Audits sollen in regelmäßigen Abständen prüfen, ob die Prozesse in Organisationen oder Unternehmen gesetzeskonform ablaufen. Diese Revisionen sind häufig mit einer großangelegten Datenerhebung verbunden. Die Daten, die ein IT-Team zum Zeitpunkt einer Prüfung sammeln muss, variieren je nach Unternehmen und hängen von einer Reihe organisatorischer Faktoren ab: Dem Sektor, dem die Firma angehört, der Unternehmensgröße, dem Firmensitz sowie der Kundenzahl und deren Ansässigkeit. Auch der Standort der Rechenzentren – ob in der Cloud oder vor Ort – sowie der physische Speicherort sind von Interesse. Diese Kriterien bauen auf Rechtsvorschriften auf und variieren je nach Sektor. Meist handelt es sich dabei um Gesetze zu Datenschutz (GDPR) und Finanzbetrug (SOX), die von der EU oder einzelnen Staaten erlassen wurden. Bevor man sich jedoch mit den technischen Aspekten eines Audits auseinandersetzt, gibt es einige Konzepte, deren Verständnis unabdinglich ist, um die Prüfer zu überzeugen:
Verständnis für unterschiedliche Konzepte
Schreckgespenst Audit? Das muss nicht sein. © Mohamed Hassan @Pixabay
1. Durchführung und Verwaltung der Rollen.
Rollen dienen der Verteilung und Bündelung von Aufgaben. Das gilt auch in der IT und bedeutet dort, dass für jede Benutzergruppe im Unternehmen unterschiedliche Rollen samt Verantwortlichkeiten definiert und dokumentiert werden müssen. Dazu gehören alle Mitarbeitergruppen von Vollzeitangestellten über IT-Administratoren bis hin zu externen Auftragnehmern. Die Erstellung von Rollen geschieht auf. Grundlage der Eigenschaften eines Mitarbeiters wie Arbeitsfunktion, Beschäftigungsstatus, Arbeitsstandort und Betriebszugehörigkeit. Um bei der Identitätsverwaltung nicht den Überblick zu verlieren und Sicherheitslücken zu riskieren, empfiehlt sich die Implementierung einer Lösung für Rollen- und Zugriffsmanagement. Damit lassen sich Kernprozesse für das Berechtigungsmanagement standardisieren. Ohnehin sollte die Aktualität der Zugriffskontrollen durch Befragungen laufend zertifiziert und validiert werden, denn genau das wird höchstwahrscheinlich auch bei einem Audit zutage treten. Oftmals müssen Unternehmen nachweisen, dass die richtigen Personen aus den richtigen Gründen Zugang zu den richtigen Ressourcen haben.
2. Durchsetzung des Need-To-Know-Prinzips des geringsten Rechtsanspruchs.
Im Rahmen eines Audits will ein Prüfer sehen, dass die Mitarbeiter nur Zugang zu den Informationen haben, die sie für ihre Arbeit benötigen. Das auch als Need-To-Know-Prinzip des geringsten Rechtsanspruchs gilt, ganz besonders für sensible Informationen wie personenbezogene Daten, Gesundheitsdaten und Kreditkarteninformationen. Über die Einrichtung von Rollen muss hier sichergestellt werden, dass die Zugriffsrechte der Personen, die innerhalb des Unternehmens fluktuieren, korrekt zugewiesen werden.
Ein Beispiel: In einem Einzelhandelsunternehmen soll das IT-Team als Urlaubsvertretung mit der Verwaltung von Kundendaten betraut werden. Hier öffnet sich eine Sicherheitslücke, wenn der Zugriff auch nach der Vertretungsphase bestehen bleibt. Die Prüfer werden wahrscheinlich den Nachweis verlangen, dass die Mitarbeiter nur über die Mindestzugriffsrechte verfügen, die sie für ihre Arbeit benötigen. Alle Abweichungen müssen dann begründet und, sofern keine technische Lösung implementiert ist, aufwändig dokumentiert werden.
