Wer hat Zugriff und warum? Die Schlüsselrolle der Zugriffssteuerung für die Unternehmenssicherheit

Von Sascha Giese

Wissen Sie, wer alles Zugriff auf die sensiblen Finanzdaten Ihres Unternehmens hat? Oder wo Sie beginnen sollten, wenn Sie mit einem Audit sicherstellen möchten, dass nur die richtigen Personen diesen Zugang haben? Die Wahrscheinlichkeit ist hoch, dass es Ihnen gar nicht so leicht fällt, diese Fragen zu beantworten. Doch auch wenn Sie nicht wissen, an welcher Stelle Sie eigentlich beginnen sollen, ist es für die Integrität Ihres Unternehmens unverzichtbar, sich mit solcherlei Fragestellungen auseinanderzusetzen.

Anbieter zum Thema

Wissen Sie, wer in Ihrem Netzwerk Zugriff auf sensible Daten hat? Wenn Sie denken, dass Sie dazu lediglich die Systemadministration fragen müssen, könnten Sie falsch liegen.
Wissen Sie, wer in Ihrem Netzwerk Zugriff auf sensible Daten hat? Wenn Sie denken, dass Sie dazu lediglich die Systemadministration fragen müssen, könnten Sie falsch liegen.
(© everythingpossible - stock.adobe.com)

Möglicherweise haben Nutzerinnen und Nutzer nach einem Teamwechsel noch Zugriff auf Daten des vorigen Teams oder sie nutzen Schatten-IT-Systeme, deren Gebrauch nie autorisiert wurde. Es gibt viele Szenarien im Zusammenhang mit komplexen Prozessen, Silos und Ineffizienzen, die Ihr Unternehmen einem erhöhten Risiko aussetzen können. Vielleicht denken Sie, dass Sie lediglich die Systemadministration fragen müssen, um herauszufinden, wer auf etwas Zugriff hat. Doch oft ist es längst nicht so einfach. Wie gehen Sie also vor?

Die Quelle finden

Um herauszufinden, wer Zugriff auf ein System hat, sollten Sie als Erstes überlegen, woher die Daten stammen. Wenn Sie eine Finanzsoftware nutzen, können Sie beispielsweise die Liste der Benutzerinnen und Benutzer abrufen, die Zugriff auf die Finanzdaten haben. Dazu gehören User, die Finanztransaktionen erstellen und anzeigen oder Berichte erstellen und anzeigen können.

Diese Liste ist ein guter Ausgangspunkt, aber noch nicht die Antwort auf all Ihre Probleme und es gibt noch weitere Fragen, die Sie stellen sollten. Wenn Ihr Unternehmen die Finanzsoftware verwaltet, sollten Sie Folgendes herausfinden:

  • Wer hat Zugriff auf die Anwendungsdatenbank?
  • Wer hat Zugriff auf Datenbank-Backups?
  • Wer hat Zugang zu den Computern, auf denen die Anwendung und die Datenbank gehostet werden?
  • Verfügt das System über eine Funktion, um automatisch Berichte zu exportieren? Falls ja, wohin werden die Berichte exportiert?
  • Wer hat Zugriff auf die Dateisysteme auf den Computern, auf denen Anwendungs- und Datenbankdateien gespeichert werden?

Stellen Sie sich beispielsweise die folgende Situation vor: Exportierte Berichte werden per Dateifreigabe gespeichert und der Zugriff wird über Active Directory-Gruppen gewährt. Sie müssen herausfinden, welche Gruppen Zugriff haben, und anschließend die Gruppenmitgliedschaft feststellen. Dazu können geschachtelte Active Directory (AD)-Gruppen und einzelne User gehören.

Außerdem sollten Sie die Gruppenmitgliedschaften regelmäßig überprüfen und sicherstellen, dass Benutzerinnen und Benutzer entfernt werden, wenn sie das Team oder Unternehmen verlassen. Ihre Benutzerliste umfasst somit Anwendungsbenutzende, Datenbankadministrierende, Systemadministrierende, Personen mit Zugriff auf die Berichte in der Dateifreigabe und mehr. Sprechen Sie mit den Administrierenden dieser Anwendungen, um zu erfahren, welche Zugriffsarten es gibt, die Sie beachten sollten. Die dbowner-Rolle in Microsoft SQL hat beispielsweise Vollzugriff auf die Datenbank, gehört jedoch nicht zur Datenbankadministration. Nur wenn Sie wissen, wonach Sie suchen müssen, können Sie diese Konfigurationen im Detail verstehen.

