Identity Management und Sicherheit: Lückenhafte Benutzerverwaltung ist ein Sicherheitsrisiko Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


01.05.2011 Klaus Scherrbacher*

Identity Management und Sicherheit: Lückenhafte Benutzerverwaltung ist ein Sicherheitsrisiko

Viele Unternehmen setzen bereits eine automatisierte Benutzerverwaltung ein. Allerdings sind diese Identity-Management-Systeme (IdM) oft nur unzureichend in die Firmenstruktur integriert, was zu fatalen Sicherheitsproblemen mit weitreichenden negativen Folgen führen kann.

Etwa 33 Prozent der Unternehmen verfügen derzeit über ein System zum Identity-Management (IdM). Dies ergab die Anwenderstudie "Identity Management - Security & Compliance" des Beratungshauses Deron. Mit der automatisierten Benutzerverwaltung muss der Administrator nicht mehr jeden Mitarbeiter für E-Mails, Datenbanken, CRM, Data Warehouse und andere Anwendungen jeweils einzeln anlegen. Vielmehr genügt das einmalige Anlegen des Benutzers, der Rest läuft automatisch im Hintergrund ab.

Mit einem modernen IdM-System braucht der Administrator im Idealfall gar keinen Benutzer mehr anzulegen, weil die Berechtigungsvergabe schon von der Personalstelle durch das Anlegen der Personaldaten angestoßen werden kann. Wird der Mitarbeiter dann befördert oder scheidet er aus, so genügt wiederum die Änderung, welche die Personalstelle ohnehin in ihren Daten vornimmt, um alle angeschlossenen Applikationen automatisiert folgen zu lassen. So erhält der Mitarbeiter bereits von derjenigen Stelle, die immer am schnellsten und besten über organisatorische Veränderungen informiert ist, über hinterlegte Regeln sofort sämtliche Berechtigungen maßgeschneidert zugewiesen und, was mindestens genauso wichtig ist, auch wieder entzogen.

Doch unabhängig davon, ob die Personalstelle ins IdM eingebunden ist oder nicht: Laut Studie sind in der Praxis nur zwölf Prozent der Systeme absolut lückenlos angelegt. 38 Prozent der Unternehmen mit IdM legen eigenen Angaben zufolge immer wieder Accounts und Berechtigungen provisorisch außerhalb der Prozesse an. Wer wissen möchte, ob das in seinem Unternehmen auch so ist, sollte einmal darauf achten, wie Einzelnen der Zugriff auf Projektdaten oder als Urlaubsvertretung ermöglicht und wie Accounts und Berechtigungen von Partnern, Kunden und Lieferanten eingerichtet werden. Meist sind es diese Bereiche, die beim IdM zunächst ausgespart werden, sodass keine Prozesse definiert sind. Braucht man sie dann aber, improvisiert die IT und legt Accounts und Berechtigungen "vorerst" außerhalb der Richtlinien und des IdM-Systems an.

PROVISORIEN AUSSERHALB DER RICHTLINIEN So kommt es, dass das System diese Accounts und Berechtigungen nicht erkennt und sie deshalb bei Checks, zum Beispiel auf falsch eingestufte Benutzer oder kritische Rechtekombinationen, auch nicht definieren kann. Es findet und meldet dann zwar eine Abweichung, kann aber nicht angeben, wo sich diese genau befindet. Vom Prüfer zu verlangen, hier nachzuforschen, hieße, die Stecknadel im Heuhaufen zu suchen.

Folglich kann der IT-Leiter die Existenz von Lücken in Accounts und Berechtigungen für Urlaubsvertretungen, Projekte, Partner und Kunden nicht ausschließen. So räumen 54 Prozent aller Unternehmen trotz IdM ein, dass sie weder kritische Rechtekombinationen noch falsch eingestufte Benutzer sicher verhindern können. Und das, obwohl dies schwerwiegende Probleme sind. Schließlich stellen falsch eingestufte Benutzer ein gefundenes Fressen für Datendiebe dar, und kritische Rechtekombinationen führen unter Umständen dazu, dass der Besteller seine eigene Großbestellung genehmigen kann.

Führungskräfte gehen aber davon aus, dass ihre IT nicht improvisiert, sondern bisher ausgesparte IT-Geschäftsprozesse definiert und anlegt, sobald dies notwendig wird. Offensichtlich unterschätzen sie die Forderung, die sie damit stellen. Immerhin sehen 74 Prozent der Unternehmen die Definition der Prozesse als größte Herausforderung eines IdM-Projekts an. Trotzdem müssen Mitarbeiter der IT diese Aufgabe immer wieder im Alltagsgeschäft nebenbei erledigen.

