Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

18.08.2015
von: Stefan Schorno, IPG AG

Rezertifizierung des Benutzermanagements

Mit der flächendeckenden Nutzung von IT-Systemen entstehen für Unternehmen immer mehr Abhängigkeiten und Sicherheitsrisiken. Eines dieser Sicherheitsrisiken ist der unerlaubte Zugriff auf Unternehmensinformationen. Für die strukturierte und kontrollierte Vergabe und Anpassung von Berechtigungen braucht es definierte Prozesse.

Unerlaubte Zugriffe auf die Unternehmensnetze müssen nicht zwingend von aussen kommen. Sie können ebenso von internen Mitarbeitenden ausgehen. Die Vergabe von Berechtigungen funktioniert in vielen Unternehmen meist reibungslos. Der Entzug von zugewiesenen Berechtigungen wird hingegen oft vernachlässigt. Dies ist besonders beim organisatorischen Wechsel oder einer Funktionsänderung innerhalb der Unternehmung der Fall. Deshalb wird in der Praxis häufig eine hohe Anzahl an nicht benötigten Berechtigungen oder unerlaubten Berechtigungs-Kombinationen angetroffen. Um dies zu verhindern, benötigt es definierte Prozesse für die strukturierte und kontrollierte Vergabe und Anpassung von Berechtigungen. Zudem ist die regelmässige Legitimationsprüfung der bestehenden Berechtigungszuweisungen unerlässlich. Durch diese Prüfung können Schwächen aus den Prozessen korrigiert und kompensiert werden was die Zugriffssicherheit in jedem Unternehmen markant erhöht.

Definition Attestierung / Rezertifizierung
Im Bereich der Berechtigungsprüfung werden verschiedene Begriffe oftmals vermischt. Häufig fallen die Begriffe Rezertifizierung und Attestierung. Die Attestierung bezeichnet den eigentlichen Vorgang zur Bestätigung, dass ein Prüfobjekt, beispielsweise eine Berechtigungszuweisung, korrekt ist. Die Rezertifizierung oder der Rezertifizierungsprozess ist die regelmässige Ausführung des Attestierungsvorgangs. Die Attestierung ist somit ein Teilprozess innerhalb der Rezertifizierung.

Gründe für die Rezertifizierung sind vielseitig
Die weitgreifenden Risiken sowie die internen und externen Anforderungen zwingen viele Unternehmen einen Rezertifizierungsprozess umzusetzen. Dabei sind verschiedene Stakeholder an der Umsetzung interessiert. Dies können sowohl interne als auch externe Anspruchsgruppen sein. Intern stellen häufig die interne Revision sowie Personen mit technischer oder fachlicher Verantwortung von Systemen diesen Anspruch. Nicht zu vernachlässigen sind hierbei die Verantwortlichen in den operativen Geschäftsprozessen. Da diese für die internen Abläufe die Verantwortung tragen, sollten sie möglichst frühzeitig in den Rezertifizierungsprozess einbezogen werden, um sicherzustellen, dass die benötigten Rechte vorhanden sind. Denn wenn Rechte fehlen, kann dies zu einem Betriebsausfall führen. Extern können es Kunden, der Gesetzgeber oder auch unabhängige Aufsichtsbehörden sein, die eine Rezertifizierung verlangen oder sogar vorschreiben. Dabei können die Interessen einer Rezertifizierung sehr unterschiedlich sein; die Umsetzung von gesetzlichen Anforderungen, das eigene Sicherheitsinteresse und das Einsparen von Lizenzkosten sind generell die wichtigsten Ziele, welche die Unternehmen mit der Rezertifizierung verfolgen.

Externe Regelungen erfordern zunehmend die Umsetzung einer regelmässigen Attestierung der Benutzerberechtigungen. So ist die regelmässige Rezertifizierung fester Bestandteil der ISO/IEC 2700X Normreihe und der Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Bei Finanzinstituten gibt es diesbezüglich in vielen Ländern regulatorische Vorgaben, namentlich in der Schweiz und in Deutschland wo die Finanzmarktaufsichtsbehörden Richtlinien zum Umgang mit Kundendaten und Berechtigungen vorgeben. Damit kann der Rezertifizierungsprozess bereits heute als aktueller Stand der Technik angesehen werden. Dies führt dazu, dass die Rezertifizierung auch zur Einhaltung der Gesetze (beispielsweise das Datenschutzgesetz) immer stärker an Relevanz gewinnen wird, dies auch in Branchen wo sie heute noch nicht weitverbreitet ist.

Risiken senken und Gesetze einhalten
Der Nutzen einer Rezertifizierung liegt darin, die operationellen Risiken zu senken, indem die Gefahr von unerlaubten Zugriffen und damit Missbräuche im Umgang mit Informationen stark reduziert werden. Der daraus erzielte monetäre Nutzen ist folglich erst längerfristig zu erkennen.

Die Ziele der Rezertifizierung
Das primäre Ziel bei der Ausführung der Rezertifizierung ist es, die unnötigen oder unerlaubten Berechtigungen zu entfernen und die korrekten Berechtigungen zu bestätigen. Dazu werden die Berechtigungen durch den verantwortlichen Prüfer offiziell genehmigt beziehungsweise attestiert. Dabei gilt diese offizielle Genehmigung als Nachweis über die Angemessenheit der geprüften Zugriffsberechtigungen und zur Optimierung der Prozesse.

