Zugriffsberechtigungen einfach und effizient managen

Offenbach am Main, 07.02.2013 - Die Kenntnis über Zugriffsberechtigungen auf Unternehmenssysteme ist heutzutage ein wichtiges und heikles Thema. Einerseits aufgrund von aktuellen Berichten über die ungewollte Veröffentlichung von unternehmensinternen Informationen großer Unter-nehmen, andererseits aber auch aufgrund steigender regulatorischer Anforderungen, wird das Thema Access Governance zum Schlüsselfaktor hinsichtlich der Risikomin-imierung innerhalb der Geschäftsabläufe.

Der Bereich Zugriffsrechteverwaltung ist wegen ständig wachsender Strukturen ein besonders flexibles Gebilde:

- Systeme aus in- und ausländischen Filialen werden miteinander verknüpft,

- Mitarbeiter wechseln die Abteilungen,

- oder verlassen das Unternehmen,

- sie arbeiten in unterschiedlichen Teams zusammen,

- oft auch mit Externen, die für bestimmte Projekte Zugang zu Systemen erhalten

- und Auszubildende durchlaufen alle Abteilungen und sammeln so unzählige Berechtigungen, ungeachtet jeglicher Vorschriften.

Schon kleinere Unternehmen haben Schwierigkeiten den Überblick über die Zugriffsberechtigungen zu behalten. Ad-hoc initiierte Analysen und einmalige Aufräumaktionen dieses Berechtigungs-Wildwuchses verschaffen zwar kurzfristig ein besseres Gefühl, aber das eigentliche Problem ist damit nicht beseitigt. Die Offenbacher G+H Netzwerk-Design hat sich dieser brisanten Angelegenheit in Zusammenarbeit mit seinen Kunden angenommen und eine effiziente Lösung entwickelt. Das praxis-nahe System daccord kann Zugriffsberechtigungen einfach aus sämtlichen Systemen einer IT-Landschaft auslesen und transparent darstellen.

Die Kontrolle der Zugriffsberechtigungen geht die gesamte Organisation etwas an

Das Thema Access Governance ist nicht mehr nur eine IT-Angelegenheit, sondern mittlerweile Teil des unternehmensweiten Risikomanagements. Datenverlust geht oft von intern aus, weshalb es im Interesse der Geschäftsführung sein muss, dass Zugriffsberechtigungen regelmäßig überprüft werden. "Viel zu oft fehlt der Überblick, wer eigentlich mit welchen Berechtigungen auf Daten innerhalb der Unternehmenssysteme zugreifen kann", sagt Thomas Gertler, Geschäftsführer der G+H Netzwerk-Design und ergänzt, "dabei werden die IT-Umgebungen immer komplexer und die Datenflut größer." Jedes Unternehmen hat kritische und sensible Daten, deren Zugang geschützt und protokolliert wer-den muss. IT-Compliance ist hier das Schlagwort.

"Sind IT-Systeme compliant, so können Zugriffsberechtigungen durch Reporting und Dokumentation kontinuierlich überprüft", erklärt Jürgen Bähr, ebenfalls Geschäftsführer und verantwortlich für den Vertrieb bei der G+H. "Unternehmen realisieren oft erst zu spät, was in Studien und Fachbeiträgen schon lange erkannt wurde: Hat jemand zu viele Berechtigungen in Unternehmenssystemen kann das schnell zum Verhängnis werden", führt Jürgen Bähr fort. Dennoch werden Sicherheitslücken bei Zu-griffsberechtigungen gerne ignoriert und die Kontrolle darüber auf die lange Bank geschoben.

Zur Überprüfung: Rezertifizierung

Access Governance legt grundsätzlich Wert auf den Status Quo von Berechtigungsstrukturen und den Prozess der Rezertifizierung als Kontrolle. Doch wer ist für die Rezertifizierung von Zugriffsrechten verantwortlich? Fakt ist: Veränderungen, sei es durch Umstrukturierungen, Zukäufe, Globalisierung oder Mitarbeiterfluktuation, fallen andauernd an. "Veränderungen werden am ehesten vom Manager vor Ort mitbekommen. Das ist keine Aufgabe der IT", erläutert Jürgen Bähr und informiert weiter: "Rechtestrukturen müssen regelmäßig überprüft werden, um die größte Sicherheit zu garantieren. Den Rechte-Verantwortlichen in der Fachabteilung zu platzieren, macht deshalb Sinn, da dort das größte Interesse besteht, Klarheit und Kontrolle über ihre genutzten Systeme zu erhalten. Deshalb ist auch der Rechte Manager für die Rezertifizierung zuständig." Mit der IT-gestützten Lösung daccord kann auf externe Dienstleister verzichtet werden, da auf Knopfdruck die Informationen zur Verfügung stehen. Das kommt auch Prüforganen wie der Internen Revision, Auditoren oder der Geschäftsleitung zugute. Neben den Prüfstellen erfordern immer mehr gesetzliche Regelungen, wie Sarbanes-Oxley Act, Bundesdatenschutzgesetz oder ISO 2700x, die Kenntnis über die Vergabe von Zugriffsberechtigungen.

