Im Fokus: Die Rezertifizierung von Zugriffsrechten 

Ein wichtiger Baustein von IT-Sicherheit und gleichzeitig gesetzliche Vorgabe ist die Administration von Zugriffsrechten. Eine sog. Rezertifizierung oder ein Audit von Berechtigungen stellt hierbei einen proaktiven Ansatz dar, mit welchem sichergestellt wird, dass Zugangsrechte den aktuellen internen wie externen Erfordernissen gerecht werden und ausschließlich autorisierte Personen Zugang zu kritischen Systemen und Daten erhalten.  

Denn nicht wenige Gefahren lauern durch sog. Insider-Bedrohungen, die von autorisierten Nutzern, wie etwa Mitarbeitern, Auftragnehmern oder Geschäftspartnern (unbeabsichtigt) zu einem ernsten Problem werden können. Der Insider Threat Report 2023 ergab, dass im Jahr 2023 mehr als die Hälfte der befragten Unternehmen eine solche Insider-Bedrohung erlebt haben. 

Über den Tellerrand: Was ist der Insider Threat Report? 

Der Insider Threat Report 2023 ist eine Umfrage unter über 326 Cybersicherheitsexperten, die die neuesten Trends und Herausforderungen offenlegt, denen Organisationen in dieser sich verändernden Umgebung gegenüberstehen. Der Bericht untersucht ihre kritischen Daten und IT-Infrastrukturen. Er zeigt, dass 74% der Organisationen zumindest moderat anfällig für Insider-Bedrohungen sind und dass diese häufiger und schwerer zu erkennen werden¹ ² ³. Der Bericht enthält auch Beispiele für Insider-Angriffe und Lecks, die durch Nutzernachlässigkeit oder böswillige Absichten verursacht wurden, sowie Empfehlungen für die Prävention und Minderung von Insider-Risiken. 

Als eine Möglichkeit, um sich vor Insider-Bedrohungen zu schützen, spielen regelmäßige Rezertifizierungsprozesse von Zugriffsrechten bzw. Benutzerberechtigungen eine wichtige Rolle im Mosaik der IT-Sicherheit.  

Doch, was verbirgt sich hinter der Rezertifizierung von Zugriffsrechten? 

Die Rezertifizierung von Zugriffsrechten – oder wie wir es auch nennen: Audit –  ist als Bestandteil des Berechtigungsmanagements (Identity and Access Management – IAM) ein Prozess, bei dem Organisationen die Berechtigungen ihrer Mitarbeiter für bestimmte IT-Ressourcen und Systeme überprüfen und bestätigen. Diese Überprüfung ist wichtig, um sicherzustellen, dass die Mitarbeiter nur auf diejenigen Ressourcen zugreifen können, die für ihre aktuellen Aufgaben und Verantwortlichkeiten relevant sind. Das primäre Ziel besteht darin zu entscheiden, ob Zugriffsrechte immer noch berechtigt sind oder ob Änderungen erforderlich sind.    

Und was sollte rezertifiziert werden? 

Es gibt wesentliche Bereiche, welche im Rezertifizierungsprozess berücksichtigt werden sollten. Dazu zählen: 

1. Benutzerberechtigungen: Die IT-Verantwortlichen überprüfen die vorhandenen Zugriffsrechte für jeden Benutzer in Bezug auf Dateien, Verzeichnisse, Netzwerke, Anwendungen und andere digitale Ressourcen.
2. Rollen- und Gruppenmitgliedschaften: Eine Überprüfung von Zugehörigkeiten zu Rollen sowie Gruppen stellt sicher, dass Benutzer Zugriff basierend auf ihren gegenwärtigen Aufgaben erhalten.
3. System- und Anwendungszugriffsrechte: Es wird kontrolliert, ob Berechtigungen auf System- sowie Anwendungsebene vorliegen und ob diese (noch) erforderlich sind. 
4. Freigaben und Delegierungen: Delegierte Rechte und Freigaben müssen geprüft werden, um sicherzustellen, dass sie notwendig sind und zudem den Unternehmensrichtlinien entsprechen.
5. Admin – Berechtigungen: privilegierte Zugriffsrechte benötigen eine besondere Aufmerksamkeit und sollten streng kontrolliert und nur an ausgewählte, berechtigte Nutzer erteilt werden.
6. Externe Zugriffsrechte: Die Berechtigungen für externe Nutzer wie Lieferanten, Partner und Kunden bedingen einer regelmäßigen Kontrolle, um zu garantieren, dass der Zugriff auf das Nötigste begrenzt bleibt.
7. Verwaiste Konten: Nicht mehr genutzte Konten, welche keinen gegenwärtigen Besitzer haben, stellen ein Sicherheitsrisiko dar und sollten identifiziert sowie deaktiviert werden. 

