Logo Beta Systems
Blog-Artikel

One checked box between empty boxes
Effiziente Rezertifizierung: Mehr Sicherheit durch gezielte Berechtigungsprüfung

Cyberangriffe nehmen stetig zu – und mit ihnen auch die Risiken, die übermäßige Zugriffsberechtigungen mit sich bringen. In einer Zeit, in der ein kompromittierter Account verheerende Folgen haben kann, wird die regelmäßige Überprüfung und Anpassung von Berechtigungen immer wichtiger. Dieser Beitrag zeigt, warum Rezertifizierungen im Identity & Access Management (IAM) ein entscheidender Baustein der IT-Sicherheit sind, welche regulatorischen Anforderungen es gibt und wie moderne IAM-Systeme diesen Prozess vereinfachen können.

Mehr erfahren

Warum sind Rezertifizierungen von Berechtigungen so wichtig?

Überflüssige Berechtigungen stellen ein erhebliches Sicherheitsrisiko dar – sowohl gegenüber externen Cyberattacken als auch internen. Werden einem Account zu viele Rechte zugewiesen, steigt das Schadenspotenzial im Falle einer Kompromittierung enorm. Die regelmäßige Kontrolle der Zugriffsrechte hilft dabei, das Least Privilege-Prinzip einzuhalten und somit die Angriffsflächen zu minimieren.

Kernpunkte:

  • Compliance und Regulierung: Viele Standards und Regularien schreiben eine regelmäßige Überprüfung der Berechtigungen vor.

  • Minimierung des Schadenspotenzials: Weniger Berechtigungen verringern das Risiko, dass ein kompromittierter Account signifikanten Schaden anrichten kann.

  • Sensibilisierung: Mitarbeitende und Führungskräfte werden für den bewussten Umgang mit Berechtigungen geschult.

Regulatorische Anforderungen

Verschiedene nationale und internationale Vorschriften fordern eine kontinuierliche Überprüfung von Benutzerzugriffsrechten. Diese Vorschriften dienen dazu, die Sicherheit und Compliance von Unternehmen zu gewährleisten:

  • Europäische Norm ISO 27001 (Kontrolle A.9.2.5 Überprüfung von Benutzerzugriffsrechten): Unternehmen müssen regelmäßig prüfen, ob Zugriffsrechte noch erforderlich sind.

  • EU-Richtlinie NIS2: Artikel 21 verlangt „grundlegende Verfahren im Bereich der Cyberhygiene“, zu denen auch die Rezertifizierung zählt.

  • MaRisk der deutschen Finanzdienstleistungsaufsicht (BaFin) (AT 4.3.1): Die Mindestanforderungen an das Risikomanagement untermauern das Need-to-Know-Prinzip und fordern regelmäßige Überprüfungen. Konkret heißt es darin: „(…) Berechtigungen und Kompetenzen sind nach dem Sparsamkeitsgrundsatz (Need-to-Know-Prinzip) zu vergeben und bei Bedarf zeitnah anzupassen. Dies beinhaltet auch die regelmäßige und anlassbezogene Überprüfung von IT-Berechtigungen, (…)“.

  • Internationale Standards wie die US-amerikanischen Gesetze HIPAA und SOX: Diese setzen ebenfalls strenge Auflagen an die Verwaltung und Überprüfung von Berechtigungen.

  • Die IT-Grundschutz-Kompendien des BSI, die oft als Maßstab für Kritische Infrastrukturen (KRITIS) herangezogen werden, enthalten im Bereich Organisation und Personal im Kapitel ORP.4.A11 „Regelmäßige Überprüfung von Benutzerberechtigungen“ folgende Maßnahme: „In regelmäßigen Abständen, mindestens jedoch einmal jährlich, müssen Benutzerberechtigungen überprüft werden, um sicherzustellen, dass sie noch den Aufgaben und der Rolle des Benutzers entsprechen.“

Ziele der Rezertifizierung

Im Arbeitsalltag wirken großzügige Berechtigungen zunächst komfortabler als strikte Minimalrechte, da bereits geringfügige Änderungen im Aufgabenbereich neue Berechtigungsanträge erfordern. Diese verursachen zusätzlichen Aufwand, noch bevor die eigentliche Arbeit beginnen kann.

