Die versteckte Gefahr manueller Berechtigungsvergaben
Schnell, unbürokratisch und unkompliziert – so scheint die Rechtevergabe im System abzulaufen, wenn sie manuell von Administrator:innen durchgeführt wird. Dass das Need-to-know-Prinzip damit nur schwer umzusetzen ist, liegt auf der Hand. In der Praxis sammeln sich jedoch meist im Laufe der Zeit immer umfangreichere Berechtigungen, die längst nicht alle benötigt werden. Doch das ist noch nicht alles. Neben dem Aufwand, der mit einer manuellen Verwaltung verbunden ist, und den historisch gewachsenen Berechtigungen kommt ein weiteres Problem hinzu: Undokumentierte, von Hacker:innen angelegte AD-Gruppen.
Genau hier greift der Access Manager ein und bietet durch den automatischen SOLL-IST-Abgleich eine Möglichkeit, den wachsenden Berechtigungen und schädlichen AD-Gruppen Einhalt zu gebieten. Warum es nicht ausreicht, manuell Änderungen zu dokumentieren und diese selbst zu beseitigen, erklären wir Ihnen.
Sicherheitslücken durch manuelle Berechtigungsvergaben
Sicherheitslücken durch manuelle Berechtigungsvergaben
Im Rahmen der Exchange-Hacker:innenangriffe der jüngeren Vergangenheit ist eine der Angriffstaktiken oftmals das Anlegen neuer AD-Gruppen, welche Zugriff auf die Fileserver bekommen. So erhalten Hacker:innen Zugriff auf geheime Elemente. Gerade die manuelle Vergabe von Berechtigungen macht es hierbei schwierig für einen Admin zu erkennen, welche Änderungen von Außen und welche von Innen gesetzt wurden. Dementsprechend kann es lange dauern, bis erkannt wird, welche Gruppen denn zu “den Bösen” gehören. Dabei verstreicht wertvolle Zeit, in der Unmengen an sensiblen Daten abgegriffen werden können. Ein anderer Gegenschlag wäre es natürlich, vorrübergehend alles lahmzulegen, die Nachteile einer solchen Aktion sollten jedoch auf der Hand liegen. Und nach diesen Maßnahmen ist am Ende immernoch nicht klar, von wo genau die Rechte und Gruppenkamen und wer sie eingefügt hat. Das heißt, effektiv die Sicherheitslücke zu schließen, um zukünftige Angriffe nachhaltig zu verhindern, wird aufwändig und kompliziert.
Die Funktionsweise des Access Manager
Mit dem Access Manager wird diese Schwachstelle behoben. Der automatische SOLL-IST-Abgleich erkennt AD-Gruppen und löscht diese nicht nur direkt, sondern er erstellt darüber hinaus eine detailreiche Dokumentation. Dadurch werden AD-Gruppen leicht zurück verfolgbar und Sicherheitslücken geschlossen. So wird weiterer Schaden effektiv vermieden.
Der Access Manager positioniert sich als die primäre Datenquelle des Berechtigungssystems. Alle Änderungen, die im Access Manager hinterlegt und mittels eines Workflows gesetzt wurden, werden im System schließlich umgesetzt. Alle weiteren AD-Gruppen und Berechtigungen werden entfernt, umfangreich auditiert und können mit umfassenden Berichten auch im Nachhinein genau untersucht und nachverfolgt werden.
Flexibilität trotz Sicherheit
Sollten Sie dennoch den Wunsch haben, Zugriffsrechte direkt einzurichten, ist dies möglich. Portale für Administrator:innen und direkte Berechtigungsvergaben gibt es auch innerhalb des Access Manager. Der SOLL-IST-Abgleich kann hier sofort angestoßen und das gewünschte Recht umgehend im System umgesetzt werden – als primäre Datenquelle, nachverfolgbar und sicher.
