Berechtigungsanalysen als Schlüssel für die IT-Sicherheit
Die eigenen Mitarbeiter sind oft das größte Risiko für sensible Unternehmensdaten. Manche geben, sei es aus Vorsatz oder aus Schlampigkeit, vertrauliche Informationen weiter und schaden damit dem Unternehmen. Daher ist die Frage, wer was darf und worauf Zugriff hat, sehr wichtig. Im Kern geht es darum, dass ein Mitarbeiter nur an die Daten kommt, die er für seine Arbeit benötigt. Tatsächlich stellen Zugriffsrechte ein flexibles Gebilde dar: Mitarbeiter wechseln die Abteilung, arbeiten in unterschiedlichen Teams, Externe bekommen Zugriffsrechte für bestimmte Projekte und Systeme in Filialen werden miteinander verknüpft. Umso wichtiger ist es zu wissen, worauf jeder einzelne User zugreifen kann.
Risiken müssen erkannt werden
Obwohl diese Tatsache den meisten IT-Abteilungen bewusst ist, ist das Thema Berechtigungsmanagement oft dennoch unzureichend gelöst. Das liegt meist daran, dass Berechtigungsmanagement eine mühsame Aufgabe mit vielen manuellen Schritten ist. Ein unübersichtlicher Wildwuchs an Berechtigungen birgt für ein Unternehmen erhebliche operative und auch finanzielle Risiken. Mancher Mitarbeiter darf, ohne dass IT und Geschäftsleitung das wissen, Handlungen ausführen, zu denen er gar kein Recht hat. So kann vielleicht ein Praktikant die Bilanzen lesen – im schlimmsten Fall sogar nach seinem Ausscheiden aus dem Unternehmen. Ein Mitarbeiter wiederum, der sowohl Rechnungen schreiben wie auch Überweisungen tätigen darf, könnte womöglich auf dumme Gedanken kommen. Die Berechtigung dazu ist an sich noch nicht das Problem – wenn sie und die damit verbundenen Risiken bekannt sind. Diese Risiken kann nicht allein die IT-Abteilung einschätzen, hier sind zunehmend die Fachabteilungen gefordert. Die brauchen dazu aktuelle und verlässliche Informationen.
Professionelle Software ermöglicht Analyse per Mausklick
Entscheidend ist, einen stets aktuellen Überblick über die Berechtigungen zu haben. In vielen Unternehmen wird das auf die lange Bank geschoben, da die Aufgabe unangenehm ist. Hinzu kommt: Umstrukturierungen, Zukäufe und Mitarbeiterfluktuation verändern die Rechte in einer IT-Landschaft ständig, was es noch schwieriger macht. Ein genauer Überblick ist aber wichtig für die internen Prüfstellen wie IT-Revision oder Geschäftsleitung. Zudem gibt es immer mehr gesetzliche Vorschriften (Zum Beispiel im Bundesdatenschutzgesetz) oder Standards wie ISO 2700x. Ein Unternehmen mit einem großen Windows-Netzwerk hat dabei das Problem, dass es vom Hersteller Microsoft kein Tool gibt, um Fileserver- und Sharepoint-Architekturen sowie das Active Directory nach Berechtigungen zu analysieren. Eine professionelle Software für IT Dokumentation wie Docusnap gewährleistet, dass die Berechtigungen per Mausklick stets aktuell und umfassend nachvollziehbar sind.