Erfahrungen & Bewertungen zu 8S IT-Sicherheit e.K.

Teil 4: Benutzerrechte managen

Nachdem wir im dritten Teil unserer Serie „10 Bausteine funktionierender Cyber-Sicherheit“ den richtigen Umgang mit mobilen Endgeräten betrachtet haben, steht nun die Verwaltung von Zugriffsrechten im Vordergrund.

Die richtigen Zugriffsrechte sind ein besonders wichtiger Teil erfolgreicher Maßnahmen zur IT-Sicherheit. Nur wenn Sie die Zugriffsrechte optimal festlegen, ist ein ausreichender Schutz von Unternehmensdaten sichergestellt.

Diesmal versuchen wir, etwas Licht in das Dunkel von Benutzerrechten und Benutzerrollen zu bringen.

Least Privileges – nur die Rechte, die notwendig sind

Der Grundsatz der „Least Privileges“ ist die wichtigste Regel zur Vergabe von Benutzerrechten. Kurz gesagt bedeutet Sie, dass der jeweilige Mitarbeiter genau die Rechte bekommt, die er/sie für die Erfüllung seiner Arbeit unbedingt benötigt. Es geht weniger darum, die Rechte der Kollegen zu beschneiden. Vielmehr stell dieses Prinzip sicher, dass vertrauliche Daten auch vertraulich bleiben. Und gleichzeitig ihre Integrität erhalten.

Was bedeuten Vertraulichkeit und Integrität?

Vertraulichkeit und Integrität sind zwei der drei wichtigsten Grundprinzipien der IT-Sicherheit. Das dritte Grundprinzip ist die Verfügbarkeit der Daten.

Vertraulichkeit bedeutet, dass die Daten und Informationen ausschließlich den Personen zugänglich gemacht werden, die dafür vorgesehen sind. So bekommen unberechtigte Dritte wie Cyber-Kriminelle oder gar fremde Geheimdienste keinen Zugriff auf Ihre wertvollen Firmengeheimnisse.

Von Integrität sprechen wir, wenn sichergestellt wird, dass die vorliegenden Informationen nicht verändert wurden. Dies gilt sowohl für Dateien, die zum Beispiel auf dem Fileserver abgelegt wurden, aber genauso bei der Übertragung. Letzteres ist besonders wichtig, damit die Daten bei der Übertragung (z.B. per Email) nicht verändert werden.

Rollen und Benutzer

Das Modell, das ich Ihnen heute vorstellen möchte, basiert auf zwei Komponenten: dem Benutzer und der Rolle.

Sprechen wir zunächst über die (Benutzer-)rolle.

Die Benutzerrolle

Wir sprechen besser in der Mehrzahl, also von Rollen. Eine Benutzerrolle beschreibt meist die Aufgabe eines Mitarbeiters im Unternehmen. So könnte eine Rollenbezeichnung „Mitarbeiter Buchhaltung“ lauten, eine andere vielleicht „Abteilungsleiter Logistik“.

Eine Benutzerrolle orientiert sich am Organigramm des Unternehmens. Jeder Mitarbeiter hat üblicherweise mehrere Rollen. Der CEO findet sich in der Rolle Mitarbeiter wieder, genauso wie die Buchaltungsfachkraft oder der IT-Administrator. Trotzdem gehören alle auch noch der jeweiligen Rolle entsprechend ihrer Aufgabe(n) an. Ein Mitarbeiter kann also ganz vielen Rollen zugeordnet werden.

Technische Rollen

Der Begriff ist eigentlich fehl am Platze und kommt so in der Literatur auch nicht vor. Aber ich möchte damit eine Unterscheidung schaffen zu der Rolle des Benutzers.

Unter einer technischen Rolle ordne ich Funktionen ein, die technischer Natur sind. Dies könnte der Backup-Administrator sein, also eine Funktion, die die Rechte für die Backup-Software vorhält. Auch die Rolle „Administrator“ (Windows) oder „root“ (Linux) gehören dazu. Es handelt sich hierbei um Funktionen, die auf einem IT-System (Server etc.) vorhanden sind und in der Regel vom IT-Administrator genutzt werden, um das System zu betreiben.

Und was fehlt jetzt noch?

Ganz klar, die Benutzer.

