Zu viele Rechte, zu wenig Klarheit

In vielen Unternehmen verfügen Mitarbeitende über mehr Zugriffsrechte, als sie tatsächlich für ihre Arbeit benötigen. Das verstösst nicht nur gegen das Need-to-Know-Prinzip, sondern öffnet auch Tür und Tor für Sicherheitsvorfälle.

Der Grund dafür liegt selten in böser Absicht. Vielmehr sind Rollen und Funktionen in Organisationen oft unklar beschrieben. Wenn nicht eindeutig festgelegt ist, welche Zugriffe für welche Aufgaben wirklich erforderlich sind, geben Verantwortliche im Zweifel lieber zu viel frei. Die Folge, ein Wildwuchs an Berechtigungen.

Warum das gefährlich ist

  • Mitarbeitende können auf vertrauliche Informationen zugreifen, die sie nicht benötigen.
  • Angreifer, die ein einzelnes Konto kompromittieren, erhalten dadurch weit grössere Möglichkeiten IT-Systeme zu kompromittieren.
  • Audits und Compliance-Prüfungen werden aufwendig.
  • IT-Abteilungen verlieren den Überblick und setzen unbeabsichtigt falsche Prioritäten.

Kurz gesagt, wer seine Berechtigungen nicht im Griff hat, hat auch die Sicherheit nicht im Griff.

Der strategische Ansatz schafft Klarheit

Das Thema lässt sich nicht mit einzelnen technischen Massnahmen lösen. Es braucht einen klaren und strategischen Rahmen:

  1. Rollen- und Funktionsbeschreibungen erstellen
    Jede Rolle im Unternehmen muss eindeutig beschrieben sein. Welche Aufgaben gehören dazu? Welche Informationen werden wirklich benötigt?
  2. Verantwortlichkeiten festlegen
    Nicht die IT allein entscheidet über Zugriffe. Fachabteilungen müssen Verantwortung übernehmen, welche Rechte für ihre Mitarbeitenden erforderlich sind.
  3. Berechtigungskonzept entwickeln
    Ein strukturiertes Modell legt fest, wie Rechte vergeben, geändert und entzogen werden. Transparenz ist hier entscheidend.
  4. Freigabeprozesse implementieren
    Jeder Zugriff sollte nachvollziehbar freigegeben werden. Idealerweise über einen automatisierten Workflow, der den Prozess beschleunigt und dokumentiert.
  5. Regelmässige Überprüfung
    Rechte sind nicht statisch. Mitarbeitende wechseln Rollen, Projekte enden, Verantwortlichkeiten verändern sich. Nur durch Rezertifizierungen bleibt die Berechtigungslandschaft aktuell.

Vom AD-Scan bis zum Tiering-Modell

In Projekten beginne ich häufig mit einer Analyse des Active Directory. Tools wie Pingcastle zeigen schnell, wo es Schwachstellen und Fehlkonfigurationen gibt.

Im nächsten Schritt werden diese Lücken geschlossen. Danach implementiere ich gemeinsam mit dem CIO ein Security-Tiering-Modell, dass die Grenzen zwischen verschiedenen Berechtigungsstufen schafft.

Admins begegnen diesem Modell anfangs oft skeptisch, da sie sich für jede Tiering-Stufe separat authentifizieren müssen. Doch es lohnt sich:

  • Keine Allzweck-Domain-Admins mehr
  • Klare Trennung und Begrenzung der Berechtigungen
  • Besserer Schutz vor lateralen Bewegungen im Netzwerk

Parallel dazu erarbeite ich mit dem HR präzise Rollen- und Funktionsbeschreibungen. So lässt sich das Need-to-Know-Prinzip nicht nur theoretisch, sondern auch operativ umsetzen. Ergänzt wird dies durch einen Prozess, der Zugriffe systematisch vergibt und wieder entzieht.

Das Ergebnis

Unternehmen, die diesen Weg gehen, erreichen spürbare Verbesserungen:

  • Das Need-to-Know-Prinzip wird konsequent umgesetzt.
  • Verantwortlichkeiten sind eindeutig geregelt.
  • Audits verlaufen effizienter, da klare Prozesse und Nachweise vorliegen.
  • Sicherheitsrisiken sinken, da Berechtigungen gezielt eingeschränkt werden.

Berechtigungen und Zugriffe sind weit mehr als eine technische Detailfrage. Sie betreffen die gesamte Organisation und müssen strategisch gesteuert werden. Nur so lassen sich Risiken reduzieren, Compliance-Anforderungen erfüllen und die Kontrolle über kritische Informationen zurückgewinnen.