Funktionstrennungen im Überblick

Interessant wird es ebenfalls im Hinblick auf Funktionstrennungen, die ja grundsätzlich nicht verboten sind. Konkret sieht das zum Beispiel so aus: Mitarbeiter mit Zugriffsrechten auf Systeme der Kredito-renbuchhaltung und gleichzeitig auch auf Systeme der Debitorenbuchhaltung, sind ein besonderer Risikofaktor für das Unternehmen. Man stelle sich vor, jemand hat die Berechtigung Rechnungen zu schreiben und gleichzeitig Überweisungen zu tätigen. In einem solchen Fall würde der Mitarbeiter sich selbst Geld überweisen können, ohne dass es besonders auffallen würde. Auch, wenn man seinen Mitarbeitern vertraut: Die Gefahr bleibt. "daccord zeigt solche korrelierenden Berechtigungen auf, alarmiert die Verantwortlichen und kann auch, je nach Wunsch, direkt informieren oder vorher definierte Aktionen auslösen.", erklärt Thomas Gertler, der für den Ausbau und die Entwicklung von daccord hauptverantwortlich ist und die technische Leitung der G+H inne hat. "Manchmal lassen sich Funkti-onstrennungen nicht vermeiden, aber mit daccord erhält man Kontrolle darüber."

Funktionsweise von daccord

"Das Ziel von daccord ist es, langfristig eine Antwort auf die Frage zu geben, wer, welche Zugriffsbe-rechtigungen in den Unternehmenssystemen besitzt. Diese Rechtestrukturen sollen übersichtlich den Verantwortlichen zugänglich gemacht werden", fasst Jürgen Bähr die Funktionsweise von daccord zusammen.

Zu diesem Zweck verbindet sich daccord mit den jeweiligen Zielsystemen und wertet alle User und deren spezifischen Berechtigungen aus. Diese Informationen werden in ein übergreifendes Datenfor-mat überführt und sinnvoll miteinander verknüpft. Mithilfe der mitgelieferten, webbasierten Frontends, sowie vorgefertigten Reports können die Informationen einerseits übersichtlich ausgewertet, anderer-seits aber auch zur sofortigen Benachrichtigung bei Rechteverletzungen verwendet werden.

Das Datenmodell

Ein wichtiger Kernaspekt innerhalb des daccord Systems ist die automatische Zuordnung der Informa-tionen von Usern und ihren Rechten zu einer natürlichen Person. Dazu werden ein oder mehrere Systeme an das daccord System angeschlossen, die Stammdaten der Mitarbeiter enthalten. In vielen Fällen werden dafür die Personalsysteme z.B. SAP HR herangezogen. Die weiteren Benutzer- und Berechtigungsinformationen werden dieser natürlichen Person zugeordnet. "Solche systemübergreifende Informationen fehlen in den meisten Firmen. Es macht aber Sinn jederzeit zu wissen, welche natürliche Person eigentlich hinter einem Useraccount steht", erklärt Jürgen Bähr.

Thomas Gertler fügt hinzu: "Es hat inhaltlich einen ganz anderen Informationsgehalt, wenn man direkt sehen kann, dass der User aus dem System XYZ eigentlich seit 2 Jahren nicht mehr als Mitarbeiter im Personalsystem geführt wurde, aber trotzdem noch Berechtigungen besitzt." Solche Zugänge sollten dann schnellstmöglich geschlossen werden.