Damit kann jeder etwas anfangen, denn jeder der einen Computer benutzt, hat dort auch einen Benutzer angelegt. Bei den meisten Unternehmen ist das eine Kombination aus Vor- und Nachname oder eine Kennung, die dann zur Anmeldung am System verwendet wird. Die Benutzerkennung ist individuell. Sie wird für den Mitarbeiter explizit angelegt und deaktiviert, wenn der Mitarbeiter das Unternehmen verlässt.

Zugriffsrechte

Der Begriff „Zugriffsrechte“ steht für die Berechtigung, eine bestimmte Datei oder ein Verzeichnis zu öffnen, zu lesen oder zu verändern. Im Allgemeinen unterscheiden wir die Zugriffsechte nach Lesen (r, „read“), Schreiben (w, „write“) und Ausführen (x, „execute“). Es gibt noch mehr Zugriffsechte, diese spielen aber im Moment keine Rolle.

Des Weiteren unterscheidet man die Zugriffsrechte noch nach Benutzern (u, „user“), Gruppen (g, „group“) und Andere (o, „other“, unter Windows auch manchmal „Jeder“).

Das Zugriffsrecht regelt also den Zugriff auf ein einzelnes Objekt.

Wie passt das nun zusammen?

Rollen, Benutzer und Zugriffsrechte bringen wir nun miteinander in Verbindung. Dies geschieht, indem wir Beziehungen herstellen zwischen dem Benutzer und der Rolle. In der Praxis sieht das dann so aus:

Wir legen eine Benutzergruppe an. Diese benennen wir nach der Rolle, also zum Beispiel „Mitarbeiter Buchhaltung“.

Die Benutzer, die in der Organisation diese Rolle einnehmen, ordnen wir dann der Benutergruppe (oder nun besser: der Benutzername der Benutzerrolle) zu.

Das Wichtigste: Zukünftig werden alle Berechtigungen auf Dateien und Verzeichnisse nur an die jeweilige Benuterrolle angewenden, aber nicht mehr auf den Benutzernamen.

Geschachtelte Rollen

Es ist natürlich möglich (und in der Praxis gängig), dass Rollen ineinander verschachtelt werden. Ein Beispiel: In einem größeren Konzern gibt es verschiedene Unternehmensteile. Rollen wie die Buchhaltung sind dabei in jedem dieser Teile vorhanden. Praktisch würde man daher alle Rollen auf Ebene des Unternehmensteils unter dem Unternehmen zusammenfassen:

Unternehmen enthält: Buchhaltung, Produktion, Logistik. Unternehmen ist Teil von: Konzern

Was habe ich davon?

Die Verwendung von Rollen anstelle von Benutzernamen für die Vergabe von Zugriffsrechten hat einen ganz entscheidenden Vorteil: Die Rechtevergabe wird deutlich einfacher. Wenn ein Mitarbeiter neu im Unternehmen anfängt, die Stelle wechselt oder das Unternehmen verlässt, wird der zugehörige Benutzer einfach aus der oder den Rollen entfernt bzw. in die neue Rolle hinzugefügt. Der IT-Administartor hat viel weniger Arbeit dadurch. Und was noch sehr viel wichtiger ist: Sobald der Mitarbeiter aus der Rolle entfernt wurde, hat er keinen Zugriff mehr auf Daten und Informationen. Unberechtigter Zugriff ist dadurch nahezu unmöglich geworden! Es bleiben also keine Berechtigungen zurück, die irgendwo tief im System vergraben sind und „hinten rum“ noch Zugriff erlauben.

Dieses Modell lässt sich übrigens nicht nur auf Dateien und Ordner anwenden. Auch der Anwendungszugriff kann (und sollte!) über Rollen strukturiert werden. In Verbindung mit einem sogenannten LDAP-Server (zentrales Benutzerverzeichnis) wird sichergestellt, dass ein Benutzer der gesperrt wurde, auch auf ALLEN Systemen keinen Zugriff mehr hat!

Fazit

Der Einsatz von Rollen-basierten Zugriffssystemen (englisch „role based access control“ – RBAC) hilft dem Unternehmer, seine geschäftlichen Daten und Informationen vor unbefugtem Zugriff zu schützen und gleichzeitig seiner rechtlichen Verantwortung gerecht zu werden.

Als Spezialisten für Rechtekonzepte unterstützen wir Sie gerne bei der Einführung eines rollenbasierten Berechtigungsmanagements.

Weitere Informationen zum Thema finden Sie auch bei Wikipedia.

Leave a Comment

Schreiben Sie uns!

Senden Sie uns einfach eine Mail. Wir antworten Ihnen schnellstmöglich!

mobiles arbeiten