Daten­si­cher­heit ist heut­zu­ta­ge eines der zen­tra­len The­men eines jeden Unter­neh­mens. Dabei wird sich in ers­ter Linie auf die Sicher­heit der Daten gegen­über Außen­ste­hen­den fokus­siert. Genau­so wich­tig ist jedoch die Über-prü­fung inter­ner Zugriffs­be­rech­ti­gun­gen, um Daten­miss­brauch vor­zu­beu­gen – sei es ver­se­hent­lich, durch Unkennt­nis oder beabsichtigt.

Feh­len­der Über­blick über gesetz­te Zugriffsberechtigungen

Das The­ma Berech­ti­gungs­ma­nage­ment ist von ent­schei­den­der Bedeu­tung in Zusam­men­hang mit der IT-Sicher­heit eines Unter­neh­mens. Es ist jedoch oft­mals schwie­rig einen voll­stän­di­gen Über­blick zu bekom­men, über wel­che Frei­ga­ben ein­zel­ne Benut­zer bzw. bestimm­te Per­so­nen­krei­se verfügen.

Der Grund dafür ist, dass Zugriffs­rech­te vom Wesen her fle­xi­bel sind. Mit­ar­bei­ter wech­seln die Abtei­lung oder arbei­ten befris­tet an unter­schied­li­chen Pro­jek­ten. Gele­gent­lich erhal­ten auch exter­ne Per­so­nen Zugriffs-berech­ti­gun­gen für aus­ge­wähl­te Pro­jek­te. Dazu kom­men Umstruk­tu­rie­run­gen oder Zukäu­fe sowie Mit­ar­bei­ter­fluk­tua­ti­on, die einen stän­di­gen Wan­del der Rech­te inner­halb der IT-Land­schaft her­vor­ru­fen.
Beson­ders Aus­zu­bil­den­de sam­meln häu­fig eine Viel­zahl ver­schie­de­ner Berech­ti­gun­gen wäh­rend ihrer Lehr­zeit, wel­che sie nach Abtei­lungs­wech­sel nicht mehr benö­ti­gen und daher auch nicht mehr besit­zen dürften.

Mit zu vie­len Berech­ti­gun­gen steigt das Risi­ko in der IT stark an, da sen­si­ble (auch per­so­nen­be­zo­ge­ne) Infor­ma­tio­nen durch fal­sche oder schlecht gesetz­te Zugriffs­rech­te eine gro­ße Gefahr darstellen.

Enor­mes Scha­dens­po­ten­ti­al durch falsch gesetz­te Zugriffsberechtigungen

Win­dows Ser­ver mit einem Acti­ve Direc­to­ry sind in der Regel das Stan­dard Abla­ge­sys­tem für Datei­en. Ohne geeig­ne­te Zugriffs­be­schrän­kun­gen ist es mög­lich, auf die Datei­en (Daten) ande­rer Benut­zer zuzu­grei­fen. Den jewei­li­gen Besit­zern ist das mit­un­ter gar nicht bewusst. Im schlimms­ten Fall zieht dadurch Daten­dieb­stahl einen enor­men wirt­schaft­li­chen Scha­den nach sich und bedroht damit nicht sel­ten die Exis­tenz eines Unternehmens.

Eben­falls gilt es zu berück­sich­ti­gen, dass es immer mehr gesetz­li­che Vor­schrif­ten zu beach­ten gibt, bei deren Nicht­ein­hal­tung Vor­stän­de und Geschäfts­füh­rer per­sön­lich haf­ten. Zu nen­nen sind hier etwa das Bun­des-daten­schutz­ge­setz, der BSI Grund­schutz und die ISO 27001 Zertifizierung.

Die­se Bei­spie­le ver­deut­li­chen, wie wich­tig es ist, die Berech­ti­gun­gen aller Mit­ar­bei­ter regel­mä­ßig zu ana­ly­sie­ren und – sobald erfor­der­lich – zu korrigieren.

Berech­ti­gungs­ana­ly­se als Grund­la­ge der Datensicherheit

Um zu jeder Zeit einen voll­stän­di­gen Über­blick über die Zugriffs­be­rech­ti­gun­gen zu erhal­ten, ist eine Berech­ti­gungs-ana­ly­se not­wen­dig. Dabei wird die gesam­te Berech­ti­gungs­struk­tur inner­halb eines Unter­neh­mens doku­men­tiert. Ent­schei­dend dabei ist zu überprüfen:

  •  Wor­auf haben die ein­zel­nen Mit­ar­bei­ter Zugriff?
  • Wie kom­men die Berech­ti­gun­gen der Mit­ar­bei­ter zustande?
  • Wie setz­ten sich die Berech­ti­gun­gen für einen Benut­zer zusammen?