Datenbankzugriff

Finanzdaten sind für viele Personen in einem Unternehmen wichtig, vom Produktmanagement über die Abteilungsleitung bis hin zu betrieblichen Teams und mehr. Daher ist davon auszugehen, dass diese sensiblen Daten nicht nur in der Finanzsoftware gespeichert sind. Vermutlich verfügt Ihr Unternehmen über ein Data Warehouse.

Daher müssen Sie nun eine Liste der User erstellen, die Zugriff auf die Datenbanken Ihres Unternehmens haben, darunter Datenbank- und Systemadministrierende. Zusätzlich benötigen Sie die Liste der Benutzerinnen und Benutzer mit Zugriff auf die Datenbank-Backups des Data Warehouse.

Doch auch das war noch nicht alles: Möglicherweise nutzt Ihr Unternehmen ein separates Finanzplanungssystem und einen Prozess, um Daten aus dem Finanzsystem in das Planungssystem zu importieren. Das Finanzsystem war an AD-Benutzende gekoppelt, aber das Planungssystem ist nicht in AD integriert. Was bedeutet das? Sie müssen nun die Benutzerinnen und Benutzer der Planungsanwendung mit den tatsächlichen Personen verknüpfen, die die entsprechenden Anmeldeinformationen verwenden.

Eventuell nutzt Ihr Unternehmen zusätzlich zum Data Warehouse mehrere Tools zur Berichterstellung und die User melden sich mit ihren AD-Anmeldeinformationen beim Data Warehouse an, um Berichte zu erstellen. Gleichzeitig wird vielleicht ein Dienstkonto genutzt, um Abfragen auszuführen, wenn Datensätze aktualisiert werden, oder Berichte werden von Berichtstools erstellt. Das bedeutet: Sie müssen jede einzelne Berichtsanwendung unter die Lupe nehmen und Informationen dazu erfassen, welche Benutzerinnen und Benutzer Zugriff auf die Berichte mit den sensiblen Informationen haben.

Wie Sie sehen, müssen Sie immer tiefer graben. Es gibt zahllose andere mögliche Szenarien, und sehr wahrscheinlich verlieren Sie zunehmend den Überblick über diejenigen, die Zugang zu sensiblen Informationen haben. Wie können Sie diesen Nebel lichten?

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Zugriffssteuerungsverwaltung

Ein proaktiver Ansatz ist bei der Zugriffssteuerungsverwaltung unverzichtbar, damit Sie einen klaren Blick auf die Dinge gewinnen können. Die Zugriffssteuerungsverwaltung ist mehr als nur eine Technologie, die Sie implementieren – auch Personen und Prozesse müssen involviert werden –, doch Technologien helfen Ihnen dabei, die Zugriffssteuerung über die Silos der einzelnen Systeme hinweg zu verwalten. Dies ist entscheidend, damit Sie Klarheit gewinnen und die obigen Fragen beantworten können.

Wie sieht ein proaktiver Ansatz genau aus? Zunächst sollten Zugriffe und Zugriffsregelungen regelmäßig auf die Compliance mit gesetzlichen Vorschriften und die Sicherheit des Unternehmens hin überprüft werden. Denken Sie daran: Wenn Sie keine Strategie für die Zugriffssteuerung haben oder die Zugriffssteuerung nicht in das Identitätsmanagement integriert und für jede Anwendung im Unternehmen umgesetzt wird, setzen Sie Ihr Unternehmen potenziell schwerwiegenden Datensicherheitsrisiken aus. Die Daten, um die es geht, sind unverzichtbar für den Betrieb Ihres Unternehmens. Es ist also nicht sinnvoll, sie wegzusperren, doch die gesamte Belegschaft muss gemeinsam sicherstellen, dass angemessen mit ihnen umgegangen wird.

Nicht zuletzt ist es wichtig, dass IT-Expertinnen und -Experten die Zugriffssteuerungsverwaltung und die Datenflüsse im Unternehmen ganzheitlich betrachten. Mit einem richtig eingesetzten Tool für die Zugriffssteuerung können Sie schnell herausfinden, wer worauf Zugriff hat, durch das Erkennen von Änderungen die Compliance verbessern und riskante Zugriffe identifizieren und verhindern.

Jeder dieser Punkte ist von entscheidender Bedeutung für die Sicherheit und die Integrität Ihres Unternehmens. Dem Thema Access Control kommt dabei eine Schlüsselrolle zu.

Über den Autor: Sascha Giese ist Head Geek bei SolarWinds.

(ID:47986150)