Das sogenannte Need-to-know-Prinzip der IT-Sicherheit beschreibt ein primäres Sicherheitsziel bei der Vergabe von Benutzerberechtigungen. Dabei geht es darum, dass Anwendern nur genau die Zugriffsrechte eingeräumt werden, die sie für die Durchführung ihrer Aufgaben benötigen. Und es geht noch einen Schritt weiter, denn es fordert die Möglichkeit des Zugriffs nur für die Zeitspanne, in der dieser für eine bestimmte Aufgabe benötigt wird. Letzteres ist in der Form in einem normalen Unternehmen in meinen Augen nicht so entscheidend. Denn bei der täglichen Arbeit kann dies prinzipiell jederzeit vorkommen. Wichtiger als der zeitlich begrenzte Zugriff ist die Art und Weise, wie Berechtigungen auf Dateien überhaupt den einzelnen Anwendern gewährt werden.
Man unterscheidet zwei Arten von Freigabesteuerung
- Rollenbasierte Zugriffskontrolle oder Role Based Access Control (RBAC)
- Benutzerbestimmbare Zugriffskontrolle oder Discretionary Access Control (DAC)
Als Voraussetzung für eine rollenbasierte Zugriffskontrolle benötigen Sie einen Verzeichnisdienst in Ihrem Netzwerk. Diese Bedingung, beispielsweise durch Einsatz von Microsoft Active Directory oder OpenLDAP sollte heute in den meisten Netzwerken bereits gegeben sein.
Über die Bildung von Benutzergruppen gleicher Anforderungen, wie den Zugriff auf Ordner und Dateien, werden entsprechende Rollen gebildet. Damit vereinfachen Sie die Administration und verbessern die Übersicht. Durch diese Gruppierungen werden Zugriffsrechte gebündelt. Die einzelnen Anwender werden dann den Rollen zugeordnet und nicht direkt einer Freigabe. Die grundlegende Zusammenfassung in Rollen dürfte sich an der Abteilungs- oder Teamzugehörigkeit orientieren.
Bei benutzerbestimmbaren Zugriffskontrollen dagegen werden Benutzer einzeln in den Berechtigungen eingetragen. Auf jeden Ordner, Netzwerkdrucker, Datenbank, etc. Hier stoßen Sie aber ganz schnell an Grenzen, da die Übersicht, worauf ein Benutzer Zugriff hat, schnell verloren geht. Zugriffe lassen sich zwar granular steuern, es bedeutet jedoch einen hohen administrativen Aufwand in der IT.
Egal welche der beiden Möglichkeiten der Zugriffssteuerung Sie einsetzen, in jedem Fall sollten Sie dokumentieren, warum eine Freigabe erteilt wurde. Vielleicht soll eine Freigabe auch mal zeitlich begrenzt werden, z.B. bei Auszubildenden oder Praktikanten. Dann benötigen Sie die Möglichkeit ein zeitliches Ablaufdatum einer Freigabe zu dokumentieren und sich einen Termin zu setzen. Dedizierte Lösungen für ein Access Management bieten solche Möglichkeiten. Hier kann auch zu jeder Freigabe direkt ein Grund dokumentiert werden. Solche Lösungen sind aber meist relativ teuer. Sie können deshalb diese Anforderung auch über Ihr Ticketsystem lösen. Dies ist genauso elegant, einzig die Revisionssicherheit ist häufig weniger gegeben. Ob dieses Merkmal für Sie entscheidend ist oder nicht, muss jeder für sich selbst entscheiden und hängt von den Anforderungen im Unternehmen ab.
Beispiel einer Beantragung einer Zugriffsberechtigung
Nach ITIL stellt jede Veränderung in den Zugriffsrechten einen Change dar. Dieser wird als Ticket in Ihrem Ticketsystem beantragt. Dieser Antrag muss an den Eigentümer des betreffenden Ordners zur Bearbeitung weitergeleitet werden. Dann kann dieser eine Freigabe erteilen oder ablehnen. Es sollte auf jeden Fall ein Grund für die Entscheidung hinterlegt werden. Häufig besteht in Ticketsystemen die Möglichkeit Workflows zu hinterlegen. Damit lässt sich der Ablauf optimal automatisieren. Der IT-Mitarbeiter hat dann auch immer alle Informationen beisammen und kann die Freigabe ohne weitere Verzögerung gewähren, wenn alle Beteiligten den Vorgang genehmigt haben.
Die Anwendung dieser Zugriffskontrollen setzt aber voraus, dass die IT-Abteilung in die Abläufe eingebunden und informiert wird! Es darf nicht passieren, dass Administratoren erst Wochen oder Monate später von einem Abteilungswechsel oder Ausstellung eines Mitarbeiters erfahren. Personaländerungen und die somit notwendigen Änderungen in der Zugriffsstruktur müssen zeitnah kommuniziert werden. Sonst kann nicht gewährleistet werden, dass Anwender wirklich nur auf die Informationen Zugriff haben, die sie für Ihre Tätigkeit benötigen.
Docusnap unterstützt bei der Dokumentation und Analyse von Zugriffsberechtigungen
Mit der Dokumentationssuite Docusnap können Sie die aktuellen Berechtigungen Ihrer Windows Fileserver, SharePoint und Exchange Server von zentraler Stelle inventarisieren und auswerten. Den Accounts werden über die Inventardaten des Active Directory Verzeichnisdienstes der Benutzer- oder Gruppenname zugeordnet. Über grafische Darstellungen können Sie sich visualisieren lassen, in welchen Berechtigungsgruppen ein Account Mitglied ist. In Berechtigungstabellen können Sie detailliert nachlesen, welche Zugriffsrechte bestehen und können auch die Herkunft zurückverfolgen. Je nachdem wie die Historie der durchgeführten Inventarisierungsscans eingestellt ist, können Sie auch nachlesen, ob an einem bestimmten Tag der Zugriff möglich war. Dies kann auch durch Archivierung entsprechender PDF-Dokumente aus der Rechteanalyse umgesetzt werden. Das alles bekommen Sie über eine manuelle Erfassung und Dokumentation der Berechtigungen nicht hin.
Sie können Berichte definieren und automatisch aktualisieren lassen. Damit können Sie den jeweiligen Eigentümern der Ordner die Möglichkeit geben, sich jederzeit selbstständig über bestehenden Freigaben zu informieren. Binden Sie die Fachbereiche mit ein, machen Sie diese Arbeit transparent. Für Freigaben sind IT-Abteilungen nur die ausführenden Organe. Verantwortlich für die Notwendigkeit einer Freigabe sind die jeweiligen Fachabteilungen.