Daher überrascht es nicht, dass nur die wenigsten Mitarbeitenden aktiv um eine Einschränkung ihrer Zugriffsrechte bitten. Oft sind sich Betroffene ihrer überflüssigen Berechtigungen gar nicht bewusst. Deshalb ist es wichtig, proaktiv nach solchen Berechtigungen zu suchen.

Das Hauptziel der Rezertifizierung besteht darin, überflüssige Berechtigungen zu reduzieren und damit das Sicherheitsrisiko zu minimieren. Gleichzeitig werden durch diesen Prozess weitere Vorteile erreicht:

  • Sensibilisierung der Mitarbeitenden: Ein bewussterer Umgang mit Zugriffsrechten wird gefördert. Erst durch eine Rezertifizierung wird erreicht, dass die Zugriffsrechte geprüft werden und bei fraglichen Berechtigungen entweder der Einzelfall intensiver geprüft wird oder ggf. die Berechtigung verständlicher dokumentiert wird. Ohne eine Rezertifizierung würden viele kritische Fragen gar nicht erst aufkommen.

  • Optimierung der Berechtigungsstrukturen: Eine übersichtlichere und effizientere IT-Umgebung wird geschaffen. Bedingt durch Rückfragen wird ersichtlich, wo es Schwierigkeiten mit der Beurteilung von Rollen oder Einzelrechten gibt. Dies kann zu einer Überarbeitung bzw. Optimierung der Rollen und Rechte führen und sich langfristig positiv auf die Berechtigungsstrukturen auswirken und zu einer verbesserten Cyberhygiene führen.

  • Einhaltung von Compliance-Anforderungen: Regelmäßige Prüfungen entsprechen den gesetzlichen und regulatorischen Vorgaben.

Herausforderungen der Rezertifizierung

Die Umsetzung einer effektiven Rezertifizierung bringt verschiedene Herausforderungen mit sich:

  • Hohe Anzahl an Berechtigungen: Besonders in Unternehmen mit vielen unterschiedlichen Applikationen und Systemen müssen oft tausende Berechtigungen geprüft werden. Diese enorme Menge macht eine Rezertifizierung aufwendig und kann bei den Beteiligten zu Frust führen.

  • Fehlende Transparenz: Ohne ein zentrales Berechtigungsmanagement bleibt oft unklar, wer welche Zugriffsrechte besitzt. Eine transparente Übersicht ist so kaum zu erreichen.

  • Komplexe Strukturen: Mit der Anzahl an unterschiedlichen Systemen wächst auch die Vielfalt an Berechtigungsstrukturen. Viele Systeme haben technisch geprägte Berechtigungsnamen, die für Nicht-IT-Mitarbeitende oft schwer verständlich sind.

  • Geringe Akzeptanz bei Führungskräften: Die Überprüfung von Berechtigungen wird häufig als zusätzliche administrative Aufgabe betrachtet, die über die eigentlichen Kernaufgaben hinausgeht. Da der unmittelbare Mehrwert der Rezertifizierung nicht immer offensichtlich ist, wird sie oft als formale Notwendigkeit angesehen und daher nicht priorisiert.

Aus diesem Grund ist eine manuelle Rezertifizierung, z. B. auf Basis von Excel-Tabellen, nicht zu empfehlen. Mit dieser Art der Rezertifizierung wird man das eigentliche Ziel kaum erreichen.

Wie unterstützen IAM-Systeme bei der Rezertifizierung?

