Zugriffskontrolle, Teil 3

Aus MittelstandsWiki
Wechseln zu: Navigation, Suche

Rechte und Rollen erfordern Übersicht

pico

Von Oliver Schonschek

Ein alltägliches Szenario: Die Messevorbereitungen sind abgeschlossen und das Messeteam braucht nun keine Unterstützung aus den anderen Abteilungen mehr. Der Projektverantwortliche teilt daher den Administratoren mit, dass die temporären Mitarbeiter keine Zugriffe auf die kurzfristig freigegebenen Dateiverzeichnisse mehr benötigen. Der Administrator entzieht also umgehend die entsprechende Rechte. Und trotzdem können etliche Messehelfer immer noch auf die geschützten Verzeichnisse zugreifen.

Dass Zugriffsrechte doppelt vergeben und später nur einmal wieder entzogen werden, kommt oft genug vor. Meist ist Folgendes passiert: Im Vorbereitungsstress musste das Unternehmen schnell neue Messehelfer unter den Mitarbeiterinnen und Mitarbeitern finden. Anfangs wurden die Rechte noch den einzelnen Helfern zugeordnet, dann wurde das zu aufwendig. Eine Rolle „Messehelfer“ wurde angelegt und den weiteren Unterstützern zugeordnet. Beim Rechteentzug wurde aber nur die Rolle entzogen, während die anfangs verteilten Einzelberechtigungen bestehen blieben. So geistern in zahlreichen Organisationen Schattenrechte durch ein prinzipiell sauberes Zugriffskontrollsystem.

Karteileichen als Wiedergänger

Die doppelte Vergabe von Berechtigungen oder die Vergabe von Einzelrechten parallel zu entsprechenden Rollen ist leider keine Seltenheit. Entweder liegt es daran, dass verschiedene Administratoren unterschiedlich vorgehen, was darauf hindeutet, dass die Richtlinien für die Systemadministration und Rechtevergabe unzureichend sind. Oder ein Administrator ist dermaßen überfordert, dass er den Überblick verliert und Systemprivilegien mehrfach vergibt.

Neben der Doppelvergabe kommt es vielfach auch zu Berechtigungen, die einander widersprechen: Einmal ist dem Nutzer nur erlaubt, bestimmte Dateien zu lesen, ein anderes Mal bekommt er aber auch Schreibzugriff. Die daraus resultierenden Probleme der Zugriffskontrolle sind leider nicht immer auf Anhieb sichtbar.

Fazit: Privilegienmanagement schafft Transparenz

Viele der Fehler im Einsatz von Berechtigungssystemen sind eine Folge der großen Vielzahl an Anwendungen, Nutzern und Daten, der daraus erwachsenden Komplexität und der mangelnden Übersicht bei den geplagten Administratoren. Doch es gibt Werkzeuge, die die Administratoren entlasten und die Sorgfalt im Umgang mit den Berechtigungssystemen erleichtern: Softwarelösungen z.B. von Avecto, AppSense, Centrify oder NetIQ, die bei der Benutzer-, Rollen- und Rechteverwaltung helfen, haben in der Regel auch Funktionen an Bord, die bei der Vergabe von Zugriffsrechten einen Abgleich mit bereits bestehenden Privilegien des Nutzers vornehmen.

Serie: Zugriffskontrolle
Teil 1 beginnt damit, wie schwierig es ist, Dateien und Verzeichnisse nutzergenau freizugeben. Ohne geeignete Software ist das nicht zu schaffen. Teil 2 widmet sich den wichtigsten Instrumenten der Nutzerrechteverwaltung: Gruppen und Rollen. Teil 3 erklärt schließlich, mit welchen Hilfsmitteln man den Überblick behält, damit nicht Doppler und Überschneidungen die Sicherheit aushebeln.

Solche Systeme machen doppelt vergebene Berechtigungen ebenso automatisch sichtbar wie Widersprüche in den Zugriffsrechten. Ein weiterer Vorteil: Meist lässt sich damit auch eine zeitliche Befristung einstellen und umsetzen. Die Administratoren werden gewarnt, sobald Berechtigungen unstimmig, doppelt oder abgelaufen sind. Dadurch wird die Verwaltung der Zugriffsrechte transparenter und statt ungewollt Hintertüren für Datenmissbrauch offen stehen zu lassen, können die Systeme ihrer eigentlichen Kernaufgabe nachkommen: Daten besser zu schützen.

Nützliche Links