Sie sind hier: Home » Markt » Hinweise & Tipps

Prozess zur Zertifizierung des Benutzerzugriffs


Zugriffs-Zertifizierung ist keine einmalige Angelegenheit, sondern ein Prozess, der gut geplant sein will
Inventur der Identitäten: Wie man Zugriffsrechte zertifiziert



Von Stephen Lowing, VP Marketing bei Omada

Die Zugriffs-Zertifizierung beschreibt die unabhängige Prüfung der Zugriffsrechte durch einen Auditor. Dieser untersucht, ob die den Benutzern gewährten Rechte wirklich notwendig sind. Ein gründlicher Prozess zur Zertifizierung des Benutzerzugriffs stellt sicher, dass die digitale Identität jedes Mitarbeiters nur die Berechtigungen hat, welche für die Erfüllung seiner Aufgaben nötig sind. So wird auch die Sicherheit der internen Daten gewährleistet.

Wenn die Belegschaft wächst und sich immer weiter ausdehnt, können sich die Zugriffsanforderungen im Handumdrehen ändern. Unternehmen müssen auf der Hut sein, dass sie ihren Mitarbeitern, externen Auftragnehmern, Prüfern oder Saisonarbeitern nicht überhastet zu viele Zugriffsrechte für die Erfüllung ihrer Aufgaben einräumen, die gar nicht erforderlich sind.

Um ernsthafte Sicherheitsrisiken und versäumte Audits zu vermeiden, sollte jedes Unternehmen regelmäßige Zugriffs-Zertifizierungen durchführen. Dieser Artikel klärt, welche Bereiche im Unternehmen man hierbei besonders priorisieren sollte und welche Vorteile Zugriffs-Zertifizierungen IT-Sicherheitsverantwortlichen bieten können.

Wichtige Bereiche für die Zugriffskontrolle
Eine Liste über aktive Zugriffs-Berechtigungen und ein Plan zum Entfernen von Zugangsrechten, die nicht mehr benötigt werden, sind das Herzstück eines erfolgreichen IGA-Programms (Identity Governance and Administration).

Dabei gibt es eine große Anzahl von Variablen, die bestimmen, welche Zugangsrechte und Berechtigungen gewährt werden sollten:

1. Geschäftsressourcen
Verschiedene Personen benötigen Zugang zu verschiedenen Arten von Anwendungen, sei es Infrastruktur wie Azure oder AWS, Datenbanken, Kommunikationsanwendungen wie Teams und Slack, CRMs wie Salesforce oder ITSM-Tools wie ServiceNow.

Ebenfalls gilt es zu beachten: Bestimmte Anwendungen sind nur für bestimmte Gruppen der Belegschaft erforderlich, während einige von ihnen von allen benötigt werden. Ein Beispiel für einen solchen gemeinsamen Nenner: Höchstwahrscheinlich benötigen alle Mitarbeiter in einer Organisation Zugang zu einem E-Mail-System.

2. Arbeitsorte
Je nachdem, wo die Mitarbeiter arbeiten, benötigen sie Zugang zu verschiedenen Dingen, beispielsweise zu physischen Standorten wie Büros. Ebenfalls denkbar ist, dass sie sich über verschiedene VPN-Standorte, geografische Untergruppen von Anwendungen oder bestimmte Kundendaten anmelden müssen, um die lokalen Datenschutzgesetze wie die Datenschutz-Grundverordnung (DSGVO) einzuhalten.

3. Funktion oder Status des Arbeitsplatzes
Die Arbeitsplatzfunktion ist meist an die Rolle im Unternehmen gebunden. Eine Person, die an einem Fließband arbeitet, hat beispielsweise Zugriff auf fertigungsbezogene Systeme, während ein Back-Office-Mitarbeiter ganz andere Berechtigungen für die Finanz- und Buchhaltungsanwendungen des Unternehmens hat.

Eine weitere Variable könnte die Art des Beschäftigungsverhältnisses sein: Vollzeitbeschäftigte sollten andere Zugriffsrechte erhalten als Zeitarbeitskräfte und Zugang zu Ressourcen wie betrieblichen Leistungen haben. Es ist immer wichtig, Rollen und Kontexte als kritische Komponente für die kontinuierliche Verwaltung und Regelung von Zugriffsrechten zu identifizieren.

Diese Variablen, die oft kontextabhängig sind, können auch auf der Grundlage von Ereignissen gewährt werden: entweder regelmäßig auftretende und geplante oder solche, die kurzfristig eintreten. Beispiele dafür sind:

>> Audits: Wenn eine Prüfung ansteht, müssen Unternehmen nachweisen können, dass nur bestimmte Personen Zugang zu bestimmten Systemen haben. Möglicherweise müssen sie auch zusätzliche Personen mit Zugriff auf Datenbanken und verschiedene Anwendungen beauftragen, um die für ein bestimmtes Audit benötigten Daten zu sammeln.

>> Hochsaison: Vor allem im Einzelhandel herrscht um die Feiertage herum oft Hochsaison. Allerdings findet diese in verschiedenen Branchen zu unterschiedlichen Zeiten statt und kann mit der Einstellung zusätzlicher Mitarbeiter zur kurzfristigen Unterstützung zusammenfallen, was zu einem Anstieg der Zahl der Zeitarbeiter führt. In diesen Zeiten haben IT-Teams alle Hände voll zu tun, da den Mitarbeitern der Zugang zu bestimmten Ressourcen mit hoher Priorität zugewiesen wird. Umso wichtiger ist es dann, diesen Zugang wieder zu entziehen, wenn die Saison vorbei ist.