Genau an dieser Stelle kommen moderne IAM-Systeme ins Spiel, die den Rezertifizierungsprozess erheblich vereinfachen – sowohl für IT-Administratoren als auch für Führungskräfte. Sie bieten folgende Vorteile:

Intuitive Benutzeroberflächen

Das oberste Ziel von IAM-Systemen sollte sein, die Rezertifizierung für alle Beteiligten so einfach wie möglich zu gestalten. Der Fokus liegt demnach auf einer intuitiven Oberfläche, der Reduzierung auf das Wesentliche und effizienten Möglichkeiten zur schnellen Bearbeitung.

Rezertifizierungsaufgabe in Garancy als Kreuztabelle

Flexible Kampagnen

Rezertifizierungskampagnen können applikationsbezogen oder risikobasiert konfiguriert werden, wodurch der Prüfungsaufwand zielgerichtet reduziert wird. Eine Kampagne beruht auf einer Rezertifizierungsregel, die definiert, durch wen etwas wie häufig überprüft wird.

Führungskräfte können spürbar entlastet werden, indem sie sich bei der Mitarbeiter-Rezertifizierung nur auf die direkt zugewiesenen Berechtigungen konzentrieren, während alle indirekten Zuweisungen in einer separaten Kampagne behandelt werden. Dies führt nicht nur zu einer erheblichen Reduzierung der zu überprüfenden Berechtigungen, sondern vereinfacht auch den Entscheidungsprozess für die Führungskräfte, da die Daten besser aufbereitet werden können. Die Anzahl der Berechtigungen reduziert sich um alle Berechtigungen, die über eine Rolle zugewiesen werden. Das heißt, wenn eine Rolle z. B. 50 Einzelrechte beinhaltet, gilt es nur die eine Rollenzuweisung und nicht die 50 beinhalteten Einzelrechte zu prüfen. Die Rolleninhalte werden wiederum in einer separaten Kampagne durch den Rolleneigentümer geprüft, der somit sicherstellt, dass die Rolle nur die Einzelrechte beinhaltet, die für diese Rolle notwendig sind.

Durch diese Trennung wird eine bessere Qualität der Rezertifizierung erreicht, da jeder Rezertifizierer nur das beurteilen muss, was seiner Expertise entspricht.

Compliance-Transparenz

Auditoren und Compliance-Verantwortliche erhalten eine klare Übersicht über den Rezertifizierungsprozess und dessen Ergebnisse. Sie können den Fortschritt in den Kampagnen beobachten und sich das Ergebnis nach Abschluss der Kampagne ansehen.

Auditoren interessieren sich insbesondere für Kampagnen, bei denen es keinerlei Berechtigungsentzüge gegeben hat. Dies lässt vermuten, dass Zuweisungen einfach bestätigt wurden, ohne wirklich zu prüfen, ob nicht vielleicht doch auf etwas verzichtet werden kann. Diese Information und die daraus entstehenden Rückfragen verbessern langfristig die Qualität von Rezertifizierungen und tragen dazu bei, das ursprüngliche Ziel effektiv zu erreichen.

Status of a recertification campaign in the Garancy IAM Suite

Automatisierung und Provisionierung

Ergebnisse der Rezertifizierung werden automatisch umgesetzt und bis in die angeschlossenen Systeme provisioniert, was Fehler reduziert und den manuellen Aufwand senkt.

Provisionierung meint im Bereich der Rezertifizierung den automatischen Entzug von Gruppenmitgliedschaften, wie z. B. den Entzug von Windows AD-Gruppen oder bei SAP den Entzug von Einzel- oder Sammelrollen. Unsere Übersicht der Konnektoren für Garancy zeigt, welche Zielsysteme wir anschließen können.

Fazit: Effiziente Rezertifizierung nur mit IAM

Die regelmäßige Rezertifizierung von Berechtigungen ist ein unverzichtbarer Bestandteil moderner IT-Sicherheit und Compliance. Durch den Einsatz von IAM-Systemen wird dieser Prozess nicht nur effizienter, sondern auch nachvollziehbarer und benutzerfreundlicher – was letztlich die Sicherheit erhöht.

Bei den ersten Rezertifizierungen konnten wir zwischen 10 und 15 % nicht benötigter Berechtigungen entziehen – ein klarer Beleg dafür, dass IAM-Standardprozesse für Joiner, Mover und Leaver allein nicht ausreichen.