3. Trennung der Aufgaben.
Die Trennung der Zuständigkeiten (Separation of Duties – SoD) bezieht sich auf das Konzept, dass kein Benutzer genügend Privilegien erhalten sollte, um das System zu missbrauchen. Dies wird über zwei Indikatoren geprüft: Entweder über die Durchsetzung von Kontrollen in Echtzeit. Oder über die Feststellung potenziell toxischer Zugriffskombinationen. Wie sieht eine solche Kombination aus? Auch hier hilft ein Beispiel. Ein Berater bei einer Bank sollte niemals in der Lage sein, gleichzeitig ein Konto zu eröffnen oder zu schließen und zusätzlich Transaktionen vornehmen können. Hierbei spricht man von toxischen Zugriffsrechten. Denn diese Kombination würde der Person ermöglichen, Konten zu öffnen, gestohlenes Geld auf dieses einzuzahlen, es auf ein anderes Konto zu überweisen und jegliche Beweise darüber hinterher zu löschen. Ein Fall, der in der Theorie sehr perfide und unwahrscheinlich klingt, den eine Bank jedoch tunlichst vermeiden will. Prüfer werden bei einem Audit wahrscheinlich den Nachweis verlangen, dass Personen keine widersprüchlichen oder toxischen Zugriffsrechte haben. Defizite können hier über Bestehen oder Nicht-Bestehen des Audits entscheiden.
4. Datenprotokolle und Aufzeichnungen.
Die Prüfer benötigen in der Regel nicht nur einen Nachweis über klar definierte Benutzerrollen, Zuständigkeiten und Richtlinien. Manchmal benötigen sie auch Aufzeichnungen darüber, wer aus welchen Gründen überhaupt Zugriff auf welche Daten beantragt hat. Dazu gehört sogar die Frage, wer diese Anträge überprüft hat. Das geschieht natürlich nicht aus Schikane, sondern trägt dazu bei, das Risiko von Compliance-Verstößen zu verringern und diese zu beheben. Diese Datenprotokolle sollten auch dazu dienen, Anwendungen, Systeme und Daten zu identifizieren, die bestimmten Vorschriften unterliegen. Selbst stichprobenartige Kontrollen einzelner Mitarbeiter stellen die Verantwortlichen oft vor immense Herausforderungen. Eine große Anzahl von Business-relevanten Systemen, sich ändernde Verantwortungsbereiche, wechselnde Führungskräfte und spontane Mitarbeit in Projekten sind typische Faktoren, die nachträgliche Auswertungen zu Spießrutenläufen machen können.
Zwei organisatorische Aspekte müssen letztlich geklärt werden: Die Zeit und die Zuständigkeit. Ein Faktor jeder Prüfung ist die Zuweisung der richtigen Mitarbeiter zur Erfüllung der Anforderungen. Wenn man weiß, welche Fragen bei einer Prüfung gestellt werden, kann man sich zudem einen Vorsprung verschaffen, um Daten zu sammeln. Folgende Punkte wollen hier noch geprüft werden:
- Verwaiste Konten von Personen, die den Arbeitsplatz gewechselt haben.
- Neue Zugangsrichtlinien oder -verfahren.
- Alle Zugänge, die für einmalige Projekte gewährt wurden.
- Wie lange bestimmte Arten von Kundendaten lokal gespeichert werden.
- Wer für die Gewährung bestimmter Arten von Zugängen zuständig ist.
All diese Punkte vor einem Audit zu überprüfen, ist zweifellos eine Mammutaufgabe. Viel Aufwand spart sich, wer eine IGA-Lösung zur automatischen Aufzeichnung von Zugriffsprivilegien – wer hat auf was und warum Zugriff? – in der Hinterhand hat. Die schließt nicht nur Sicherheitslücken, sondern bringt auch Ordnung und Übersicht in die Verwaltung von Kundendaten. Jedes Unternehmen, das die Zugriffsrechte seiner Mitarbeiter und Zulieferer im Griff hat, spart sich obendrein Zeit und sieht anstehenden Audits zuversichtlich entgegen.
Autor: Thomas Müller-Martin
Thomas Müller-Martin ist Enthusiast beim Thema Identitätsmanagement und verfügt über mehr als 15 Jahre Erfahrung im Bereich Identity & Access Management. Im Laufe seiner Karriere hat er an der Entwicklung von Omadas moderner IGA-Lösung mitgewirkt und war auch an großen Implementierungsprojekten beteiligt. In seiner Position als Global Technical Lead unterstützt er die technischen Aspekte von Omadas weltweiten Vertriebsaktivitäten und den Übergang zu einem SaaS-Unternehmen, das eine hochflexible Lösung mit kurzer Time-to-Value für Kunden bietet.
