Rechteverwaltung in Windows
Delegiert und revisionssicher
Die Aufgabe eines Dateiservers ist es, Speicherplatz bereitzustellen und Benutzern übers Netz Zugriff darauf zu gewähren. Die Komplexität der Rechteverwaltung wächst jedoch mit der Zahl der Benutzer und der Verzeichnisse - die Einhaltung von Compliance-Anforderungen wird dann zum Glücksspiel.
In modernen Arbeitsumgebungen gehören Mitarbeiter häufig mehreren zeitlich begrenzten – oft
virtuellen – Teams gleichzeitig an. Jedes Team greift auf spezifische Unternehmens-Ressourcen wie
gemeinsame Dateiablagen, Webanwendungen und Datenbanken zu. Die Verwaltung der so entstehenden
Berechtigungsrelationen wird als Access-Management bezeichnet.
Die Rolle der Administratoren
Normalerweise kümmern sich in Unternehmen die Administratoren um die Verwaltung der
Zugriffsrechte auf Dateiserververzeichnisse. Sie haben das technische Know-how dazu, können jedoch
nur ausführend tätig sein. Die Entscheidung nämlich, ob eine Berechtigung gewährt wird oder nicht,
muss von demjenigen getroffen werden, der die Verantwortung für die entsprechenden Daten trägt. Das
ist beispielsweise der Projektleiter oder der Abteilungsleiter. Darüber muss jederzeit die Frage
beantwortet werden können, wer Zugriffsrechte auf welche Daten im jeweiligen Verantwortungsbereich
hat, und gegebenenfalls, wann dies genau der Fall war.
Helpdesk-Probleme
Zusammen mit der Zahl der Verzeichnisse und Anwender steigt der Aufwand für die manuelle Pflege
im Helpdesk und in der Administration. In einem weltweit tätigen bayerischen Unternehmen etwa
trifft man auf über eine Million verwalteter Einzelrechte, die sich auf 45.000
Dateiserververzeichnisse verteilen. Dazu finden rund 30.000 Berechtigungsänderungen pro Monat
statt.
Langsame Berechtigungsvergabeprozesse sind oft die Konsequenz. Schlimmstenfalls treten auch noch
Medienbrüche (Papier/EDV) auf. Verschärft durch unklare Vergabeprozesse und Zuständigkeiten, führen
diese zu ineffizienten Wartezeiten und zu sicherheitskritischen "Notlösungen", etwa zum Kopieren
der Daten oder zum "Ausleihen" von Passwörtern durch Mitarbeiter.
Scheiden Mitarbeiter aus Teams oder aus einem Unternehmen aus, sollten auch damit verbundene
Berechtigungen entzogen werden. Ohne durchgängiges Access-Management bleiben Zugriffsrechte aber
meist erhalten. Während einer Unternehmenslaufbahn sammeln sich so immer mehr Berechtigungen an.
Diese Situation kann zu Datenschutzverletzungen führen und den hochprivilegierten Mitarbeiter
überdies ungewollt zu einem Angriffsziel machen.
Mit passenden Tools lässt sich im geschilderten Bereich Geld einsparen und die Sicherheit
erhöhen. Die bewährten Konzepte User-Self-Service und delegierte Administration sollten dabei
kombiniert werden. Während der User-Self-Service den Anwendern die Möglichkeit gibt, ihre
Berechtigungen selbst zu beantragen, versetzt die Delegation der Administration die
Fachverantwortlichen in die Lage, zeitnah und direkt die Anträge abzuarbeiten. Die Kombination der
Konzepte führt somit zur weitestgehenden Eliminierung aller manuellen Eingriffe des Helpdesks und
der Administration.
Zentrales Auditing und Reporting
Da bei kompletter Prozessumstellung das gesamte Berechtigungsantragswesen der Dateiserver über
eine Softwareinstanz läuft, ist eine zentrale Audit- und Reporting-Stelle verfügbar, was für
IT-Security-Audits interessant ist: Über Reports lassen sich Datenschutzverletzungen,
Rechtekumulierungen oder unverwaltete Ressourcen erkennen.
Optimalerweise sollte sich die Verwaltungssoftware mit Quotenmanagement-Produkten kombinieren
lassen. Damit ist das Einrichten und Verwalten von Quoten bereits in die Dateiserverprozesse
eingebunden. Dies dient dem Ziel, Dateiserverressourcen intern verrechnen zu können
(Accounting).
