IAM als Pfeiler der Unternehmenssicherheit in KRITIS: Berechtigungen brauchen klare Strukturen

Identity- und Access-Management (IAM) stellt Unternehmen aus allen KRITIS-Branchen vor ähnliche Herausforderungen, wenn auch in unterschiedlicher Ausprägung. Die Betriebsabläufe müssen reibungslos funktionieren, während gleichzeitig sichergestellt sein muss, dass Berechtigungen nach dem Least-Privilege-Prinzip vergeben werden – also auf das notwendige Minimum pro Tätigkeit. Diese Anforderung muss vom Onboarding über Versetzungen, Abwesenheiten und Wiedereingliederungen bis hin zum Offboarding durchgängig umgesetzt sein.

Dabei geht es nicht nur darum, alle erforderlichen IT-Berechtigungen zu vergeben. Zusätzlich müssen Verantwortliche dafür sorgen, dass zwischen diesen kein Interessenkonflikt vorliegt. Sie müssen die Trennung toxischer Funktionen (Segregation of Duties) stets gewährleisten. Die digitale Überwachung und Umsetzung gehören zur Erwartungshaltung, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und durch NIS-2 vorgegeben werden.

Sechsstellige Anzahl von Berechtigungen im Krankenhaus

Am Beispiel eines Krankenhauses wird schnell ersichtlich, wie umfangreich IAM im Alltag greift. Vom zentralen Krankenhausinformationssystem (KIS) über die elektronische Bildverarbeitung, das Dokumentenmanagementsystem, die Patientenakte, diverse Portalsysteme und die Bettenverwaltung mit RFID-Transpondern bis zur Telemedizin: Unterschiedliche Berechtigungen müssen verwaltet werden.

Die IT-Abteilung eines Krankenhauses mittlerer Größe mit 700 Betten muss beispielsweise circa 1.500 mögliche Berechtigungen den richtigen 2.700 Mitarbeitern zuordnen. Bei knapp 50 Berechtigungen pro Benutzer verantwortet die IT damit eine sechsstellige Anzahl von IT-Berechtigungen. Hinzu kommen Zutrittsberechtigungen für sensible Bereiche wie Server- und Technikräume oder Medikamentenarchive.

Doch auch außerhalb der Gesundheitsbranche müssen Unternehmen Energieversorgungsnetze und Energieanlagen schützen. Es sollte zudem klar geregelt sein, welche Führungskräfte über Kompetenzen wie Zeichnungsberechtigungen und Vollmachten, wie Prokura, verfügen.

Angreifer nutzen Fehlberechtigungen aus

Ein Fehler in der Berechtigungsverwaltung kann hierbei schnell zu wirtschaftlichen Schäden führen. KRITIS-Unternehmen stehen besonders im Fokus von externen Angreifern, für die weitreichende Berechtigungen ein wichtiges Einfallstor darstellen können. Doch auch interne Fehlberechtigungen können zur Verletzung der Vertraulichkeit mit Sanktionierung nach der Datenschutzgrundverordnung (DSGVO) führen. IAM ist somit kein reines IT-Thema – es ist ein wichtiger Pfeiler für die Unternehmenssicherheit und spielt in allen Bereichen eine Rolle.

Neben der präventiven Wirkung des Berechtigungsmanagements bildet die lückenlose Dokumentation von Berechtigungen die Grundlage zur Nachvollziehbarkeit im Ernstfall. Ein regelmäßiger Abgleich der Soll-Vorgaben mit den tatsächlich vergebenen Ist-Berechtigungen ermöglicht die Erkennung und Beseitigung falscher Berechtigungen und stellt gleichzeitig sicher, dass benötigte Berechtigungen nicht erst durch ihr Fehlen im Einsatz auffallen.

Energieversorger können auf diese Weise beispielsweise frühzeitig erkennen, wenn bei der Prüfung einer Person versehentlich Zutrittsberechtigungen für kritische Anlagen erteilt wurden, obwohl diese nur im Verwaltungsbereich tätig ist. Am Beispiel von Cisco, wo im Jahr 2018 ein ehemaliger Mitarbeiter nach seinem Austritt aufgrund weiterhin bestehender Berechtigungen über 400 virtuelle Server löschte und damit erheblichen Schaden für seinen ehemaligen Arbeitgeber verursachte, ist erkennbar, dass eine regelmäßige Prüfung kritischer Zugänge nicht nur eine Anforderung der Aufsicht, sondern aktiver Schutz für das eigene Unternehmen ist.

