Rezertifizierung von Benutzerberechtigungen, wie gewährleisten Sie die Nachhaltigkeit?

Eine ständig wachsende Anzahl von Unternehmen sieht sich durch gesetzliche Vorgaben und Compliance-Anforderungen von Auditoren, Wirtschaftsprüfern und interner Revision gezwungen, Maßnahmen zur Rezertifizierung von Zugriffs- bzw. Benutzerberechtigungen umzusetzen. Allerdings bringt die Einführung von Rezertifizierungsprozessen eine Menge an Herausforderungen mit sich, die Qualität der Ergebnisse ist häufig unbefriedigend und es stellt sich vor allem die Frage nach der Nachhaltigkeit einer Rezertifizierung.

Nehmen wir einmal an, Sie führen eine Rezertifizierung trotz aller Herausforderungen erfolgreich durch, was glauben Sie, wie lange dieser saubere Berechtigungsstand anhalten wird?

Genau so lange bis der nächste neue Benutzer angelegt wird oder das Unternehmen verlässt, ein Anderer den Job oder die Abteilung wechselt und die Berechtigungen nicht korrekt vergeben oder entzogen werden. Als erfahrener und kritischer IAM Berater finden wir so einen Zustand höchst unbefriedigend. Bereits Stunden später können, trotz aller Anstrengungen eine Rezertifizierung erfolgreich durchzuführen, wieder erste Sicherheitsrisiken durch falsch vergebene Berechtigungen oder Berechtigungskombinationen entstehen. Es stellt sich also die Frage: Wie kann die Nachhaltigkeit einer Rezertifizierung gewährleistet werden?

Aber der Reihe nach: Zuerst machen wir Ihnen deutlich, welche Herausforderungen eine Rezertifizierung mit sich bringt und zeigen konkrete Lösungsansätze zur Durchführung auf. Danach stellen wir Ihnen drei Szenarien zur Verbesserung der Nachhaltigkeit vor.

Die Herausforderungen einer Rezertifizierung

In der Theorie funktioniert die Rezertifizierung von Benutzerberechtigungen ganz einfach. Benutzer werden mit ihren zugehörigen Berechtigungen aus den zu prüfenden Systemen ausgelesen und die Informationen den jeweils zuständigen Personen wie beispielsweise den Fachvorgesetzten vorgelegt. Diese überprüfen die Berechtigungen und geben sie frei oder lehnen sie ab, so dass Administratoren dann die Bereinigung in den Systemen durchführen können. Eigentlich ganz einfach, oder?

Stellen Sie sich jetzt einmal vor, Sie wären einer der Rezertifizierer, haben schon genug zu tun und bekommen zwischen zwei Meetings einen Stapel Papier mit Benutzernamen und unverständlichen Berechtigungsabkürzungen auf den Tisch, was würden Sie tun? Einfach alles durchwinken?

Die Herausforderung besteht also darin, Rezertifizierungsprozesse sinnvoll umzusetzen. Abhilfe können sogenannte Identity Governance Lösungen schaffen, wenn sie richtig angewendet werden. Diese Lösungen lesen nicht nur Benutzer mit ihren zugehörigen Berechtigungen aus den zu prüfenden Systemen aus, sondern bieten auch die Möglichkeit, die unverständlichen Berechtigungsabkürzungen in verständliche Beschreibungen zu übersetzen, bevor diese den Fachvorgesetzten mit Hilfe von Workflows und Webformularen vorgelegt werden. So verstehen die Rezertifizierer auch, was sie freigeben oder ablehnen.