Die daccord-Architektur

Die Collector Engine

Mithilfe der Collector Engine als Hauptkomponente von daccord, wird der Kontakt zu den verschiede-nen Systemen hergestellt, um die Informationen über Personen, User, Rechte und Relationen zu iden-tifizieren und in das zentrale daccord-System zu übertragen. Um eine Verbindung mit dem Zielsystem herzustellen, werden die so genannten Connectoren verwendet. Zurzeit stehen folgende Connectoren zur Verfügung:

- Active Directory Connector

- eDirectory Connector

- CSV Connector

- JDBC Connector

- ODBC Connector

- FLT (Fixed Length, Mainframe) Connector

- XML Connector

- Oracle JDBC Connector

- Novell OES Filesystem (NSS) Connector

- NTFS Connector

- Novell Vibe Connector

- Salesforce Connector

- Typo3 Connector

- S2S Connector (System to System)

- SAP Connector

Thomas Gertler erläutert: "Wir wollten keine Lösung, die sich auf nur ein System oder einen Hersteller fokussiert. Um ein ganzheitliches Bild der Rechtestrukturen zu erhalten, haben wir generelle und all-gemeine Connectoren wie den CSV- oder den XML-Connector entwickelt, aber auch systemspezifi-sche für gängige Systeme wie SAP, Salesforce oder Novell Vibe." Wie viele Systeme ein Kunde an daccord anschließt, bleibt ihm überlassen. Aufstocken kann er schließlich jederzeit.

Der Zeitraum, wann daccord die Verbindung zu einem Zielsystem aufnimmt und die Daten daraus importiert, kann flexibel über einen Scheduler eingestellt oder auch manuell initiiert werden.

Die Connector-Konfiguration ist dabei sehr einfach gehalten. Aufgrund dieser Tatsache und weil nur ein lesender Zugriff auf die Zielsysteme nötig ist, können diese sehr leicht und schnell angeschlossen werden. "Mit geringem Aufwand können wir für Kunden auch Einmalanalysen durchzuführen, um ein-fach einen Blick auf die aktuelle Situation in den wichtigsten Systemen zu erhalten", informiert Thomas Gertler.

Sobald die Daten von der daccord-Engine in einen auswertbaren Modus gebracht wurden, wird ein Differenzabgleich zwischen dem Ist-Zustand im angebundenen System und den bereits gespeicherten Daten im daccord-System durchgeführt. Durch diese Vorgehensweise ist es möglich, Veränderungen der Rechtestrukturen in den Systemen festzuhalten, auszuwerten und darauf zu reagieren. "Im Nach-hinein analysieren zu können, welche Rechte beim User zu welchem Zeitpunkt hinzugekommen sind, kann in bestimmten Situationen entscheidend sein", sagt Jürgen Bähr.

Die Notification Engine

Während die Collector Engine die Daten aus den verschiedenen angeschlossenen Systemen in die daccord Datenbank überträgt, führt die Notification Engine eine automatisierte Überwachung der vergebenen Rechte an Personen und deren Benutzerkonten durch. Dazu können innerhalb von so ge-nannten Notifications flexibel Auswertungsregeln hinterlegt werden, wann, wer zu benachrichtigen ist. Falls beispielsweise eine Rechteverletzung vorliegt, benachrichtigt das System die jeweiligen Vorgesetzten (Person Manager) und Rechteverantwortlichen (Rechte Manager) automatisch darüber. Darüber hinaus versendet die Notification Engine auch zeitlich gesteuerte oder manuell gestartete Reports an einen vorher ausgewählten Personenkreis, um die ständige Überprüfung der Zugriffsberechtigungen durchzuführen. In der Benachrichtigung können zusätzliche Informationen, Dokumente oder dynamisch generierte Reports angehängt werden. Auch das Anstoßen von Workflows ist möglich. "Ein Kunde möchte beispielsweise darüber informiert werden, wenn es externe Mitarbeiter gibt, die kein gesetztes Austrittsdatum haben, um rechtzeitig die Zugänge zu schließen", erklärt Jürgen Bähr.

Das User Frontend

Das User Frontend dient der Darstellung von Informationen über Personen, Usern, Rechten und Rela-tionen für jeden Endanwender. Die Benutzer haben Einsicht in folgende Perspektiven:

- Meine User IDs und Berechtigungen: Übersicht aus den Zielsystemen über zugeordnete Be-nutzer und zugewiesene Rechte.

- Berechtigungen, die ich verwalte: Darstellung der zu verantwortenden Rechte in den Zielsys-temen. Der User ist Rechte Manager.

- Mitarbeiter, die ich verwalte: Auflistung von Personen für deren Berechtigungsvergabe der User verantwortlich und somit Person Manager ist.