EINE KRITISCHE RECHTEKOMBINATION Ein Beispiel macht deutlich, was das im Einzelnen bedeutet: Zunächst erscheint es leicht, festzulegen, welche unterschiedlichen Berechtigungs-Sets Studenten, Mitarbeiter und Dozenten einer Universität bekommen sollten. Sobald aber Studenten einen Aushilfs-Job haben, für den sie auch Rechte eines Mitarbeiters brauchen, wird es schon komplizierter. Wenn diese Studenten gar als Doktoranden an der Hochschule lehren, benötigen sie auch Dozentenrechte. Hat ein Student aber sowohl Studenten- als auch Mitarbeiter- und Dozentenrechte, besteht die Gefahr, dass er in der Dozentenrolle, in der er andere Studenten zu bewerten hat, auch sich selbst eine Note ausstellt und diese dann in der Mitarbeiterrolle in seine Studentenakte einträgt.

Diese Gefahr auszuschließen und den Prozess lückenlos zu definieren erfordert langes, mit viel Erfahrung und Weitblick verbundenes Feilen. Das kann keiner allein und neben seinem Alltagsgeschäft erledigen. Trotzdem wird Vergleichbares oft erwartet. Führungskräfte verlassen sich dabei auf die Wirkung der Policies, welche die IT verpflichten, kritische Rechtekombinationen zu eliminieren. Sie übersehen, dass Policies die Frage, welche einzelnen Rechte nicht miteinander kombiniert werden dürfen, nicht beantworten.

DIE PROZESSE SIND NICHT AUSGEREIFT Aber nicht nur bei fehlenden Prozessen missachten Administratoren notgedrungen die Richtlinien. Auch definierte Prozesse werden umgangen, nämlich dann, wenn sie nicht ausgereift sind. So haben viele Unternehmen eine IT-gestützte Kommunikation zwischen IT und fachlich Vorgesetzten eingerichtet, damit der IT einfach, schnell und nachvollziehbar mitgeteilt werden kann, welche Zugriffsrechte benötigt werden. Nicht selten haben dann Betriebswirte, Verkäufer oder Juristen, also Mitarbeiter mit durchschnittlichen IT-Kenntnissen, in schier endlosen Web-Katalogen Hunderte von Checkboxen abzuarbeiten, die sie höchstens zum Teil verstehen.

Die Folge: Entweder sie kreuzen alles an, damit die benötigten Berechtigungen auch sicher dabei sind, oder sie rufen den Administrator an und fragen, was sie ankreuzen müssen beziehungsweise ob er auch ohne das Web-Formular die benötigten Accounts und Berechtigungen anlegen kann. Damit hat sich der Nutzen des Web-Katalogs in Luft aufgelöst. Denn die digitale Abbildung eines Prozesses allein bringt wenig. Prozesse können erst dann gewinnbringend abgebildet werden und für die nötige Sicherheit sorgen, wenn auch wirklich alle Beteiligten mit ihnen umgehen können.

AN DEN PRODUKTEN LIEGT ES NICHT Unternehmen kämpfen heutzutage also mehr mit der Definition ihrer eigenen Prozesse als mit den Schwächen der IdM-Produkte. Kein Wunder, haben sich doch die Produkte in den letzten Jahren stark entwickelt: Wo sich früher jedes rudimentäre Meta-Directory IdM nannte, stehen heute gereifte Lösungen mit Workflows, Meta-Directory und Business-Role-Management zur Verfügung. Auch musste man sich früher mit Reports der aktuellen Berechtigungen zufriedengeben und Abweichungen zum Soll-Zustand selbst heraussuchen. Heute darf man dagegen ein Audit von seinem IdM-Produkt erwarten, das die Abweichungen zwischen Soll- und Ist-Zustand gezielt aufzeigt.

Aber trotz dieser Stärken sind Unternehmen mit ihren IdM-Produkten noch nicht wunschlos glücklich. Denn die vielen Funktionen eines IdM sind nicht integriert, und so müssen einzelne Module selbst verbunden, einzeln administriert und teilweise auch separat gekauft werden. Eine einheitliche Administrations- und Entwicklungsoberfläche für alle Funktionen des IdM wie Rollen, Audit, Workflow und Meta-Directory wäre eine echte Arbeitserleichterung.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema


Hosted by:    Security Monitoring by: