Im Jahr 2023 machte OneMain Financial Schlagzeilen durch mindestens drei langwierige Cybersicherheitsvorfälle zwischen 2018 und 2020. Diese wurden laut Prüfungsberichten des New York Department of Financial Services mit Mängeln im Sicherheitsprogramm und der Zugangskontrolle in Verbindung gebracht, die das Unternehmen anfälliger für unbefugten Zugriff machten.

Letztendlich zahlte OneMain eine Strafe von 4,25 Millionen Dollar an die staatliche Regulierungsbehörde wegen mangelnder Einhaltung der NYDFS-Cybersicherheitsverordnung, die Finanzinstitute dazu verpflichtet, eine Reihe von Best-Practice-Maßnahmen zu ergreifen, um ihre Informationssysteme und Kundendaten vor Sicherheitsrisiken zu schützen. Eine dieser Anforderungen besteht darin, Benutzerzugriffsrechte für Systeme, die Kundendaten enthalten, zu beschränken und regelmäßig zu überprüfen.

Um Cybersicherheitsvorfälle im Zusammenhang mit unbefugtem Zugriff und hohen Geldstrafen wie dieser zu vermeiden, müssen Organisationen verstehen, was eine Benutzerzugriffsüberprüfung ist, wie der Schritt-für-Schritt-Prozess aussieht, warum sie möglicherweise der wichtigste Teil der Zugangskontrollen und der Compliance ist und wie Automatisierung dabei helfen kann, sie zu vereinfachen. All dies werden wir unten behandeln.

Was ist eine Benutzerzugriffsüberprüfung?

Eine Benutzerzugriffsüberprüfung, kurz UAR (User Access Review), bezieht sich auf die regelmäßige Überprüfung der Anmeldeinformationen und Berechtigungen von Benutzern, die auf bestimmte Daten, Anwendungen und Netzwerke zugreifen können, um unnötige und unangemessene Berechtigungen und/oder Personen mit Anmeldeinformationen zu entfernen. Potenzielle Benutzer könnten Administratoren, Management, Mitarbeiter, Anbieter, Dienstleister und andere Dritte sein, mit denen Ihre Organisation zusammengearbeitet hat.

Diese Art der Überprüfung sollte vier Hauptfragen beantworten:

• Wer greift auf was zu?
• Welches Zugriffslevel haben diese Benutzer?
• Haben diese Benutzer gültige Gründe für ihre Zugriffsrechte und Berechtigungen?
• Welche Aktualisierungen müssen an ihren Zugriffsrechten und Berechtigungen vorgenommen werden?

Warum ist Benutzerzugriffsüberprüfung wichtig?

Benutzerzugriffsüberprüfungen sind aus einigen wichtigen Gründen wichtig. Schauen wir sie uns unten an.

1. Schutz von Daten und Vermögenswerten

Gestohlene Anmeldeinformationen, böswillige Insider und Sicherheitslücken von Drittanbietern sind nur einige Ursachen für Datenverletzungen. Regelmäßige Zugriffsüberprüfungen können Ihrer Organisation helfen, Personen zu identifizieren, die keine Anmeldeinformationen haben sollten, wie böswillige Insider, Dritte und ausgeschiedene/verärgerte Mitarbeiter, was dazu beitragen kann, das Risiko von Datenverletzungen zu reduzieren.

2. Einhaltung von Vorschriften

Zusätzlich zum Schutz der Daten und IT-Vermögenswerte einer Organisation ist eine Benutzerzugriffsüberprüfung eine wesentliche Voraussetzung für die vollständige Umsetzung von Sicherheits- und Compliance-Frameworks.

Zugriffsüberprüfungen sind für die Einhaltung vieler der gängigsten Sicherheitsframeworks und -standards zwingend erforderlich, einschließlich der folgenden:

• SOC 1®
• SOC 2®
• HIPAA
• SOX
• ISO 27001
• PCI DSS
• GDPR
• FTC Safeguards Rule
• NYDFS NYCRR 500
• NIST 800-53
• NIST CSF
• CMMC
• CIS
• Cyber Essentials
• CJIS

3. Verbesserung des Risikomanagements

Benutzerzugriffsüberprüfungen helfen Organisationen auch, ihre allgemeinen Risikomanagementfähigkeiten zu verbessern, insbesondere gegen Bedrohungen von innen und unzufriedene ehemalige Mitarbeiter. Sie erleichtern mehrere Prinzipien, die für die Zugriffskontrolle entscheidend sind, einschließlich:

• Trennung der Aufgaben: Kritische Geschäftsprozesse werden in diskrete Aufgaben unterteilt, die dann verschiedenen Personen zugewiesen werden, um die Wahrscheinlichkeit zu verringern, dass eine einzelne Person böswillige Aktivitäten wie Betrug ausführt. Bei periodischen Benutzerzugriffsüberprüfungen können Sie überprüfen, ob kein einzelner Benutzer alle Privilegien hat, die erforderlich sind, um eine kritische Geschäftsaufgabe alleine durchzuführen.
• Das Need-to-know-Prinzip: Benutzern nur den Zugriff auf Informationen gewähren, die sie benötigen, um ihre Arbeit zu erledigen. Eine effektive Benutzerzugriffsüberprüfung stellt sicher, dass jeder Benutzer berechtigte Gründe hat, auf bestimmte Daten zuzugreifen.
• Das Prinzip der minimalen Rechte: Benutzern nur die Privilegien gewähren, die sie benötigen, um ihre Arbeit zu erledigen. Im Gegensatz zum Need-to-know-Prinzip gilt dieses Prinzip sowohl für Benutzer als auch für Anwendungen, Geräte und Dienstkonten. Es beschränkt nicht nur, wer auf bestimmte Anwendungen und Systeme zugreifen kann, sondern auch, was sie tun dürfen, wenn ihnen der Zugriff gewährt wird (anzeigen, bearbeiten usw.). Während Benutzerzugriffsüberprüfungen können Sie beurteilen, ob jeder Benutzer den minimalen Zugriff hat, der erforderlich ist, um seine Arbeitsfunktionen auszuführen. Ein Budgetanalyst benötigt beispielsweise wahrscheinlich nur Leseprivilegien für die Lohnsoftware, um einen vierteljährlichen oder jährlichen Bericht zu erstellen.

4. Reduzierung der Lizenzkosten

Benutzerzugriffsüberprüfungen können Organisationen auch dabei helfen, Ausgaben für Lizenzkosten zu senken. Während einer Überprüfung können Sie Benutzer identifizieren, die auf bestimmte Systeme zugreifen, die sie nicht benötigen oder seit einiger Zeit nicht genutzt haben, und sie entfernen. Wenn Sie diese Überprüfungen nicht durchführen, laufen Sie Gefahr, für unnötige Systemlizenzen und Konten zu viel auszugeben.

Benutzerzugriffsüberprüfungsprozess

Nachdem Sie nun die Vorteile von Benutzerzugriffsüberprüfungen verstanden haben, ist es an der Zeit, jeden Schritt des Prozesses zu skizzieren.

1. Inventarisieren Sie Ihre Werkzeuge und Benutzer.

Zunächst inventarisieren Sie alle aktuellen Werkzeuge und Technologien, die Sie verwenden. Listen Sie dann alle Benutzer auf, einschließlich interner und externer Benutzer sowie Benutzer, deren Arbeitsverhältnis beendet wurde, und welche Zugriffsrechte und Privilegien sie für jedes Werkzeug und jede Technologie haben. Achten Sie darauf, ob sie Administrator oder Benutzer sind und ob sie Zugriff auf privilegierte Konten haben.

Nun sind Sie bereit zu überprüfen, ob ihre aktuellen Zugriffsrechte angemessen und notwendig sind oder ob sie geändert werden müssen.

2. Zugriffsrechte von ausgeschiedenen Mitarbeitern und Dritten widerrufen

Während der Überprüfung des Benutzerzugriffs ist es wichtig zu überprüfen, ob die Konten ehemaliger Mitarbeiter, Partner und anderer Dritter inaktiv sind.

Die Zugriffsrechte dieser Benutzer sollten unmittelbar nach Beendigung widerrufen werden. Wenn Sie bemerken, dass dies nicht geschehen ist, können Sie die Zugriffsrechte widerrufen und Ihren Offboarding-Prozess aktualisieren, um sicherzustellen, dass dies bei Beendigung geschieht.

3. Berechtigungen von Schatten-Administrator-Konten verschieben oder widerrufen

Sie sollten auch während der Überprüfung des Benutzerzugriffs nach Schatten-Administrator-Konten suchen. Dies sind Nicht-Administrator-Konten mit sensiblen Berechtigungen, die sie effektiv zu Administratoren machen. Im Gegensatz zu privilegierten Administratorkonten gehören diese typischerweise nicht zu einer privilegierten Administrator-Active-Directory (AD)-Gruppe, da sie die sensiblen Berechtigungen direkt erhalten haben.

Schatten-Administratorkonten sind bei böswilligen Benutzern sehr begehrt, da sie ausgenutzt werden können, um auf kritische Infrastruktur und sensible Daten zuzugreifen, aber nicht so leicht zu identifizieren und überwachen sind wie Konten in den bekannten Administratorgruppen. Um das Risiko dieser Konten zu mindern, können Sie die sensiblen Berechtigungen, die sie nicht benötigen, widerrufen oder sie in eine privilegierte Administratorgruppe verschieben, wo sie genau überwacht werden können.

4. Überprüfen auf Privilegienanhäufung bei Mitarbeitern, die ihre Rolle gewechselt haben

Wenn Mitarbeiter befördert werden, Teams wechseln oder anderweitig innerhalb der Organisation ihre Rolle ändern, können sich ihre Zugriffsrechte ansammeln. Diese allmähliche Ansammlung von Zugriffsrechten, die über das hinausgeht, was sie für ihre Arbeit benötigen, wird als Privilegienanhäufung bezeichnet.

Sie können dies während einer Überprüfung des Benutzerzugriffs prüfen. Identifizieren Sie zunächst alle Mitarbeiter, die kürzlich die Abteilung oder Rolle gewechselt haben, und stellen Sie sicher, dass die Zugriffsrechte dieser Mitarbeiter ihren aktuellen Arbeitsaufgaben entsprechen. Entfernen Sie alle Berechtigungen, die nur in ihrer vorherigen Position erforderlich waren.

5. Entfernen aller unnötigen Zugriffsrechte oder Privilegien der verbleibenden Benutzer

Nachdem Sie sorgfältig die unnötigen Privilegien von ausgeschiedenen Benutzern, Schatten-Administratoren und Mitarbeitern, die ihre Rolle gewechselt haben, bewertet und widerrufen haben, ist es an der Zeit, die Zugriffsrechte der verbleibenden Nutzer zu überprüfen. Sie möchten sicherstellen, dass alle Mitarbeiter, Anbieter und andere Nutzer nur auf die Ressourcen und Vermögenswerte sowie auf Berechtigungen in Apps und Systemen zugreifen, die ausschließlich erforderlich sind, um ihre Arbeit zu erledigen.

6. Dauerzugang, wenn möglich, auf temporären Zugang herabsetzen

Während einer Überprüfung des Benutzerzugriffs können Sie auch bewerten, ob Benutzer dauerhaften Zugriff auf die Anwendungen und Daten benötigen, die sie derzeit haben. Einige Benutzer benötigen nur einmal oder ein paar Mal Zugriff auf bestimmte Daten oder Anwendungen. In diesem Fall benötigen sie keine dauerhaften Zugriffsrechte. Stattdessen können sie vorübergehenden Zugriff in Form von Einmal-Passwörtern erhalten, zum Beispiel.

7. Dokumentieren der vorgenommenen Änderungen

Um Transparenz zu gewährleisten und nachfolgende Überprüfungen zu vereinfachen, dokumentieren Sie jeden Überprüfungszyklus. Sie können die Liste der Werkzeuge und wer Benutzer- oder Administratorrechte für jedes hat sowie Kommentare des Prüfers, Entscheidungen des Genehmigers und vorgenommenen Zugriffsänderungen einschließen.

Beste Praktiken für Benutzerzugriffsüberprüfungen

Um sicherzustellen, dass Ihr Zugriffsmanagementprogramm erfolgreich ist, sollten Sie folgende bewährte Verfahren bei der Durchführung von Benutzerzugriffsüberprüfungen beachten.

Seien Sie konsequent

Konsistenz ist der Schlüssel zu einem erfolgreichen Zugriffsmanagementprogramm. Durch die Einrichtung eines konsistenten Überprüfungsplans für Zugriffsüberprüfungen können Sie sicherstellen, dass Sie unnötige oder unangemessene Individuen mit Zugriffsrechten und sensiblen Privilegien identifizieren und diese vor einem Sicherheitsvorfall oder Reputationsschaden widerrufen können.

Schließen Sie Zugriffsüberprüfungen in Mitarbeitertrainings ein

Wenn Sie Ihre Mitarbeiter darin schulen, wie sie am besten Zugriffsrechte überprüfen, kann dies auch den Überprüfungsprozess verbessern. Schulungen könnten zeitnahe Kommunikation oder Benachrichtigungen über Mitarbeiterwechsel, die Einbindung der Führungsebene in Zugriffsüberprüfungen, das Einreichen von Benutzerzugriffsberichten an die IT oder Systemadministratoren, wenn Änderungen erforderlich sind, und die Verwendung von Überprüfungstools zur Automatisierung einiger Teile des Prozesses umfassen.

Beteiligen Sie wichtige Interessengruppen

Wenn Sie in Ihrer Organisation einen Benutzerzugriffsüberprüfungsprozess einrichten, überlegen Sie, ob die richtigen Interessengruppen einbezogen werden. Anstatt beispielsweise die Verantwortung für die Verteilung und Überprüfung von Zugriffsrechten an das IT-Team zu delegieren, sollten Sie in Erwägung ziehen, Manager in den Überprüfungsprozess einzubeziehen. Manager haben mehr Einblick darin, wer in ihren Teams oder Abteilungen Zugang zu bestimmten Daten und Anwendungen haben sollte, insbesondere wenn es in ihrem Team Abgänge oder andere Veränderungen gab.

Überprüfen Sie den Zugriff privilegierter Administratoren und Benutzer vierteljährlich

Privilegierte Administratoren und Benutzer verfügen über die meisten Fähigkeiten innerhalb eines Systems, daher ist es wichtig, ihren Zugriff vierteljährlich zu überprüfen. Dies fördert auch Verantwortlichkeit und Transparenz innerhalb einer Organisation, was eine Kultur der Verantwortung und des Vertrauens im Umgang mit sensiblen Informationen unterstützt und den Zugriff auf dem neuesten Stand und gemäß dem Prinzip des geringsten Privilegs hält.

Integrieren Sie Benutzerzugriffsüberprüfungen in den Onboarding- und Offboarding-Lebenszyklus

Benutzerzugriff sollte Teil des Mitarbeiter-Onboardings und Offboardings sein. Zum Beispiel sollten HR und IT vor dem Start eines neuen Mitarbeiters koordinieren und kommunizieren, welche Tools sie benötigen und welche Berechtigungen sie benötigen. Wenn ein bestehender Mitarbeiter die Rolle wechselt, sollten sie auch kommunizieren, auf welche Systeme und Berechtigungen sie Zugriff erhalten oder verlieren.

Zugriffsüberprüfung und -kontrolle spielt eine noch wichtigere Rolle beim Offboarding. Sie möchten sicherstellen, dass Sie den Zugriff auf sensitive Daten und Systeme sowie Tools zum angemessenen Zeitpunkt basierend auf ihrem Risikoniveau entfernen. Solange der Mitarbeiter nicht ein hohes Risiko darstellt, ist es wichtig, ihn über das Datum zu informieren, an dem seine Konten nicht mehr verfügbar sein werden.

Automatisierte Benutzerzugriffsüberprüfungen

Soweit möglich, können automatisierte Benutzerzugriffsüberprüfungen das Risiko menschlicher Fehler verringern und die Effizienz im Benutzerzugriffsüberprüfungsprozess verbessern.

Hier sind zwei entscheidende Möglichkeiten, wie sie den Prozess verbessern können:

• Reduzierung der erforderlichen Kommunikation zwischen IT und anderen Teams: Wenn beispielsweise eine Automatisierungsplattform wie Secureframe verwendet wird, werden alle Informationen über Personal, Anbieter und deren Zugriffsrechte automatisch erfasst und aktualisiert. Das bedeutet, dass IT und andere wichtige Interessengruppen im Überprüfungsprozess jederzeit auf alle notwendigen und aktuellen Informationen über Benutzer und ihre Zugriffsrechte zugreifen können.
• Verbesserung der Genauigkeit und Berichterstattung: Automatisierungstools können auch die Wahrscheinlichkeit von Fehlern verringern, die bei manuellen Benutzerzugriffsüberprüfungen auftreten können. Sie können auch umfassendere Daten und Berichte über Benutzerzugriff erstellen.

Vorlage für die Überprüfung des Benutzerzugriffs

Sind Sie bereit, Benutzerzugriffsüberprüfungen in Ihrem Unternehmen umzusetzen? Verwenden Sie diese Vorlage, um den Prozess zu starten.

Wie Secureframe helfen kann, Benutzerzugriffsüberprüfungen zu vereinfachen

Die regelmäßige Überprüfung und Einschränkung von Zugriffsrechten kann Ihrem Unternehmen helfen, sich vor Cybervorfällen im Zusammenhang mit unbefugtem Zugriff zu schützen.

Secureframe kann Teile des Benutzerzugriffsmanagements vereinfachen und automatisieren, um Ihr Unternehmen sicher zu halten, einschließlich:

• Verfolgung aller Benutzer, einschließlich inaktiver und nicht-personeller: Verwalten Sie Rollen, Gruppen und Berechtigungen und stellen Sie sicher, dass jeder basierend auf seinen Aufgaben den entsprechenden Zugriff auf Systeme und Ressourcen erhält – alles in einer Plattform.
• Überwachung des Anbieterszugriffs: Verfolgen Sie das Zugriffslevel jedes Mitarbeiters auf Ihre Integrationen und stellen Sie sicher, dass jeder den notwendigen Zugriff hat, um seine Aufgaben zu erledigen. Reduzieren Sie Ihre Angriffsfläche und stärken Sie Ihre Sicherheitslage, indem Sie die Anzahl der Mitarbeiter mit vollem Zugriff auf Ihre sensiblen Daten begrenzen.
• Reduzierung von Shadow-IT: Erkennen Sie alle Systeme und Anwendungen, die Mitarbeiter mit ihren Arbeitsanmeldeinformationen (Arbeits-E-Mail) verwenden und die möglicherweise nicht von der IT-Abteilung genehmigt wurden.

Um mehr darüber zu erfahren, wie Secureframe Ihnen helfen kann, das Zugriffsmanagement zu vereinfachen, vereinbaren Sie eine Demo.