- Meine Rollen und Berechtigungen: Übersicht der aufgrund der vergebenen Rollen zugehörigen Rechte des Users.

- Meine Anträge: Übersicht der Anträge, die über ein angeschlossenes Antragswesen-System gestellt wurden.

In jeder dieser Perspektiven lassen sich Reports als PDF-File ad-hoc generieren. Außerdem gibt es Filtermöglichkeiten, um Suchanfragen zu spezifizieren.

Das Admin Frontend

Neben dem User Frontend für die Benutzer steht für administrative Tätigkeiten das Admin Frontend zur Verfügung. Alle Komponenten des Systems lassen sich hierüber administrieren. Im Admin Front-end gibt es folgende Perspektiven:

- Engines: Konfiguration der Collector Engine und der Notification Engine. Collectoren und No-tifications können in Gruppen gebündelt, modifiziert, ergänzt, geändert und gelöscht werden. Collectoren und Notifications werden überwacht.

- Frontends: Mehrere Frontends werden unterstützt, die mit unterschiedlichen Parametern kon-figurierbar sind.

- User und Rollen: Interne Benutzer mit administrativen Berechtigungen werden angelegt. Im Feld Rollen werden die Rollen der internen daccord-User verwaltet.

- daccord-Daten: Suchen und Filtern nach Persons, User und Rights sind möglich. Die Suche dient der Kontrolle des Datenbestandes. Person-Reports und Rechte-Reports können gene-riert werden. Funktion des Person Managers, des Rechte Managers und der Vertretungen können manuell zugewiesen und/oder wieder entfernt werden. Eingelesene Rechte werden den Rollen zugewiesen. Personen werden direkt oder indirekt mit den Rollen verknüpft.

Role Based Access Control (RBAC)

Die vergebenen Berechtigungen sind teilweise sehr technisch und können nur dann sinnvoll bewertet werden, wenn Sie in einen businessorientierten Kontext gebracht werden. Beispielsweise benötigt jeder Mitarbeiter der Finanzbuchhaltung bestimmte Rechte, die für sein Aufgabengebiet relevant sind. Innerhalb von daccord können vergebene Berechtigungen über Rollen businessorientiert zusammen-gefasst werden. Durch die Zuweisung des entstandenen Rollenmodells zu den jeweiligen Personen kann mithilfe von daccord auf einem Blick analysiert werden, welche Benutzerkonten und Rechte der Person eventuell fehlen. Andererseits wird dabei ebenfalls schnell deutlich, wer zu viele Berechtigun-gen besitzt. Den meisten Unternehmen fehlt ein zugrunde liegendes Rollenkonzept aber noch. dac-cord kann helfen ein rollenbasiertes Berechtigungskonzept einzuführen, das dann wie eine Bewer-tungsschablone über die aktuell vergebenen Benutzerkonten- und Berechtigungen gelegt werden kann.

Als zusätzliche Option ergänzt Thomas Gertler: "Für einige unserer Kunden haben wir deren vorhan-denes elektronisches Antragswesen in das daccord-System integriert, so dass möglich ist, nicht nur die Benutzerkonten und Berechtigungen einzusehen, sondern auch aufgrund welcher Genehmigungen diese entstanden sind. Somit erhält der Kunde mit daccord einen umfassenden Blick über den kompletten Lebenszyklus der Anwender und deren Berechtigungen."

Langfristige Transparenz der unternehmensweiten Rechtestrukturen

Hat jemand zu viele oder auch zu wenige Berechtigungen in den Systemen, so wird das mithilfe von daccord auffallen. "Unsere Kunden sind begeistert und wir sind stolz auf unser Produkt daccord", sagt Jürgen Bähr. Die G+H betrachtet die Zukunft von daccord sehr optimistisch. "Wir sehen großes Potential, da das Thema Zugriffsberechtigungen bisher zu wenig von den Unternehmen angegangen wurde. Gerade Überberechtigungen lassen Sicherheitslücken entstehen, die teuer werden können. Der Return on Investment wird innerhalb kürzester Zeit durch Lizenzeinsparungen, Automatisierung der Berechtigungskontrolle und Kostenreduktion in der Informationsbereitstellung für Revisoren und Prüfer erzielt - abgewandtem Imageschaden durch öffentlich gewordene Vorfälle nicht eingerechnet."

• Über G+H Netzwerk Design Gesellschaft für IT Consulting mbH
• Weitere Meldungen
• Diesen Pressetext kommentieren
• Pressemitteilung veraltet?