Dabei gilt es eine Viel­zahl unter­schied­li­cher Berech­ti­gungs­ty­pen gleich­zei­tig im Auge zu behal­ten.
Dazu gehö­ren u.a.:

  • Win­dows-Berech­ti­gun­gen
  • Netz­werk-Berech­ti­gun­gen
  • Post­fach-Berech­ti­gun­gen
  • NTFS-Berech­ti­gun­gen
  • Share­Point-Berech­ti­gun­gen

Um die­sen enorm auf­wen­di­gen Pro­zess zu ver­ein­fa­chen, hat Docus­nap eine auto­ma­ti­sier­te Berech­ti­gungs­ana­ly­se ent­wi­ckelt, die bei der Ana­ly­se und regel­mä­ßi­gen Über­prü­fung der erteil­ten Zugriffs­rech­te unterstützt.

 Docus­nap auto­ma­ti­siert die Berechtigungsanalyse

Grund­la­ge für den Ein­satz der auto­ma­ti­sier­ten Berech­ti­gungs­ana­ly­se ist eine vor­ab erfolg­te IT-Inven­ta­ri­sie­rung des Netz­werks, kon­kret die Spei­che­rung der dabei erfass­ten Daten. Die Berech­ti­gungs­ana­ly­se greift anschlie­ßend auf die­se Daten zu und stellt die erfor­der­li­chen Aus­wer­tun­gen in einer über­sicht­li­chen Ansicht dar. Die Ana­ly­se umfasst dabei die Berei­che Win­dows Datei­sys­tem, Micro­soft Exchan­ge und Micro­soft SharePoint.

Docus­nap bie­tet somit die Mög­lich­keit, effek­ti­ve Zugriffs­be­rech­ti­gun­gen sowohl für Benut­zer als auch spe­zi­fi­sche Grup­pen zu ermit­teln und zu ana­ly­sie­ren. Es gibt diver­se Berich­te, wel­che die aktu­el­le Berech­ti­gungs­si­tua­ti­on inner­halb des Unter­neh­mens dar­stel­len. Bei­spiels­wei­se spie­len bei Netz­werk-Berech­ti­gun­gen Grup­pen und deren Ver­schach­te­lung eine gro­ße Rol­le. Docus­nap visua­li­siert die­se Ver­schach­te­lun­gen und ermög­licht dar­über hin­aus den Export nach Micro­soft Visio. Im Fal­le einer falsch ver­ge­be­nen Berech­ti­gung visua­li­siert Docus­nap die Berech­ti­gungs­her­kunft, sodass der Feh­ler unver­züg­lich berich­tigt wer­den kann.

Dar­über hin­aus kann die Ana­ly­se zeit­lich geplant und damit noch wei­ter auto­ma­ti­siert wer­den. Eben­falls ist es mög­lich, die Berich­te sofort nach Erstel­lung per Email an belie­bi­ge Emp­fän­ger zu sen­den. Somit kön­nen die Zugriffs­rech­te inner­halb eines Unter­neh­mens lücken­los abge­bil­det wer­den, indem den jewei­li­gen Ver­ant­wort­li­chen voll­au­to­ma­tisch Benut­zer- und Ord­ner­be­rich­te der Berech­ti­gungs­ana­ly­se zuge­sen­det bekom­men. Docus­nap unter­stützt somit beim Berech­ti­gungs­ma­nage­ment und sichert einen unter­neh­mens­wei­ten Über­blick über die gesetz­ten Zugriffs­be­rech­ti­gun­gen – damit das Unter­neh­men vor Daten­miss­brauch geschützt ist.

Bei indi­vi­du­el­len Fra­gen rund um das The­ma Berech­ti­gungs­ana­ly­se unter­stüt­zen wir Sie ger­ne.
Kon­tak­tie­ren Sie uns dafür hier.

Wei­ter­füh­ren­de Infor­ma­tio­nen zum The­ma Iden­ti­täts- und Berech­ti­gungs­ma­nage­ment sowie all­ge­mein zum IT-Grund­schutz fin­den Sie auf der Web­site des BSI.