21.04.2012 • Themen

Access Management & Control für privilegierte User

Access Management & Control für privilegierte User : Der heutige Markt verlangt von allen Beteiligten, dass benötigte Daten immer schnell dort zur Verfügung stehen, wo sie benötigt werden. Die vernetzte IT Landschaft kann diese Anforderungen in der Regel auch sicher und komfortabel bereit stellen. Um die Daten trotz dieser Flexibilität vor unberechtigten Zugriffen zu schützen wird ein hoher Aufwand getrieben um die Informationen nicht in unbefugte Hände gelangen zu lassen.

Sensible Daten schützen
Nicht berechtigte Zugriffe von aussen werden durch teils sehr aufwändige Systeme verhindert, Applikationen vergeben Zugriffsberechtigungen für die Nutzer auf die darunter liegenden Daten um den Nutzerkreis weitestgehend einzuschränken. Alles mit dem Ziel, die sensiblen Daten eines Unternehmens vor unberechtigten Zugriff zu schützen. Dabei sind die Gründe, einen solchen Schutz zu etablieren auf verschiedene Beweggründe zurückzuführen

  • Ein Teil der Daten sind das Kapital der Firma und bilden die Grundlage des Geschäftes (Forschungsdaten, Rezepturen, Studienergebnisse,etc.) und die firmeninternen Richtlinien definieren den Umgang mit Ihnen
  • Der Gesetzgeber schreibt Sicherheitsmassnahmen vor (z.Bsp. BDSG)
  • Es gelten weitergehende Regulatorien wie HIPAA, SOX,
  • Einhaltung freiwilliger Zertifizierungen wie ISO 27001

Alle diese Regelwerke beinhalten in verschiedenen Definitionstiefen die Forderung, dass ein Zugriff auf sensible Daten durch Unberechtigte verhindert werden muss und jeder Zugriff durch Berechtigte kontrolliert und nachvollziehbar dokumentiert wird. Eine Anforderung , die als sinnvoll und zielführend anzusehen ist und im Rahmen von Zugangsrechten auch weitgehend in die IT Prozesse implementierbar ist.

Privilegierte Zugriffe von Aussen lassen potentielle Gefahr immer grösser werden
Um allerdings eine solche immer komplexer werdende Landschaft zu betreiben zu können, werden die privilegierten Nutzer benötigt, die die IT Plattform betreiben und betreuen und dafür so gut wie unbeschränkte Rechte innerhalb des Systems besitzen. Mittels ihrer Rechte können sie zum Betrieb nötige Änderungen im System implementieren - Sie können diese Rechte aber auch nutzen um auf so gut wie alle Daten im System zuzugreifen. Lesen, Kopieren, Ändern bis hin zum Löschen - und das alles mehr oder minder im Verborgenen. Ob er beispielsweise die Datenbank auf einen neuen Releasestand bringt oder deren Inhalte kopiert ist nur schwer oder gar nicht nachvollziehbar.
Dieses latente Risiko ist in der Vergangenheit durch die IT Verantwortlichen häufig entweder nicht erkannt worden oder die nötige Kontrolle wurde durch Vertrauen ersetzt. Frei nach dem Motto „Ich kenne meine Mitarbeiter oder Partner und da ist noch nie etwas passiert" Was sicher ein ehrenwerter Ansatz ist, der allerdings nur solange vertretbar ist, wie nichts passiert. Und gerade die zunehmende Anzahl der privilegierten Zugriffe von Aussen lassen die potentielle Gefahr hier immer grösser werden. Massnahmen wie der Einsatz von VPN Verbindungen mit oder Token und Smartcards schaffen hier oft eine scheinbare Sicherheit. Denn diese machen den Kommunikationspfad zwar uneinsehbar, schränken den privilegierten User aber in keinster Weise ein. Womit sicher das zu erreichende Ziel nicht erfüllt ist.

Transparenz und Kontrolle
Regulatorien und Gesetze nehmen den IT Verantwortlichen eindeutig in die Pflicht belegen und nachweisen zu können, wer wann auf welche Daten zugegriffen hat bzw. zugreifen hätte können. Wenn diese Anforderung dann noch in Verbindung mit einem externen IT Betrieb oder externen Serviceprovidern zu erfüllen ist, muss eine Transparenz und Kontrolle über die Aktivitäten der privilegierten User geschaffen werden. Das heisst, es muss immer und zu jeder Zeit belegbar sein, welche Person wann was im System gemacht hat und wer es ihm erlaubt hat. Diese Daten erlauben es dann jegliche Aktionen -unabhängig von emotionalen oder persönlichen Fakten - bei Bedarf nachzuvollziehen. Sei es zur Ursachenanalyse im Falle eines Vorfalls oder zum Beweis der Schuld / Unschuld eines Mitarbeiters.

Gewinn für privilegierten User

Toolbox Solution beschäftigt sich seit fast 10 Jahren ausschliesslich mit dem Thema Access Management & Control für privilegierte User. Mit der Visulox Suite bietet sie eine Lösung an, die ohne Eingriff auf dem Client und Applikationsserver all diese Anforderungen erfüllt. Sessions werden software technisch aufgezeichnet, der Datentransfer kann verhindert oder eingeschränkt werden, Zugangsrechte können rollenspezifisch oder individuell zugeteilt werden und per Report können bei Bedarf alle Informationen über Useraktivitäten gewonnen werden. Eine entsprechende Lösung ist ein Muss für jeden IT Verantwortlichen um seiner Verantwortung gerecht zu werden und ein Gewinn für jeden privilegierten User, der damit die Qualität seiner Arbeit eindeutig belegen kann.