{"id":297943,"date":"2024-08-04T00:01:00","date_gmt":"2024-08-03T22:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=297943"},"modified":"2024-07-31T19:37:18","modified_gmt":"2024-07-31T17:37:18","slug":"inventur-der-identitten-wie-man-zugriffsrechte-zertifiziert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/08\/04\/inventur-der-identitten-wie-man-zugriffsrechte-zertifiziert\/","title":{"rendered":"Inventur der Identitäten: Wie man Zugriffsrechte zertifiziert"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Wie haltet ihr es eigentlich mit der Zertifizierung von Zugriffsrechten f\u00fcr die Benutzer? Zugriffs-Zertifizierung beschreibt die unabh\u00e4ngige Pr\u00fcfung der Zugriffsrechte durch einen Auditor. Dieser untersucht, ob die den Benutzern gew\u00e4hrten Rechte wirklich notwendig sind. Ein gr\u00fcndlicher Prozess zur Zertifizierung des Benutzerzugriffs stellt sicher, dass die digitale Identit\u00e4t jedes Mitarbeiters nur die Berechtigungen hat, welche f\u00fcr die Erf\u00fcllung seiner Aufgaben n\u00f6tig sind. So wird auch die Sicherheit der internen Daten gew\u00e4hrleistet. Mir ist k\u00fcrzlich ein Text von Omada zugegangen, der sich mit dieser Fragestellung befasst. Ich stelle die Informationen mal hier im Blog ein.<\/p>\n

<\/p>\n

Wenn die Belegschaft w\u00e4chst und sich immer weiter ausdehnt, k\u00f6nnen sich die Zugriffsanforderungen im Handumdrehen \u00e4ndern. Unternehmen sollten darauf achten, dass sie ihren Mitarbeitern, externen Auftragnehmern, Pr\u00fcfern oder Saisonarbeitern nicht \u00fcberhastet zu viele Zugriffsrechte f\u00fcr die Erf\u00fcllung ihrer Aufgaben einr\u00e4umen, die gar nicht erforderlich sind. Meint jedenfalls Stephen Lowing, VP Marketing bei Omada.<\/em><\/p>\n

Um ernsthafte Sicherheitsrisiken und vers\u00e4umte Audits zu vermeiden, sollte jedes Unternehmen regelm\u00e4\u00dfige Zugriffs-Zertifizierungen durchf\u00fchren. Dieser Artikel kl\u00e4rt, welche Bereiche im Unternehmen man hierbei besonders priorisieren sollte und welche Vorteile Zugriffs-Zertifizierungen IT-Sicherheitsverantwortlichen bieten k\u00f6nnen.<\/p>\n

Wichtige Bereiche f\u00fcr die Zugriffskontrolle<\/h3>\n

Eine Liste \u00fcber aktive Zugriffs-Berechtigungen und ein Plan zum Entfernen von Zugangsrechten, die nicht mehr ben\u00f6tigt werden, sind das Herzst\u00fcck eines erfolgreichen IGA-Programms (Identity Governance and Administration). Dabei gibt es eine gro\u00dfe Anzahl von Variablen, die bestimmen, welche Zugangsrechte und Berechtigungen gew\u00e4hrt werden sollten:<\/p>\n

1. Gesch\u00e4ftsressourcen<\/p>\n

Verschiedene Personen ben\u00f6tigen Zugang zu verschiedenen Arten von Anwendungen, sei es Infrastruktur wie Azure oder AWS, Datenbanken, Kommunikationsanwendungen wie Teams und Slack, CRMs wie Salesforce oder ITSM-Tools wie ServiceNow.<\/p>\n

Ebenfalls gilt es zu beachten: Bestimmte Anwendungen sind nur f\u00fcr bestimmte Gruppen der Belegschaft erforderlich, w\u00e4hrend einige von ihnen von allen ben\u00f6tigt werden. Ein Beispiel f\u00fcr einen solchen gemeinsamen Nenner: H\u00f6chstwahrscheinlich ben\u00f6tigen alle Mitarbeiter in einer Organisation Zugang zu einem E-Mail-System.<\/p>\n

2. Arbeitsorte<\/p>\n

Je nachdem, wo die Mitarbeiter arbeiten, ben\u00f6tigen sie Zugang zu verschiedenen Dingen, beispielsweise zu physischen Standorten wie B\u00fcros. Ebenfalls denkbar ist, dass sie sich \u00fcber verschiedene VPN-Standorte, geografische Untergruppen von Anwendungen oder bestimmte Kundendaten anmelden m\u00fcssen, um die lokalen Datenschutzgesetze wie die Datenschutz-Grundverordnung (DSGVO) einzuhalten.<\/p>\n

3. Funktion oder Status des Arbeitsplatzes<\/p>\n

Die Arbeitsplatzfunktion ist meist an die Rolle im Unternehmen gebunden. Eine Person, die an einem Flie\u00dfband arbeitet, hat beispielsweise Zugriff auf fertigungsbezogene Systeme, w\u00e4hrend ein Back-Office-Mitarbeiter ganz andere Berechtigungen f\u00fcr die Finanz- und Buchhaltungsanwendungen des Unternehmens hat.<\/p>\n

Eine weitere Variable k\u00f6nnte die Art des Besch\u00e4ftigungsverh\u00e4ltnisses sein: Vollzeitbesch\u00e4ftigte sollten andere Zugriffsrechte erhalten als Zeitarbeitskr\u00e4fte und Zugang zu Ressourcen wie betrieblichen Leistungen haben. Es ist immer wichtig, Rollen und Kontexte als kritische Komponente f\u00fcr die kontinuierliche Verwaltung und Regelung von Zugriffsrechten zu identifizieren.<\/p>\n

Diese Variablen, die oft kontextabh\u00e4ngig sind, k\u00f6nnen auch auf der Grundlage von Ereignissen gew\u00e4hrt werden: entweder regelm\u00e4\u00dfig auftretende und geplante oder solche, die kurzfristig eintreten. Beispiele daf\u00fcr sind:<\/p>\n