Identity Governance Lösungen unterstützen außerdem dabei, die Rezertifizierungslast zu reduzieren und besser zu verteilen, indem sie die Möglichkeit zur Definition von Rezertifizierungskampagnen bieten. Anhand bestimmter Selektionskriterien kann die Menge der zu rezertifizierenden Benutzer und Systeme eingeschränkt und für unterschiedliche Termine geplant werden. Durch geschickte Selektionen kann auch der Personenkreis der Rezertifizierer erweitert und so die Last auf mehr Personen wie beispielsweise auch Anwendungsverantwortliche oder Projektleiter verteilt werden. Ein weiterer Ansatz, um die Menge der zu rezertifizierenden Berechtigungen zu verringern, ist die Definition von Rollen. Dadurch muss nur noch die Rolle selbst rezertifiziert werden, aber nicht mehr die in der Rolle enthaltenen Berechtigungen. Dies setzt aber voraus, dass auch die Rolle selbst einer regelmäßigen Überprüfung unterliegen muss.

Durch den sinnvollen Einsatz einer Identity Governance Lösung bekommen Sie also die Herausforderungen bei der Einführung von Rezertifizierungsprozessen in den Griff und erhöhen so die Akzeptanz der Rezertifizierer. Dadurch nehmen sich diese nun die notwendige Zeit, die ihnen vorliegenden Berechtigungen sorgfältig zu prüfen, was die Qualität der Rezertifizierung deutlich erhöht.

Dennoch mangelt es an der Nachhaltigkeit, bereits nach der ersten Berechtigungsänderung ist Ihr sauberer Berechtigungsstand Geschichte. Nachfolgend möchten wir Ihnen nun drei Lösungsszenarien zur Verbesserung der Nachhaltigkeit vorstellen.

Lösungsszenario 1: Verkürzung der Rezertifizierungsintervalle

Das erste Lösungsszenario setzt das Vorhandensein einer Identity Governance Lösung voraus und ist relativ einfach umzusetzen. Für definierte Rezertifizierungskampagnen werden die Intervalle verkürzt, so dass eine Rezertifizierung statt nach einem Jahr nun bereits nach beispielsweise sechs oder drei Monaten wieder zu erfolgen hat.

Vorteile: Der Prüfungszeitraum verkürzt sich, nicht korrekt vergebene Berechtigungen werden früher erkannt und bereinigt.

Nachteile: Der Aufwand für die Rezertifizierer erhöht sich gravierend, was eventuell die Akzeptanz und die daraus folgende Bereitschaft die Rezertifizierung mit der notwendigen Sorgfalt durchzuführen verringert. Auch wenn die Intervalle nun kleiner sind, bleibt das Nachhaltigkeitsproblem bestehen. Es sind immer noch Zeiträume vorhanden, in denen die Berechtigungsstände nicht dem Soll-Zustand entsprechen können und so Sicherheitsrisiken vorhanden sind.

Lösungsszenario 2: Berechtigungen mit Ablaufdatum anlegen

Für Lösungsszenario Nummer zwei ist der Einsatz einer Identity Governance oder einer Identity Management (IDM) Lösung sinnvoll. Prinzipiell geht es darum, Berechtigungen nur noch mit einem Ablaufdatum zu vergeben, so dass sie danach wieder erneut geprüft und freigegeben werden müssen. Je nach Identity Governance Produkt kann diese Funktionalität dort enthalten sein oder nicht, in einem Identity Management Produkt gehört das zum Standard.

Vorteile: Die Durchführung von Rezertifizierungen würde komplett überflüssig werden, Berechtigungen müssten nur regelmäßig geprüft und genehmigt werden, ein Prozess der sowieso in jedem Unternehmen implementiert sein sollte.

Nachteile: Ähnlich wie bei Szenario 1 erhöht sich der Aufwand bei den Genehmigern deutlich, vermutlich ebenfalls die Fachvorgesetzten oder Abteilungsverantwortlichen wie bei einer Rezertifizierung. Auch wenn Berechtigungen nun ablaufen und wieder freigegeben werden müssen, wird das Nachhaltigkeitsproblem mit diesem Lösungsszenario ebenfalls nicht gelöst. Es sind auch hier immer noch Zeiträume vorhanden, in denen die Berechtigungsstände nicht dem Soll-Zustand entsprechen können und so wiederum Sicherheitsrisiken vorhanden sind. Fraglich wäre auch, ob Auditoren überhaupt auf Rezertifizierungen verzichten möchten oder bereit sind, über Alternativen nachzudenken.

