Datacenter-Sicherheit
Sicherer digitaler Geschäftsauftritt
Fortsetzung des Artikels von Teil 7
Expertenkommentar: Auch privilegierte User müssen Teil des Zugriffskontrollkonzepts sein
Norbert Drecker, Geschäftsführer von Twinsec: "Die Zugriffskontrolle über die eigenen Mitarbeiter hinaus auf die User bei den Geschäftspartnern und die Kunden auszudehnen, reicht heute nicht mehr aus. Die Administratoren müssen als privilegierte User Teil des Zugriffskontrollkonzepts und -schirms sein. Denn von ihnen mit ihren weitergehenden Berechtigungen für Anwendungen, Daten und Systeme kann eine besonders große Gefahr für die Geschäftsprozesse und somit auf das Business selbst ausgehen.
Dieser Gefahr nachhaltig zu begegnen, dafür müssen organisatorische und systemtechnische Voraussetzungen geschaffen werden. Die Berechtigungen der Administratoren müssen nach definierbaren Verfahren verwaltbar und jederzeit für Revisionen nachvollziehbar sein. Dazu sollte analysiert werden, welcher Administrator welchen Verantwortungsbereich hat und welche Berechtigungen er braucht, um die Anwendungen und Systeme seines Bereichs zu verwalten. Die Zuordnung seiner Berechtigungen sollte anhand einer Rolle erfolgen, die seinen Verantwortungsbereich widerspiegelt. Über solche Rollen kann nicht nur für jeden Administrator ein bedarfsgerechtes Zugriffsmanagement umgesetzt werden. Sie stellen auch mehr Regelkonformität und Compliance sicher. Im Krankheitsfall oder bei Urlaub kann die Rolle einfach und schnell dem Administrator zugewiesen werden, der zwischenzeitlich einspringen soll. Regelkonformität und Compliance werden so gewahrt.
Für die systemtechnische Umsetzung des Managements privilegierter User sollte die Lösung einige Voraussetzung erfüllen. Hier die wichtigsten: Sie sollte eigenständig und mit wenig Aufwand einzuführen und zu verwalten, bei Bedarf in ein übergreifendes User-Management integrierbar sein. Die Anmeldung der Administratoren an den berechtigten Systemen sollte über eine Zwischeninstanz erfolgen und nicht direkt an den Systemen über sein dort hinterlegtes Konto. Für eine zusätzlich abgesicherte Anmeldung empfehlen sich temporär gültige Security-Credentials. Der Administrator sollte außerdem den Grund seines Zugriffs, beispielsweise „Nutzer anlegen oder löschen“, eingeben müssen. Dadurch werden, abgeprüft anhand seiner Rolle, seine Aktivitäten auf die berechtigten eingegrenzt.
Natürlich sollten sämtliche Aktivitäten des Administrators protokollierbar sein. Darüber hinaus sollte die Lösung der Wahl alle installierten Standardsysteme einbinden, aber auch offen für die Aufnahme von Eigenentwicklungen sein. Wartet das Zugriffsmanagement und das anschließende Reporting mit genügend Voreinstellungen auf, wird beides aufwandarm über die Bühne gehen."
- Sicherer digitaler Geschäftsauftritt
- IT-Sicherheit: integrativer Bestandteil von Anfang
- Ohne Risiko kein Erfolg
- Expertenkommentar: Mit COBIT ein Governance-Modell entwickeln mit verbindlichen Zielen und Anweisung
- Expertenkommentar: Proaktives Monitoring
- Expertenkommentar: Eindeutige Identitäten und eine hieb- und stichfeste Zugriffskontrolle
- Expertenkommentar: Das leistungserbringende RZ muss sich als IT-Fabrik verstehen
- Expertenkommentar: Auch privilegierte User müssen Teil des Zugriffskontrollkonzepts sein
Lesen Sie mehr zum Thema
