Die Verwaltung von Identitäten und Zugriffsrechten – eine sichere Grundlage - Sicherheit - Heise Partnerzones Sicherheit . Dell, Cloud, Mobile, Security, Enterprise, Business, Software . Cloud, Mobile und Security: Erfahren Sie alles über die Lösungen von Dell /styles/zones/basis.css

Die Verwaltung von Identitäten und Zugriffsrechten – eine sichere Grundlage

IT-Abteilungen müssen heute ständig neue Aufgaben bewältigen, um verschiedenen Betriebssystemen, wechselnden Richtlinien und neuen Trends wie Cloud Computing oder der Verwendung privater Endgeräte (Bring Your Own Device) gerecht zu werden.

Autor: David Göhler

 - Bildquelle: Dell

Bildquelle: Dell

Administratoren müssen dabei auf eine wirksame Verwaltung der Identitäten und Zugriffsrechte bauen können, um nicht den Überblick zu verlieren. Denn eine mangelhafte Kontrolle auf diesem Gebiet stellt die gesamte betriebliche IT-Sicherheit in Frage. IT-Verantwortliche brauchen daher intelligente und verlässliche Lösungen zur Zugriffsverwaltung.

Bei der Zuteilung von Zugriffsrechten steht im betrieblichen Alltag oft der Zeitfaktor im Vordergrund: Ein neuer Mitarbeiter soll so schnell wie möglich arbeiten können. Also bittet der IT-Bereichsleiter einen Administrator, ihm schnell einen Zugriff nach dem Muster der Rechte eines dienstälteren Kollegen einzurichten, ohne sich lange von anderen Aufgaben abhalten zu lassen. Ohne Überprüfung werden einem neuen Mitarbeiter auf diese Weise Rechte zugeteilt, die nicht unbedingt genau auf dessen Aufgaben zugeschnitten sein müssen.

Diese weit verbreitete Methode birgt jedoch zahlreiche Risiken. Denn vielleicht wurden schon die Zugriffsrechte des dienstälteren Kollegen so kopiert und enthalten längst obsolete Autorisierungen oder vergessene Ausnahmen. Das allzu häufige Motto "Es wird schon alles gutgehen" ist auf lange Sicht ein Garant für absolutes Chaos in Sachen IT-Sicherheit. Dabei gibt es zum Management von Zugriffsrechten deutlich vorteilhaftere und wahrhaft professionelle Lösungen. In diesem Artikel erfahren Sie, wie verschiedene Firmen sich dieser Herausforderung gestellt und die Verwaltung ihrer Identitäten und Zugriffsrechte erfolgreich gestaltet haben.

Ein praxisnaher Ansatz

Zur Verwaltung von Identitäten und Zugriffsrechten werden heute Techniken angeboten, die auch extrem komplexe Aufgaben bewältigen. Dabei stehen folgende Anforderungen im Vordergrund:

  • Die Authentifizierung des Nutzers geschieht normalerweise durch die Angabe eines Benutzernamens und eines Passworts. Dies soll sicherstellen, dass es sich tatsächlich um die Person handelt, der dieses Profil zugeteilt wurde. Selbstverständlich hängt die Sicherheit hier wesentlich von einem gut gewählten Passwort ab.
  • Nach der Authentifizierung folgt die Autorisierung. Dabei wird festgestellt, aus welchem Grund die Person einen Zugriff verlangt und welche Daten und Bereiche von ihrem Zugriffsrecht abgedeckt sind. Die Autorisierung bestimmt außerdem die Regeln für diesen Zugriff, die zur Verfügung gestellten Funktionen und die etwaigen Arbeitsgruppen.
  • Die Administration umfasst die zahlreichen Verwaltungsaufgaben, die von der IT-Abteilung noch vor der ersten Authentifizierung und Anmeldung eines Benutzers erledigt werden müssen. So muss zum Beispiel die Person und die ihrer Position entsprechenden Autorisierungen identifiziert, ein Kennwort sowie dessen Gültigkeitszeitraum festgelegt und eine automatische Erinnerung an den regelmäßigen Austausch des Passworts sowie dessen Zurücksetzung eingerichtet werden. Bei all diesen nötigen Maßnahmen sieht sich die Administration vor die zwiespältige Aufgabe gestellt, weder die Sicherheit noch die Benutzerfreundlichkeit zu beeinträchtigen.
  • Audit bezeichnet alle Maßnahmen, die zur Einhaltung der für Authentifizierung, Autorisierung und Administration geltenden Sicherheitsstandards getroffen werden. Dabei kann zum Beispiel die Umsetzung der Erfordernisse eines Best-Practice-Frameworks wie ITIL (zur Verwaltung von IT-Services bei elektronischen Geschäftsabläufen) oder der PCI-Compliance (Befolgung der geltenden Sicherheitsrichtlinien für den elektronischen Zahlungsverkehr) überprüft werden.

 

1 | 2 | 3