Vorteile einer regelmäßigen Zertifizierung des Zugriffsmanagements
Mit einer regelmäßigen Zertifizierung der Zugriffsverwaltung können Unternehmen überprüfen, ob die richtigen Personen weiterhin Zugriff auf die richtigen Ressourcen haben, um ihre Aufgaben zu erledigen - und gleichzeitig inaktive und stillgelegte Konten identifizieren.

Es ist unverzichtbar, die korrekte Zugriffszuweisung für die verschiedenen Geschäftsrollen zu validieren, damit die Sicherheits- und Compliance-Risiken im Unternehmen minimiert werden können.

Kampagnen zur Zugriffs-Zertifizierung

Unternehmen brauchen die Möglichkeiten, kontinuierlich zu zertifizieren. Nur so können Zugriffsrechte sicher verwaltet werden und sichergestellt werden, ob diese überhaupt weiterhin benötigt werden.

Bei der Erstellung von Zertifizierungskampagnen sollten Organisationen Folgendes anstreben:

>> Daten darüber sammeln, wer auf was, wann, warum, wie oft usw. zugreift

>> Umfragen einrichten, die für Geschäftsanwender schnell zu beantworten und für Administratoren schnell einzurichten sind

>> Detaillierte Daten sammeln, um intelligentere Geschäftsentscheidungen treffen zu können

>> Interpretation der Ergebnisse auf eine Art und Weise, die für Sicherheits- und Risikomanagement-Teams leicht umsetzbar ist, sodass die geringsten Rechte gewahrt bleiben

>> Nachweis der Konformität gegenüber Prüfern

>> Automatisierung von Prozessen, die zuvor manuell durchgeführt wurden

Zugriffs-Zertifizierungskampagnen sind eine Möglichkeit für Unternehmen, Berechtigungen zu prüfen und formell zu bestätigen, dass die Zugriffsrechte von Einzelpersonen angemessen sind. Konzeptionell gesehen zielen diese Kampagnen darauf ab, nicht mehr benötigten Zugang zu entfernen, oder den Zugang zu Ressourcen dauerhaft zu genehmigen, die zuvor ad hoc gewährt wurden.

Wer Zertifizierungskampagnen ernst nimmt und regelmäßig durchführt, stellt nicht nur die Compliance-Treue und Einhaltung gesetzlicher Regularien sicher, sondern schützt auch wertvolle Kunden- und Unternehmensdaten. Selbst wenn Cyberkriminelle im schlechtesten Falle Login-Daten erlangen und korrumpieren, werden ihnen so durch zuvor geringstmöglich vergebene Zugriffsrechte frühzeitig die Wege abgeschnitten. (Omada: ra)

eingetragen: 07.08.24
Newsletterlauf: 19.09.24

Omada Solutions: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • CEO-Vortäuschung & KI-gesteuerten Attacken

    Check Point Software Technologies sieht es als wichtig an, auf die neuen Formen von digitalem Betrug einzugehen, mit denen Unternehmen konfrontiert sind, denn der technologische Fortschritt hat sowohl Unternehmen als auch Hackern neue Möglichkeiten eröffnet. Von Cyber-Hochstapelei und internem Betrug bis hin zu immer raffinierteren Verbrechen, wie CEO-Vortäuschung und KI-gesteuerten Attacken.

  • Umsetzung der KI-Verordnung

    Darf ich eine bestimmte KI-Anwendung anbieten oder in meinem Unternehmen verwenden? Und wenn ja, welche Voraussetzungen muss ich dafür erfüllen? Rechtliche Unsicherheiten sind für 40 Prozent der Unternehmen in Deutschland ein Hemmnis für den KI-Einsatz.

  • Vorsicht vor Betrug bei Festgeldanlagen

    Wer auf der Suche nach attraktiven Tages- oder Festgeldanlagen ist, nutzt häufig eine Suchmaschinensuche oder ein Vergleichsportal im Internet. Doch hier heißt es, wachsam zu sein. Auch Unternehmensseiten wie Bankportale und Vergleichsportale können perfekt gefälscht sein.

  • Bestandteil der Investmentsteuer

    Die Vorabpauschale für Investmentfonds ist bereits seit 2018 Bestandteil der Investmentsteuer in Deutschland ist. Die Berechnung der Vorabpauschale basiert allerdings auf dem sogenannten Basiszins, der in der Vergangenheit oft im negativen Bereich lag. Daher wurde die Vorabpauschale erst wieder Anfang 2024 für das Vorjahr, also das Jahr 2023, erhoben. Doch was ist die Vorabpauschale und wie funktioniert sie? In diesem Artikel zeigen wir Ihnen, worauf Sie achten sollten.

  • KI, Datenschutz & Datensicherheit

    Bevor Unternehmen generative KI einführen, sollten sie sich einige Fragen stellen, damit die neuen Dienste nicht den Datenschutz und die Datensicherheit gefährden. Forcepoint verrät, welche Fragen das sind. Die meisten Unternehmen haben den Mehrwert von generativer KI inzwischen erkannt und wollen entsprechende Dienste einführen, um ihre Mitarbeiter zu entlasten und Abläufe effizienter zu gestalten.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen