Sicherstellung der Compliance hinsichtlich Benutzerberechtigungen auf den File Shares ist nicht nur ein Thema von Identity & Access Management.
Die Antwort auf die Frage „Welche Berechtigungen (lesen, schreiben oder löschen) hat Max Mustermann aktuell für welche Verzeichnisse?“ kann in der Regel, auch unter Nutzung eines IAM-Tools, nicht beantwortet werden. Die technischen Voraussetzungen für die Transparenz der Benutzerberechtigungen auf die im Unternehmen verfügbaren File Shares und Laufwerken sind häufig auf Grund gewachsener Strukturen nicht vollumfänglich und ad hoc verfügbar. Ursache dafür ist zum einen ein Feature von Microsoft, dass beim Verschieben von Verzeichnissen, die dort mit abgelegten Berechtigungen der User mit verschoben werden. Dies wird jedoch in den verfügbaren Systemen meist nicht mitprotokolliert. Zum anderen der Effekt, dass den langjährigen Mitarbeitern, die in ihrer Kariere unterschiedliche Funktionen im Unternehmen wahrgenommen haben, in der Vergangenheit beim Wechsel der Funktion nicht immer die nicht mehr erforderlichen Berechtigungen entzogen wurden.
Unabhängig der Nichterfüllung der regulatorischen Anforderung bestehen wegen dieser fehlerhaften Berechtigungen reale Risiken für das Unternehmen. User Accounts, sowohl aktive als auch inaktive besitzen Zugriffsrechte auf Daten, die für den Mitarbeiter nicht mehr verfügbar sein dürften. Insbesondere bergen inaktive Accounts die Gefahr, dass diese von internen und externen Hackernunbemerkt genutzt werden können. Für hoch privilegierte Accounts mit Admin-Rechten ist das Schadenspotential sogar noch deutlich größer.
Ziele, pragmatisches Vorgehen und Methoden
Auf dem Markt existieren einige Tools, die für eine Analyse der Berechtigungen im Microsoft Umfeld entsprechende Reports erstellen können. Mittels PowerShell-Scripten lässt sich das gesamte Active Directory (AD) auslesen. Bei einer Analyse des AD in Bezug auf die Verzeichnisstruktur eines Bereichs mit insgesamt 45 Mitarbeitern wurden über 1.000 Berechtigungsgruppen mit mehr als 350 Userzugriffsberechtigungen identifiziert. Bei dieser Konstellation wird schnell erkennbar, dass ein Compliance-gerechtes „Aufräumen“ einer Sisyphus Arbeit nahe kommt.
Es besteht keine Notwendigkeit die Ursachen und den Werdegang zum aktuellen Ist- Zustand festzustellen. Wichtig für das Unternehmen ist das Erreichen des Soll- Zustandes. Das sollte die Prämisse und der Auftrag zur Umsetzung und Bereinigung der Berechtigungen auf den File Shares sein. Erarbeitete Analyseergebnisse, die weder gefordert noch genutzt werden, kosten Geld und bieten keinen Mehrwert! Wichtig ist jedoch die Ausganssituation zu dokumentieren, um den Erfolg der Maßnahme (Migration) nachweisen zu können. Der Soll- Zustand bedarf der Berechtigungen für die aktiven Mitarbeiter im Unternehmen. Innerhalb jedes Bereichs, jeder Abteilung und Gruppe sind die Mitarbeiter bekannt. Deren Berechtigungen auf den Verzeichnisstrukturen können mit wenig Aufwand erhoben und dokumentiert werden. Die Entscheider vermögen mit Hilfe einer von der Personalabteilung zur Verfügung gestellten Mitarbeiterliste, mit den entsprechenden Angaben zur Organisation, Rolle und einer digitalisierten Verzeichnisstruktur ihres Verantwortungsbereichs, eine Zuordnung von Mitarbeiterberechtigung zur Verzeichnisstruktur vornehmen. Es ist von Vorteil, die organisatorischen Aufgaben von den technischen Umsetzungsmaßnahmen zu trennen. Der Mehrwert des Umsetzungsteams besteht darin, die Mitarbeiter aus den Fachbereichen soweit als möglich zu entlasten. Das Umsetzungsteam erstellt die Vorlagen, die den Fachbereich in die Lage versetzen die erforderliche Entscheidung und Zuordnung zu treffen. Die Ergebnisse werden dokumentiert und an die technische Unterstützung innerhalb des Projektteams übergeben. Die Soll-Struktur wird dem Fachbereich zur Abnahme vorgelegt. Die Soll- Struktur wird durch das technische Team vorbereitet und in einer neuen File Share-Struktur abgebildet bzw. migriert. Der Fachbereich verifiziert die neue Struktur, gemäß ihrer abgenommenen Vorgabe und erteilt die Freigabe zum Go Live. Innerhalb von wenigen Stunden erfolgt nach der Kernarbeitszeit gemäß Abstimmung mit dem Fachbereich eine Delta-Copy der aktuell modifizierten Files, so dass am nächsten Arbeitstag dem Fachbereich die neue Struktur und die neuen Berechtigungen zur Verfügung stehen. Nach einer 14-tägigen Hyper-Care-Phase werden die alten Daten und Berechtigungen vollständig gelöscht. Diese Vorgehensweise erfolgt agile mit jedem Fachbereich, um sicher zu stellen, dass die fachbereichsspezifischen Anforderungen berücksichtigt werden.
Technische Lösungsmöglichkeiten
Durch die entsprechende Umsetzung besteht die Möglichkeit, mit geringem Zusatzaufwand weitere Synergieeffekte zu erzielen. Durch die Einführung von einem Distributed File System (DFS) erfolgt eine logische Zuordnung zwischen Physik (Hardware) und den Daten. Dies erleichtert zukünftig das Aufteilen oder Zusammenführen von unterschiedlichen Organisationseinheiten.
Eine gängige Praxis ist das Abbilden der Organisationsstruktur im File System (siehe Abbildung 1).
Abb. 1: Abbilden der Organisation im File System
Die Bereichsleitung hat Zugriff auf alle Verzeichnisse innerhalb ihrer Organisation. Die Teamleitung sieht alle Verzeichnisse innerhalb ihres Organisationsbereichs und hat in der Regel nur die Zugriffsberechtigung auf ihre Teamverzeichnisse. Bei dieser Nachbildung der Organisation muss das Team sich über den Pfad Bereich – Abteilung – Team zu seinen Verzeichnissen mittels Drilldown bewegen. Praxis ist, dass in die Favoriten ein Link abgelegt wird.
Das Einführen von Berechtigungen nur auf oberster File-Ebene bei gleichzeitiger Vererbung der Berechtigungen an alle Verzeichnisse unterhalb dieser Ebene vereinfacht die Transparenz und Nachweisbarkeit von Userberechtigungen. Eine sinnvolle Erweiterung ist es, dass jedem User nur jene Verzeichnisse auf seinem Explorer angezeigt werden, auf die er eine Berechtigung erhalten hat. So wird die Menge der visualisierten Verzeichnisse reduziert und damit die Übersichtlichkeit erhöht.Zusätzlich vermindert diese Form der Implementierung, dass bei der Suche nach einem Dokument nicht benötigte Verzeichnisse geöffnet werden müssen (siehe Abbildung 2).
Abb. 2: File System mit flacher Struktur
Das Löschen von nicht mehr erforderlichen Daten birgt ein hohes Einsparpotenzial. Die Analyse der Altersstruktur innerhalb der gespeicherten Daten zeigt erfahrungsgemäß, dass es einen hohen Anteil an Dokumenten gibt, die älter als 4 Jahre sind. Nicht selten ist dieser Anteil größer 50 %. Bei einem Datenvolumen von beispielsweise 25 Terrabyte und einem angenommen monatlichen Servicepreis von 2 Euro pro GB kann über eine viertel Million Euro p.a. eingespart werden.
Eine End-to-End Betrachtung erzeugt Mehrwerte, indem die zukünftigen Möglichkeiten in den aktuellen Umsetzungsmaßnahmen mitbetrachtet und der Datenaustausch vorbereitet und unterstützt wird. In der Regel sind im Personalsystem die Mitarbeiter und deren Funktion dokumentiert. Sofern eine Schnittstelle zwischen dem Personalsystem und dem Identity & Access Management Tool (IAM-Tool) implementiert und ein Datenaustausch zwischen diesen Systemen möglich ist, vereinfacht diese Schnittstelle signifikant den Verwaltungsaufwand sowohl auf der Fachbereichsseite, als auch bei der Administration.
Folgen wir dem Szenario eines Wechsels eines Mitarbeiters aus der Abteilung Backoffice zur Kreditberatung:
Im IAM-Tool sind die fachlichen Rollen definiert, die innerhalb eines Fachbereichs zur Umsetzung seiner Aufgaben erforderlich sind. Mittels der Berechtigungselemente und den entsprechenden AD-Gruppen kann der Mitarbeiter die Anwendungen und File Shares aufrufen und nutzen. Sind die technischen Möglichkeiten und Schnittstellen entsprechend implementiert, können durch die Änderung im Personalsystem, und mit der Weitergabe der Informationen an die nachfolgenden Systeme, alle bestehenden Berechtigungen entzogen, und alle neuen erforderliche Berechtigungen in seiner neuen Funktion z.B. in der Kreditberatung ohne zusätzlichen manuellen Aufwand erteilt werden.
Abb. 3: Big Picture Zusammenspiel User-IAM - Active Directory
Die Zukunft beginnt jetzt
Die strategische Ausrichtung der IT, zukunftsorientierte Technologien zu nutzen, Betriebskosten und Transformationskosten bei organisatorischen Änderungen zu reduzieren ist mit entsprechendem know how realisierbar. Bei Umsetzungsmaßnahmen, insbesondere bei technischen und gleichzeitig organisatorischen Maßnahmen, lohnt sich der Blick über den Tellerrand. Der Weitblick, der die Randthemen mitbetrachtet und Synergiepotenziale aufzeigen kann, ermöglicht Ihnen die Entscheidung, welchen Nutzen Sie für Ihr Unternehmen generieren wollen. Für den Einsatz der Blockchain-Technologie und der Self-Sovereign Identity (SSI) ist eine datenkonsistente Datenbasis erforderlich. Unsere Philosophie von STRANGE Consult hat den Blick auf das Ganze und hilft Ihnen Mehrwerte zu erzielen. Bereits das Morgen bedenken, um heute vorbereitet sein und Ihre Wettbewerbsvorteile zu unterstützen.
Unser Autor: Bernhard Friedmann