Zugriffsrechte werden Mitarbeitern schnell vergeben. Was passiert aber, wenn der Angestellte geht oder innerhalb des Betriebs wechselt. Meist vergisst man dann, ihm die Rechte für den alten Job auch wieder abzuerkennen. Das kann ernste Folgen haben.
Identity- und Access-Management gehen nicht immer Hand in Hand. Werden sie unterschiedlich gehandhabt, kann das riskant sein. «Access Managemnt ohne Identity Management ist Käse» lautete daher das Thema des Vortags von Klaus Scherrbacher am diejährigen Kobil-Roundtable in Zürich, der Bedrohungen, Strategien und Sicherheitslösungen für Schweizer Banken thematisierte. Scherrmacher ist Gründer der deron IDM Consulting AG, einem Spin-off des Fraunhofer Institut mit Sitz in Stuttgart und einer Schweizer Tochtergesellschaft in Glattbrugg bei Zürich. Das Beratungsunternehmen beschäftigt sich seit 2001 mit dem Access- und Identitymanagement und leiste zum Erstaunen des Gründers «nach wie vor Pionierarbeit» auf dem Gebiet.
In seinem Vortrag sprach Scherrmacher unter anderem die Tatsache an, dass es in allen Unternehmen Verfahren gibt, um die Identität eines Anwenders zu prüfen, einen Stammsatz für diesen anzulegen und ihm entsprechende Rechte zuzuweisen. Probleme entstünden aber dann, wenn der Angestellte sich verändere, wenn er etwa die Abteilung wechsele oder ganz aus dem Unternehmen scheide. «Es gibt somit zwei Prozesse in Unternehmen», erklärt Scherrbacher. Der erste sei unproblematisch und funktioniere gut, denn bei diesem gebe man einem User Rechte oder erlaube den Zugang zu Dienstleistungen. Der umgekehrte Prozess, nämlich einem Anwender wieder Zugriffsrechte abzuerkennen, wenn er einen Service nicht mehr benötige, sei dagegen oft nicht oder mangelhaft implementiert. «Das funktioniert nicht, weil dies ein Verfahren des Vergessens ist. Der Mitarbeiter ist weg und hat vielleicht noch seinen Schlüssel liegen lassen. Danach denkt man nicht mehr an ihn», führt Scherrbacher aus. Nächste Seite: Informatiker und Investmentbanker in einem
Informatiker und Investmentbanker in einem
Diese Unterlassung kann schlimme Folgen haben und Scherrbacher nennt das Beispiel eines IT-Angestellten, der bei einer Investmentbank beschäftigt war und in dieser Funktion diverse Berechtigungen hatte, etwa Root-Access oder Zugang zur Datenbank. «Besagter Mitarbeiter wollte sich weiterentwickeln und wurde Investmentbanker», berichtet er. In Sachen Access-Management sei dieser Wechsel dann sehr typisch verlaufen. So erhielt der Angestellte alle Berechtigungen, die es ihm erlaubten seinen neuen Job als Investmentbanker auszuüben. Seine IT-Berechtigungen behielt er bei. Dies wurde zum Problem, als das Investment Banking für den Angestellten nicht so gut lief. «Eines Tages fehlte ihm die Freigabe für ein Geschäft, die in der Datenbank erfolgt», berichtet Scherrbacher weiter. Da habe er sich erinnert, dass er ja noch die Zugriffsrechte als Datenbank-Administrator besass und konnte somit seinen eigenen Antrag freigreben. «Und zack, war das Vier-Augen-Prinzip ausgehebelt mit der Folge für die Bank, dass fünf Milliarden fehlten und für den Angestellten, dass dieser sich schlussendlich vor Gericht verantworten musste und verurteilt wurde».
Vorgaben der Finma
Dieser Fall sei zwar aus dem Jahr 2008, ein ganz ähnlicher Fall habe sich aber bei einer Schweizer Bank 2010 wieder ereignet. «Es würde mich nicht wundern, wenn auch dieses Jahr etwas Ähnliches passieren würde». Prävention tue also Not, so Scherrbacher, was die Eidgenössische Finanzmarktaufsicht Finma auch erkannt und ein entsprechendes Rundschreiben verfasst habe. Die Banken müssen sich seither die Frage stellen, wie sie solche Berechtigungs-Häufungen und ID-Leichen verhindern können. Das Problem dabei ist laut Scherrbacher, dass viele den zusätzlichen Security-Aufwand und die entsprechenden Mehrkosten scheuen. Danach skizzierte er, wie die Finma-Auflagen umgesetzt werden können. Er erinnerte dabei daran, dass die Personalabteilung als einzige Abteilung die Veränderungen der Mitarbeiter täglich aufzeichnet und nachführt. «Die Idee ist nun die, das HR-System mit den ID- und IT-Managementsystemen zu verknüpfen, sodass diese Mutationen beim Vorgesetzten des Angestellten gemeldet und entsprechende Änderungen eingefordert werden», so Scherrmacher. Dies technisch umzusetzen sei allerdings sehr schwierig, da die ID-Managementsystemen so ausgerichtet seien, Rechte zu vergeben aber nicht wieder wegzunehmen. Hinzu komme, dass es Identitäten in Unternehmen gäbe, die gar keinen Menschen gehörten sondern Maschinen - mit weitreichenden Folgen. Scherrmacher berichtete von einem Fall, bei dem die Login-Daten einer Fertigungsmaschine von einigen Mitarbeitern dazu verwendet wurden, sich selbst mit ihren PC im Unternehmensnetz einzuloggen. Denn im Gegensatz zu den Mitarbeitern musste die Maschine nicht periodisch das Passwort ändern und hatte zudem Root-Zugriffsrechte auf den File-Server. Deshalb sei es wichtig, dass das Access Management von Identity Management begleitet werde.