Customer Voice

Ergebnisse unserer Kunden zeigen, dass bereits bei den ersten Rezertifizierungen 10 bis 15 % der Berechtigungen entzogen werden können – und das trotz vorhandener Joiner-, Mover- und Leaver-Prozesse. Das zeigt deutlich, dass diese Standardprozesse allein nicht zum Schutz vor Überberechtigungen ausreichen.

Haben wir Ihr Interesse geweckt?

Erfahren Sie mehr darüber, wie moderne IAM-Lösungen Ihre Rezertifizierungsprozesse optimieren können. Kontaktieren Sie uns für eine unverbindliche Beratung und entdecken Sie, wie Sie Ihr Unternehmen durch gezielte Berechtigungsprüfungen besser absichern können.

Mehr erfahren

Autor

Stefanie Pfau
Senior Product Managerin

Tags

IT SecurityIAMAccess ProvisioningAccess Management

Teilen

Weitere Ressourcen

Webinar
Beta Systems Webinar zum Thema NIS2-Anforderungen und Implementierung im IAM

NIS-2: Anforderungen und Umsetzung im Identity & Access Management

Die überarbeiteten EU-Richtlinien zur Sicherheit von Netz- und Informationssystemen (NIS-2) sind darauf ausgelegt, die Cybersicherheit in der gesamten EU zu verbessern. Ziel dieser Richtlinien ist es, den IT-Schutz kritischer Infrastrukturen zu erhöhen, und sie müssen bis Mitte Oktober 2024 umgesetzt werden. Unser Webinar behandelte die wesentlichen Aspekte von NIS-2, einschließlich Umsetzungsstrategien, Auswirkungen und Risikoanalyse, Governance, Risikominderung und Berichterstattung. Besonderes Augenmerk legten wir auf die erforderliche Cyber-Hygiene im Identitäts- und Zugriffsmanagement.
Artikel lesen
Blog-Artikel
mainframe-z16-beta-systems-header.jpg

Effiziente Mainframe-Administration: Wie eine IAM-Lösung den Verwaltungsaufwand reduzieren kann

Der Rückgang an Fachkräften in der Administration von IBM z-Systemen (auch bekannt als Mainframes) ist seit den frühen 1990er Jahren ein bekanntes Problem, für das bis heute kaum wesentliche Verbesserung in Sicht ist. Viele z/OS-Administratoren, die in den 90er Jahren eingestellt wurden, sind inzwischen im Ruhestand oder stehen kurz davor – und es gibt kaum qualifizierte Nachfolger. Dieser Mangel an erfahrenen z/OS-Administratoren stellt Unternehmen, die IBM-Mainframes für geschäftskritische Prozesse nutzen und auf diese angewiesen sind, vor erhebliche Herausforderungen. Dieser Artikel zeigt, wie typische Mainframe-Administrationsaufgaben an Mitarbeitende mit geringen oder gar keinen Mainframe-Kenntnissen delegiert werden können, um so die verbleibenden Mainframe-Kapazitäten im Unternehmen effizienter einzusetzen.
Artikel lesen
Webinar
cybersecurity-mit-iam-webinar-on-demand.jpg

Cybersecurity mit IAM als Grundpfeiler einer robusten Sicherheitsarchitektur

Erfahren Sie, wie Identity Access Management (IAM) als Schlüssel zu einer robusten IT-Sicherheitsarchitektur dient. Das Webinar beleuchtet den „Identity First“-Ansatz und zeigt, wie die Prinzipien Zero Trust, Single Sign-On (SSO), Multi-Faktor-Authentifizierung (MFA) und „Least Privilege“ effektiv die Angriffsfläche minimieren. Zudem wird die Bedeutung der IAM-Segmente IGA, AM/IdP und PAM für eine ganzheitliche Sicherheitsstrategie erläutert – verständlich dargestellt in einem umfassenden Big Picture.
Artikel lesen