Für Sie: Hilfe zur Selbsthilfe. 

Die erfolgreiche Durchführung einer Rezertifizierung von Berechtigungen benötigt ein wenig Vorbereitung, bei der wir Ihnen als Grothe IT Service auch gerne beratend oder ausführend zur Seite stehen.

 

1. Planung und Vorbereitung
   1. Identifizierung der Verantwortlichen: zunächst müssen Unternehmen festlegen, wer die Verantwortung für die Rezertifizierung von Berechtigungen übernimmt.
   2. Festlegung des Rezertifizierungsgegenstands: Definition der Systeme, Rechte, Benutzergruppen, Abteilungen, Anwendungen etc.
2. Technologie-Einsatz:
   1. Automatisierung: Organisationen sollten automatisierte Rezertifizierungs-lösungen in Betracht ziehen, um den Prozess zu vereinfachen und zu beschleunigen. 
   2. Regelbasierte Rezertifizierung: Zudem sollten sie regelbasierte Prozesse implementieren, um die Rezertifizierung von Berechtigungen zu vereinheitlichen und zu strukturieren.
3. Durchführung der Rezertifizierung:
   1. Regelmäßige Überprüfung: periodische, regelmäßige Kontrolle von Benutzerberechtigungen.
   2. Dokumentation: Dokumentation des Rezertifizierungsprozesses, einschließlich aller Änderungen, Löschungen oder auch Ergänzungen.
4. Kommunikation und Schulung: Sensibilisierung und Schulung: Mitarbeiter müssen geschult sowie für die Bedeutung der Rezertifizierung wie auch die Auswirkungen auf IT-Sicherheit und Compliance sensibilisiert werden. 
5. Analyse und Verbesserung: Auswertung: Firmen sollten die Resultate der Rezertifizierung auswerten, um Verbesserungspotenziale zu identifizieren und die Effizienz des Prozesses zu maximieren.
6. Compliance und Berichterstattung: Compliance-Überwachung: Firmen müssen sicherstellen, dass die Compliance-Vorgaben eingehalten werden und jeweilige Berichte für interne und externe Prüfungen vorbereiten. 

Auf einen Blick: Wie ein Audit von Zugriffsrechten Ihre IT-Sicherheit stärken kann.  

Ein Audit bzw. die sog. Rezertifizierung von Zugriffsrechten kann zur Reduktion von Risiken im Zusammenhang von Insider-Bedrohungen beitragen und fördert die konsistente Einhaltung von Compliance-Richtlinien. Darüber hinaus erhöht ein solches Audit die Transparenz, was die Verwaltung  der Zugriffsrechte betrifft.  

Kümmern auch Sie sich. Oder lassen Sie kümmern – gerne von uns. Kontaktieren Sie uns gerne jederzeit zu diesem oder ähnlichen Themen. Wir freuen uns. 

 

 

Quelle Insider Threat:  

(1) Insider Threat Statistics for 2023: Reports, Facts, Actors, and Costs. https://securityboulevard.com/2023/04/insider-threat-statistics-for-2023-reports-facts-actors-and-costs/. 

(2) 2023 Insider Threat Report | Cyentia Cybersecurity Research Library. https://library.cyentia.com/report/report_014103.html. 

(3) 2023 Insider Threat Report | ISTARI. https://istari-global.com/insights/spotlight/2023-insider-threat-report/.