Kritikalität der Geschäftsprozesse als Maßstab

Eine Übersicht der Geschäftsprozesse und ihrer Kritikalität mit einhergehenden Schutzanforderungen für Verfügbarkeit, Vertraulichkeit und Integrität ermöglicht hierbei die Prüfung nach Kritikalität der Berechtigungen zu planen. Eine ganzheitliche Betrachtung von IT-Berechtigungen über alle eingesetzten Anwendungen und Systeme gewährleistet eine vollständige Trennung toxischer oder kritischer Berechtigungskombinationen.

Ist eine strikte Aufgabenteilung nicht möglich, kann im Einklang mit dem IAM ein Vier-Augen-Prinzip eingesetzt werden. Mehrstufige Genehmigungsverfahren, in welchen sichergestellt ist, dass Beantragung und Freigabe durch getrennte Personen erfolgen, gewähren auch bei Überschneidungen eine Freigabe und Prüfung von Berechtigungen frei von Interessenkonflikten. Das Gleichgewicht zwischen Genehmigungsverfahren mit Einbindung organisatorisch und technisch verantwortlicher Stellen sorgt für eine sichere Unternehmensstruktur.

Technische Identitäten nicht vergessen

Doch die Berechtigungen der Belegschaft stehen in Zeiten der Digitalisierung schon lange nicht mehr allein. Technische Benutzer und Schnittstellenzugänge bilden mit zunehmender Automatisierung ein weiteres Einfallstor für böswillige und fahrlässige Vorfälle. Die klare Zuordnung der technischen Identitäten zu fachlich Verantwortlichen und die Berücksichtigung dieser Identitäten im Rahmen der Steuerung und Überprüfung dienen dem Schutz des Unternehmens.

Eine klare Organisationsstruktur mit wiederverwendbaren Stellen und Berechtigungspaketen rund um die Geschäftsprozesse stellt nicht nur die Grundlage für das IAM dar, sondern bildet gleichzeitig die Basis für eine solide IT-Planung und Unternehmensstrategie. Geregelte Berechtigungsvergaben verhindern Fehler und schützen vor den Folgen, während regelmäßige Überprüfungen sicherstellen, dass Schwachstellen durch weitreichende Zugriffsrechte und Störungen durch fehlende Berechtigungen der Vergangenheit angehören.

Die Bündelung vergleichbarer Rechte in einheitlichen Stellen, Paketen und Rollen garantiert hierbei, dass auch umfangreiche Veränderungen – zum Beispiel durch den Einsatz neuer Systeme – einmalig erfasst werden und über die Organisationsstruktur den richtigen Personen zugeordnet werden.

Stadtverwaltung als Beispiel für heterogene Strukturen

Gerade in Unternehmen mit umfangreichen und unterschiedlichen Aufgabenfeldern, von der Verwaltung bis zum Einsatz beim Kunden, liegen teilweise sehr unterschiedliche Berechtigungen vor. Am Beispiel einer Stadtverwaltung wird schnell erkennbar, dass für die verschiedenen Ämter – von der Schulverwaltung bis zur Pressestelle – ein gemeinsamer Umfang an Berechtigungen benötigt wird. Gleichzeitig unterscheiden sich die bereichsspezifischen Berechtigungen von der Führerscheinstelle über das Amt für Brand-, Zivilschutz und Rettungsdienst bis hin zum Büro des Bürgermeisters deutlich.

Während gewährleistet sein muss, dass alle Mitarbeiter der Kfz-Zulassungsstelle auf die Kfz-Daten zugreifen können und im Amt für Brand- und Zivilschutz auf Rettungspläne der ansässigen Unternehmen zugegriffen werden kann, steuert eine klare Organisationsstruktur, dass keine sensiblen Unternehmensdaten von Mitarbeitern der Zulassungsstelle aus den Systemen des Brand- und Zivilschutzes abgefragt werden können.

Fazit

IAM ist kein einmaliges Projekt. Es begleitet jeden Unternehmensprozess und schützt alle Beteiligten. Geplante Vergaben, regelmäßige Überprüfungen, eine nachvollziehbare Berechtigungshistorie und die Einbindung aller Verantwortlichen – gemeinsam stellen diese Teile des Identity- und Access-Managements mit der richtigen Kombination aus Flexibilität, Organisation und Transparenz sicher, dass Unternehmen Audits zur IT-Sicherheit gelassen entgegensehen können.