Berechtigungsmanagement als Schlüssel zur inneren IT-Sicherheit – oder: Warum uns die Varonis-Lösung DatAdvantage so gut gefällt

Verfasst am 12. Aug. 2011 von | Kategorie: Desktop Delivery, Sicherheit und Verschlüsselung

IT-Sicherheitsstudien (wie z.B. der vor kurzem vorgestellte Security-Report 2011 von IDC) kommen immer wieder zu dem Ergebnis, dass das größte Risiko für sensible Unternehmensdaten die eigenen Mitarbeiter sind. Mit Vorsatz oder aus Nachlässigkeit geben sie vertrauliche Informationen an Dritte weiter und richten dadurch erheblichen Schaden für das Unternehmen an. Obwohl diese Tatsache vielen IT-Abteilungen bewusst ist, ist das Thema Berechtigungsmanagement in vielen Organisationen heute dennoch unzureichend gelöst. Mitarbeiter haben mehr Zugriffsrechte als sie eigentlich für ihre Arbeit benötigen – und dies teilweise auch noch, wenn sie in eine andere Abteilung gewechselt sind oder das Unternehmen sogar bereits verlassen haben.

Woran erkennt man mangelhaftes Berechtigungsmanagement?

Wenn eine der folgenden Aussagen auf Ihr Unternehmen zutrifft, sollten Sie sich auf jeden Fall Gedanken machen:

  • Niemand kann aus dem Stegreif sagen, auf welche Ordner und Dateien ein bestimmter Mitarbeiter des Unternehmens Zugriff hat.
  • Es lässt sich nicht ohne weiteres nachvollziehen, welche Mitarbeiter zuletzt auf die Dateien eines gemeinsam genutzten Ordners zugegriffen haben.
  • Berechtigungen werde nicht automatisch angepasst, wenn ein Mitarbeiter die Abteilung wechselt oder eine neue Funktion übernimmt.
  • Zugriffsrechte von Praktikanten, Werkstudenten oder Projektmitarbeitern werden nicht sofort nach dem Ende ihrer Tätigkeit gesperrt.

Warum ist das Thema Berechtigungsmanagement so häufig unzureichend gelöst?

Zum einen hat dies oft organisatorische Ursachen: In vielen Fällen sind die Zuständigkeiten und Prozesse zwischen IT-Abteilung, Personalabteilung und Management nicht eindeutig geklärt und die verantwortlichen Personen kommunizieren nicht eng genug miteinander. Zum anderen gab es bis vor kurzem aber auch keine technischen Lösungen, die das Thema ganzheitlich adressierten. Berechtigungsmanagement ist für viele IT-Organisationen heute noch ein mühsamer und fehleranfälliger Prozess mit vielen manuellen Schritten.

Was muss eine technische Lösung für effizientes und durchgängiges Berechtigungsmanagement leisten?

  • Plattformübergreifender Überblick über die interne Berechtigungsstruktur: Administratoren müssen auf einen Blick sehen, welcher Mitarbeiter auf welche Verzeichnisse, E-Mail-Konten und Dokumente Zugriff hat – und ggf. auch, wie diese Rechte gesetzt oder vererbt wurden.
  • Nachvollziehbarkeit des Zugriffs: Der Administrator sollte – beispielsweise im Rahmen von Audits – feststellen können, wer zu einem bestimmten Zeitpunkt auf Dokumente oder Verzeichnisse zugegriffen hat. Wenn sich ein Benutzer ungewöhnlich verhält und zum Beispiel große Datenmengen kopiert, sollte dies dem Administrator angezeigt werden.
  • Plausibilisierung der Zugriffsberechtigungen: Das Systems sollte Warnungen anzeigen, wenn der Verdacht auf eine „Überberechtigung“ bestimmter Benutzer besteht, damit unnötige Zugriffsmöglichkeiten sofort gesperrt werden können.
  • Berechtigungsmodellierung: Idealerweise lassen sich die Auswirkungen von Berechtigungsänderungen zunächst simulieren, bevor den Anwendern die entsprechenden Zugriffsrechte erteilt werden.
  • User-Self-Service: Anwender sollten Berechtigungen selbst beantragen können – zudem sollte es möglichst einfach sein, Business-Verantwortliche in einen Freigabe-Prozess zu integrieren.
  • Zeitbeschränkungen: Berechtigungen für Auszubildende, temporäre Mitarbeiter etc. sollten sich zeitlich begrenzen lassen und nach Ablauf des definierten Zeitraums automatisch selbst aufheben.
  • Mandantenfähigkeit: IT-Verantwortliche sollten verschiedene administrative Ebenen und Zuständigkeiten klar voneinander trennen können.

net2net hat lange nach einem Produkt gesucht, das diese Anforderungen erfüllt und möglichst alle benötigten Funktionen in einer Lösung bündelt. Mit Varonis haben wir jetzt einen Hersteller gefunden, der genau das leistet. Die DatAdvantage-Software von Varonis lässt sich sehr schnell implementieren, aggregiert Benutzer, Daten und Zugriffsrechte aus unterschiedlichsten IT-Ressourcen (unter anderem Windows-Server, UNIX/Linux-Server, Exchange, SharePoint …) und macht die gesamte Berechtigungsstruktur für den Administrator transparent und einfach verwaltbar. Die ersten Praxistests waren so überzeugend, dass wir die Varonis-Technologie zügig in unser Portfolio aufgenommen haben. Insbesondere die intelligente Analyse-Engine von Varonis hat unsere technischen Spezialisten auf Anhieb begeistert – mittlerweile sind bereits vier Mitarbeiter von net2net für DatAdvantage zertifiziert.

Einen ganz guten Überblick über die Funktionsweise von DatAdvantage gibt das folgende (englischsprachige) Video:

Christoph Waschkau

Tags: , , ,

Unser Newsletter informiert Sie über neue Beiträge in unserem Blog.

Ihre E-Mailadresse:

Hinterlassen Sie einen Kommentar!


2 × = zwölf