Attestierung ist eine Angelegenheit für das Business
Die Attestierung der Berechtigungen ist keine Aufgabe der IT-Abteilungen. Die eigentliche Attestierung muss durch die Verantwortlichen aus dem Fachbereich vorgenommen werden. Der Prüfer muss demnach die Rollen, Funktionen und die zu prüfenden Berechtigungen kennen, um eine Attestierung durchführen zu können. Daher könnten in erster Instanz die direkten Vorgesetzten die Prüfung vornehmen. Wenn die Kenntnisse zu den Berechtigungen nicht ausreichen, sind weitere Personen, die über das entsprechende Wissen verfügen, in den Prozess miteinzubeziehen. Die Zusammensetzung der Personengruppe kann auch je nach dem zu prüfendem Objekt variieren, um so beispielsweise die Funktionstrennung einzuhalten (Segregation of Duties). Wichtig dabei ist, dass die Daten für die Entscheider zu einer aussagekräftigen Entscheidungsgrundlage aufbereitet werden.

Die Prüfung der Objekte
Die Anforderungen an die Rezertifizierungsprozesse unterscheiden sich von Unternehmen zu Unternehmen. Bei der Definition des Umfangs und des Zeitplans einer Rezertifizierung befindet man sich auf einem schmalen Grat. Einerseits muss sichergestellt werden, dass die internen und externen Anforderungen erfüllt werden, andererseits sollen die Prozesse für die involvierten Stakeholder nicht zur Last werden. Der Rezertifizierungsprozess ist nutzlos, wenn aufgrund des hohen Aufwands pauschal genehmigt wird oder für die Verantwortlichen nicht ersichtlich ist, was sich hinter den zu prüfenden Objekten verbirgt.

Die Durchführung der Attestierung muss für die Verantwortlichen in einem realistischen Zeitraum möglich sein. Dabei darf sie das Tagesgeschäft nicht beeinflussen. Um den Aufwand für die Verantwortlichen gering zu halten, ist es sinnvoll, die Rezertifizierungen auf einer Klassifizierung basierend vorzunehmen. Dabei soll der Fokus auf die risikobehafteten Berechtigungen gelegt werden. Besonders kritische Berechtigungen werden öfter und unkritische Berechtigungen weniger oft geprüft. Denn durch die Erhöhung der Prüfungsfrequenz reduziert sich das Risiko von fehlerhaften Zuweisungen. Zusätzlich können ereignisbasierte Prüfungen, beispielsweise bei einem Abteilungswechsel, das Risiko minimieren und die regelmässigen Rezertifizierungen reduzieren.

Um die Komplexität für die verantwortlichen Prüfer zu reduzieren, ist es wichtig, die zu prüfenden Objekte verständlich darzustellen. Zum Beispiel wissen die direkten Vorgesetzten zwar welche Aktivitäten ihre Mitarbeiter ausführen, meistens ist ihnen aber nicht bekannt, welche Systemberechtigungen dafür benötigt werden. Mit der Bildung von Rollen, welche sich an den Geschäftsprozessen ausrichten, können Rezertifizierungsprozesse für Entscheider massgeblich vereinfacht werden. Dies geschieht im Vorfeld bei der Bildung von Rollen, indem eine Brücke zwischen IT und Business geschaffen wird und die Berechtigungen in enger Zusammenarbeit exakt auf die auszuführenden Tätigkeiten abgestimmt werden.

Neben der reinen Prüfung von zugewiesenen Berechtigungen zu Personen, kann der Inhalt einer Rezertifizierung variieren. Es können unterschiedliche Objekte in die Prüfung einfliessen. In der Praxis verbreitete Prüfobjekte sind beispielsweise:

  • Review von Rollen oder Zugriffsberechtigungen zu einer Person
  • Review aller Benutzerkonten einer Person
  • Review aller Zuweisungen von Personen die ausgetreten sind
  • Review auf Benutzerkonten oder Berechtigungen die nicht genutzt werden
  • Review mit dem Fokus auf die Einhaltung von Funktionstrennungen
  • Review bezüglich den privilegierten Zugriffsberechtigungen


Identity & Access Management Lösung unterstützt Rezertifizierungsprozess
Eine Identity & Access Management Lösung kann die Datenaufbereitung erheblich unterstützen. Damit können die benötigten Informationen effizient fristgerecht zusammengetragen und verständlich dargestellt werden. Durch die zentrale Sammlung aller Systemberechtigungen und einer automatisierten Bereitstellung von geplanten oder ereignisbasierten Attestierungsfällen können diese den Rezertifizierungsprozess optimal unterstützen.

Fazit

Der Rezertifizierungsprozess ist mit hohen organisatorischen Aufwänden verbunden. Diese fallen von der Erhebung der Prüfobjekte bis zur eigentlichen Attestierung an und involvieren verschiedene Stellen innerhalb der Unternehmung. Es ist wichtig, dass Prüfobjekte für die Entscheider verständlich sind, um überhaupt beurteilt werden zu können. Aus diesem Grund ist es empfehlenswert, einen klaren Scope für die Umsetzung einer Rezertifizierung festzulegen. Nur so kann sichergestellt werden, dass die erforderten internen und externen Anforderungen erfüllt werden und die Ausführung nicht zur Last für die beteiligten Stellen wird. Setzt man für den Rezertifizierungsprozess eine Identity & Access Management Lösung ein, können die Rezertifizierungen automatisch ausgelöst werden. Dies steigert die Qualität und reduziert die personellen Aufwände erheblich.
IPG AG auf Security-Finder Schweiz.
Quelle


Security-Finder Schweiz: Newsletter