Bei der Bewältigung der technischen Komplexität hilft NTFS/CIFS und Active Directory, indem
unterschiedliche Arten von Gruppen verschachtelt und für den Zugriff auf Objekte im Dateisystem
berechtigt werden können. Ein bewährter Ansatz ist es, eine domänen-lokale Active-Directory-Gruppe
für die Leseberechtigungen und eine für die Änderungsberechtigungen pro verwaltetem Verzeichnis
anzulegen (siehe Architektur-Grafik). Die Anwender oder auch Gruppen, die dann für den Zugriff auf
ein Verzeichnis berechtigt werden sollen, müssen lediglich noch Mitglied der entsprechenden
Sicherheitsgruppe werden. Diese Gruppenstrategie nennt sich A-DL-P (Account Domain Local Group,
Permission).
Will man die Berechtigungsvergabe transparent, nachvollziehbar und effizient gestalten, führt
kein Weg an einem softwareunterstützten und unternehmensweit festgelegten
Berechtigungsvergabeprozess vorbei. Hier bieten sich bei geschickter Umsetzung große
Einsparungspotenziale durch Entlastung des Helpdesks an. Darüber hinaus erreicht man durch die
Vereinfachung des Vergabeprozesses mittels User-Self-Service eine hohe Benutzerakzeptanz und
Benutzerfreundlichkeit.
In der Praxis ist die Vergabe von Berechtigungen oft nicht in eine Policy oder in einen
Vergabeprozess integriert. Dies führt dazu, dass ein Mitarbeiter sich erst mal bei Kollegen oder
dem Abteilungsleiter "durchfragen" muss, um den korrekten Ansprechpartner für eine benötigte
Berechtigung zu finden – oft ist der Verweis auf den Helpdesk das einzige Ergebnis dieser
Recherche. Auch die Freigabe oder Ablehnung des Berechtigungsantrags nimmt individuelle Wege, die
weder dokumentiert noch nachvollziehbar sind. Oftmals vergehen Tage, bis der Anwender auf die Daten
zugreifen kann. Damit die Produktivität nicht zu sehr leidet, besorgen sich ambitionierte
Mitarbeiter Kopien der Daten von Kollegen. Die Einhaltung von Compliance-Anforderungen wird damit
unberechenbar.
Standardisierte Vergabeprozesse
Verbessern lässt sich die Situation durch Etablieren eines unternehmensweit verbindlichen
Berechtigungsvergabeprozesses. Der Aufwand, einen solchen Prozess einzuführen und ständig die
Prozessqualität zu überprüfen ist aber durchaus erheblich, insbesondere wenn alternative, "
informelle" Wege weiterhin möglich sind. Ohne Software-Unterstützung stößt man schnell an Grenzen –
sowohl hinsichtlich des zu betreibenden Aufwands und damit der Wirtschaftlichkeit, als auch bei der
Akzeptanz aller Stakeholder (Administratoren, Verantwortliche, Helpdesk, Anwender).
Die Workflow-Grafik zeigt, wie ein optimaler Prozess aussehen muss: Ein Benutzer benötigt
Zugriff auf ein gesperrtes Verzeichnis. Per Mausklick auf einen Link im Dateisystem startet er eine
Webanwendung und trägt seinen Zugriffswunsch ein (Lesen, Ändern), gegebenenfalls mit Begründung.
Der für die Daten zuständige "Verzeichnisverantwortliche" erhält eine E-Mail und kann mit einem
Klick zustimmen oder ablehnen. Daraufhin wird der Antragssteller informiert und kann bei Zustimmung
auf die gewünschten Daten zugreifen. Der Vorgang wird im System dokumentiert. Anforderungen an
Komfort, Sicherheit und Transparenz werden gleichermaßen berücksichtigt.
Fazit
Durch die Einführung einer softwaregestützten Berechtigungsverwaltung von Dateiserverressourcen,
die die Konzepte des User-Self-Service und der delegierten Administration einbezieht, lassen sich
ROI und gleichzeitige Steigerung der Unternehmenssicherheit recht schnell erreichen.
Sowohl die technische als auch die organisatorische Komplexität der Einführung einer solchen
Lösung sind problemlos beherrschbar.
Lesen Sie mehr zum Thema