Lösungsszenario 3: Berechtigungen stets korrekt vergeben

Unser drittes Szenario sieht vor, dass zum einen eine Identity Governance Lösung angewendet wird, um die Anforderungen der Auditoren bzgl. Rezertifizierungen zu erfüllen, aber auch eine Identity Management Lösung zum Einsatz kommt, um stets alle Berechtigungen richtig zu vergeben. Im Unterschied zu Szenario 2 sollte im IDM System hierfür ein Businessrollenmodell implementiert sein, um die korrekte Vergabe der Berechtigungen zu gewährleisten. Auch bei Veränderungen wie beispielsweise Abteilungswechsel, Jobwechsel oder Austritt würden so die Berechtigungskorrekturen richtig durchführt werden. Allerdings zeigen Erfahrungswerte aus IAM Projekten, dass nur eine Abdeckung von ca. 80 % aller Berechtigungen über Rollen wirtschaftlich sinnvoll ist, der Rest sollte als Einzelberechtigungen über das IDM System vergeben werden. Da die Vergabe von Einzelberechtigungen eher fehleranfällig ist, kommt die Kombination mit der Identity Governance Lösung zum Tragen, um durch regelmäßige Rezertifizierungen den geringen Teil an möglicherweise fehlerhaft vergebenen Berechtigungen zu korrigieren. Mittlerweile gibt es übrigens einige IAM Hersteller am Markt, die Identity Management und Identity Governance Lösungen anbieten, die meist auch integriert sind.

Vorteile: Der Einsatz einer Identity Governance Lösung erfüllt die Anforderungen der Auditoren. Die Kombination mit dem Identity Management System sorgt zum einen dafür, dass die Masse aller Berechtigungen von Anfang an korrekt vergeben werden, zu anderen gewährleistet das IDM die Nachhaltigkeit, da der nach einer Rezertifizierung erreichte saubere Berechtigungsstand erhalten bleibt.

Nachteile: Der Implementierungsaufwand bei einem IDM Projekt ist um einiges höher als der für eine Identity Governance Lösung. Im IDM System müssen User LifeCycle Prozesse, Workflows und ein Businessrollenmodell umgesetzt und Konnektoren zu Quell- und Zielsystemen realisiert werden, ohne externes IAM Consulting ist das kaum machbar.

Fazit

Um die Compliance-Anforderungen der Prüfer bei Audits zu erfüllen, führt die nächsten Jahre vermutlich kein Weg an einer Identity Governance Lösung vorbei. Durch den sinnvollen Einsatz einer Identity Governance Lösung bekommen Sie die Herausforderungen bei der Einführung von Rezertifizierungsprozessen in den Griff und erhöhen die Qualität der Ergebnisse deutlich.

Zur Gewährleistung der Nachhaltigkeit von Rezertifizierungen können wir als seriöser IAM Berater unseren Kunden nur das Dritte der beschriebenen Lösungsszenarien wirklich empfehlen. Es bringt zwar den höchsten Implementierungsaufwand mit sich, bietet aber auch den größten Nutzen zur Vermeidung von Sicherheitsrisiken durch falsch vergebene oder der Kombination aus falsch vergebenen Berechtigungen. Wir empfehlen zuerst eine Identity Governance Lösung einzuführen, um Rezertifizierungen durchführen zu können und danach oder eventuell schon parallel mit der Implementierung eines Identity Management Systems zu beginnen. Bevor Sie sich für eines der Szenarien entscheiden, sollten Sie auf jeden Fall auch Kosten und Nutzen für Ihr Unternehmen abwägen und bei Unsicherheiten besser einen IAM Berater zu Rate ziehen.