Verzetteln Sie sich nicht in quantitativen Risikoeinschätzungen
Wer ein Risiko-Management-System aufbaut, muss dafür Sorge tragen, dass die Adressaten – wie etwa Geschäftsführung, Abteilungsleiter, Auditoren und viele andere – nur mit genau den Informationen versorgt werden, die für sie auch einen Wert haben. Entscheidend ist nicht die Menge, sondern die Qualität der Daten. Dafür bedarf es Schlüsselindikatoren, in denen große Datenmengen auf eine qualitative Aussage zusammengefasst werden. So wird es möglich, wichtige Informationen sofort zu erkennen und die Hochrisikobereiche auszumachen.
Identifizieren Sie "Hochrisiko-Nutzer"
Foto: Beta Systems Software AG
Alle Gefahren des Berechtigungsmanagements zu erfassen und zu bewerten, würde zu viel Zeit kosten. Deshalb ist es ratsamer, sich auf die riskantesten Berechtigungen zu beschränken. Jedes Unternehmen sollte in der Lage sein, im Zusammenhang mit Hochrisikonutzern, zu denen privilegierte Anwender wie Administratoren gehören, folgende Fragen zu beantworten: Gibt es im Unternehmen User, die im täglichen Geschäft Zugriff auf sensible Daten haben? Verfügt das Unternehmen über geeignete Werkzeuge, um die Zugriffsberechtigungen auf ein Minimum zu reduzieren? Kann das Unternehmen durch Änderungen an den Zugriffsberechtigungen – beispielsweise durch Rollenkonzepte – das Risiko weiter reduzieren? Besteht die Möglichkeit, die Aktivitäten der privilegierten Benutzer aufzuzeichnen? Wem sind die Nutzer zugeordnet und welche übergeordneten Gruppen oder Rollen nutzen sie? Welche Aktivitäten führen sie aus?
Sind die privilegierten Nutzer respektive diejenigen mit Hochrisiko-Berechtigung oder -Autorisierung identifiziert, können sich Unternehmen auf diese Gruppen konzentrieren.
Verwenden Sie Berechtigungspfadanalysen
Weil die Berechtigungsstrukturen oft weitverzweigt sind, geht mit der typischen Frage "Wer hat welche Berechtigung auf welche Ressource" direkt eine weitere Frage einher: Über welche Zuweisungen (Rollen, Gruppen, Autorisierungsobjekte etc.) wurden dem Benutzer die Berechtigungen vergeben? Über welche Berechtigungspfade hat der Benutzer Zugriff auf die Ressourcen? Mit dem pfad-orientierten Ansatz ist eine Vielzahl von neuartigen Auswertungen möglich.
Nutzen Sie Ad-hoc-Analysen
Wie hoch die Gefahr durch eine vergebene Berechtigung tatsächlich ist, hängt von vielen nicht-standardisierbaren Faktoren ab. Deshalb bieten sich hier Ad-hoc-Analysen an. Ein intelligentes Risiko-Management sollte als Werkzeug dienen, um alle Daten mit einem leistungsfähigen Ad-hoc-Reporting-System verarbeiten zu können. Hier bietet sich beispielsweise Microsoft Excel an, weil die meisten Anwender damit bereits vertraut sind. (tö)
Autor: Thomas große Osterhues, Beta Systems Software