doch ist kein Komplettumbau bestehender Systeme nötig, es kann sogar fast alles so bleiben, wie es ist. Die im Markt befindlichen Lösungen werden auf bestehende Strukturen aufgesetzt und mittels Schnittstellen sorgen sie dafür, dass Vergabe, Verwaltung und auch Reporting der Benutzerrechte über eine zentrale Steuereinheit möglich sind. Dieses Prinzip ermöglicht es zudem, ein IAM schrittweise einzuführen. Folgender Ablauf ist denkbar:

1. Active Directory, Exchange und Homeverzeichnisse

2. NTFS Berechtigungen auslesen, Reporting, Audit und Compliance

3. Personalsystem als Datenquelle

4. Workflow Management und Self Service

5. Systemintegration

6. Delegierte (NTFS) Berechtigungsverwaltung

7. Role Based Access Control (RBAC)

Zuerst werden also beispielsweise nur Active Directory und Filesystem angebunden und danach je nach Vorgaben Mailsoftware, ERP oder HR-Software. Mit jedem Schritt ergeben sich umfassendere Funktionen. So lassen sich neue Mitarbeiter oder Abteilungswechsel beispielsweise durch Anbindung der Personalsoftware automatisch mit den korrekten Basisberechtigungen versehen.

Je nach IAM sind Schnittstellen zu fast allen denkbaren Bereichen der IT-Infrastruktur möglich, um damit die physische und logische Zugriffskontrolle durchzuführen. Beispiele anbindbarer Bereiche sind Access&Security, Directory, ERP, Helpdesk, CMS, e-Learning, Facility Management, Telekommunikation, Betriebssysteme, DMS, Mail, Cloud oder Library.

Ist eine geeignete IAM-Lösung in einem Unternehmen installiert, entlastet diese nicht nur den IT-Verantwortlichen von lästigen administrativen Aufgaben, sondern gibt ihm die Kontrolle über die jeweiligen Bereiche zurück. (hal)