Published On: 23. Februar 2022

Berechtigungskonzept:
Best Practice Empfehlung 

Ein allgegenwärtiges Thema für Unternehmen ist die Frage nach IT-Sicherheit. Welche:r Mitarbeiter:in braucht wirklich Zugang zu bestimmten Sektoren und Zugriff auf (sensible) Daten? Wie sieht ein effektiver Schutz vor Sabotage oder Hackerangriffen aus?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Kritischen Infrastrukturen (KRITIS) unter anderem Zugangskontrollen – physischer und logischer Art. Eine Anregung, die auch für Unternehmen ohne KRITIS-Einordnung, relevant ist.

Mit Blick auf IT-Sicherheit braucht es daher ein Berechtigungskonzept, das Zugriffe nachvollziehbar macht, vor internen und externen Angriffen schützt und gleichzeitig die IT-Administration ressourcenschonend unterstützt. Welche Aspekte sollten Sie bei der Gestaltung eines solchen Konzepts berücksichtigen? Das erfahren Sie in unserem Blogbeitrag.

In drei Schritten zu Ihrem optimalen Berechtigungskonzept

Formale Prozesse festlegen

Wie erhalten Mitarbeiter:innen neue Berechtigungen? Und wie ist der Umgang mit Berechtigungen, wenn Mitarbeiter:innen das Unternehmen oder den Bereich verlassen? Legen Sie einen formalen Prozess fest, der Regelungen über die Berechtigungsvergabe trifft und wie diese dokumentiert werden. Prüfen Sie, ob für hochsensible Daten zusätzliche Maßnahmen, wie Schutzunterweisungen, nötig sind.

Verantwortliche benennen

Vergeben Sie die Verantwortung über Zugriffsrechte auf (sensible) Daten an autorisierte Personen. Diese entscheiden formal, welche:r Mitarbeiter:in – dem Need-to-know-Prinzip folgend – Zugriff benötigt. Erst nach der Freigabe durch diese Personen werden die Berechtigungen technisch umgesetzt.

Berechtigungen auf Verzeichnisebene und über AD-Gruppen

Vermeiden Sie die Vergabe von Berechtigungen auf einzelne Dateien. Nutzen Sie stattdessen eine Verzeichnisebene, bei der möglichst keine Vollzugriffe gewährt werden. Streben Sie ein Berechtigungsmanagement über AD-Gruppen an, anstatt einzelne User zu begünstigen. In Kombination mit möglichst flachen Berechtigungshierarchien wird so die Administrierbarkeit gewährleistet.

Berechtigungskonzept Best Practices

Doch bevor Sie diese im Unternehmen etablieren, lohnt es sich, einen Blick auf Ihre aktuelle Berechtigungsstruktur zu werfen. Prüfen Sie: Gibt es historisch gewachsene Berechtigungsstrukturen?

Große Mengen unstrukturierter Daten sammeln sich in Form von Dokumenten und Dateien an und die Fileserver Struktur wird zunehmend unübersichtlicher. Wer hat welche Berechtigungen? Fehlt der Überblick, entsteht eine Sicherheitslücke.

Gründe für eine undurchsichtige Berechtigungsstruktur können sein:

  • Umstrukturierungen innerhalb der Organisation
  • Wechsel der technischen Plattform, von Personen und Aufgabengebieten
  • Manuelle Fehler bei der Berechtigungsvergabe
  • Dauerhafte Manifestierung von provisorischen Interimslösungen
  • Fehlende oder von den technischen Gegebenheiten abweichende Dokumentation
  • Wechselnde Anforderungen für den Datenzugriff

Gut zu wissen

Das Analysewerkzeug NTFS Permission Analyzer hilft Ihnen, den aktuellen IST-Zustand der NTFS-Berechtigungssituation auf Ihren Fileservern zu ermitteln. Gerade wenn man mit historisch gewachsenen Berechtigungsstrukturen konfrontiert wird, eine Fileservermigration ansteht oder eine Restrukturierung der Fileserver durchgeführt werden soll, ist der NTFS Permission Analyzer ein verlässliches Tool, um auf einfache Weise einen Überblick zu gewinnen.

Gleichzeit bereitet der NTFS Permission Analyzer auch den ersten Schritt auf dem Weg zur zukünftigen automatisierten Berechtigungsverwaltung über den Access Manager vor.

Das Berechtigungskonzept umsetzen: Welches Softwaretool unterstützt Sie auf welche Weise?

Die sichere Verwaltung von Berechtigungen gelingt mit einer Softwarelösung, die die IT-Administration unterstützt. Nur so kann langfristig eine Berechtigungsvergabe etabliert werden,

Inwiefern eine Softwarelösung bei der Erstellung eines neuen Konzeptes unterstützen soll, ist eine Entscheidung der Administration. Bei der Auswahl hilft es, intern zu klären: Welchen Grad an Unterstützung möchten wir nutzen und wie viel soll zukünftig automatisiert umgesetzt werden? Sie haben die Wahl zwischen Tools für die einfache Auswertung der bestehenden Situation bis hin zu einer vollumfassenden automatisierten Berechtigungsverwaltung, die sich gezielt an End-User und Datenverantwortliche richten.

Die technische Umsetzung erfolgt komplett über das System, sodass kein IT-Hintergrundwissen für die Benutzung benötigt wird. So können Berechtigung mittels Self-Service anwenderfreundlich und nachvollziehbar vergeben werden.

Das Ziel der automatisierten Berechtigungsvergabe mittels Self-Service ist die Verschiebung der Verantwortung und Bearbeitung der Berechtigungsprozesse weg von IT-Administrator:innen hin zu den Datenverantwortlichen. Nur wenn Berechtigungen nicht mehr „am System vorbei“ vergeben werden, sondern über die dafür vorgesehenen Beantragungs- und Freigabe-Workflows kann der definierte SOLL-Zustand nachhaltig beibehalten werden.

So unterstützen wir Sie dabei

Ihre Lösung rund um Fileserver, SharePoint, Active Directory und Drittsysteme – Vom Standardisieren der Benutzer- und Berechtigungsverwaltung bis hin zur Unterstützung bei der Versorgung mit IT-Diensten: Optimieren Sie mit dem BAYOOSOFT Access Manager ganze Prozessketten und reduzieren Sie nachhaltig die operativen Aufwände, während Sie gleichzeitig die Informationssicherheit steigern.

BAYOOSOFT Access Manager

Ihr Unternehmen ist auf der Suche nach einem starken Partner für Management Software Lösungen?

Nehmen Sie jetzt Kontakt zu uns auf und wir stellen Ihnen unverbindlich unsere Produkte vor.

Klingt spannend? Teilen Sie diesen Beitrag doch mit Ihrem Netzwerk.

Ihr Unternehmen ist auf der Suche nach einem starken Partner für Management Software Lösungen?

Nehmen Sie jetzt Kontakt zu uns auf und wir stellen Ihnen unverbindlich unsere Produkte vor.