Die Bedeutung der Verwaltung von Zugriffsrechten in Netzwerken
Die Administration von Benutzerzugriffsrechten ist ein zentraler Aufgabenbereich für jeden Netzwerkadministrator. Der fundamentale Schritt zur Absicherung eines Netzwerks liegt darin, sicherzustellen, dass jeder Benutzer nur auf die benötigten Ressourcen Zugriff hat. In der Vergangenheit stammten Cyberbedrohungen primär aus dem Internet und gelangten über E-Mails oder infizierte Webseiten in die Netzwerke. Obwohl diese Gefahren immer noch bestehen, wächst das Risiko für sensible Unternehmensdaten zunehmend von innen. Sowohl durch mutwillige Handlungen als auch durch schlichte Unwissenheit können Benutzer die Ursache von Datenlecks sein. Werkzeuge zur Zugriffsrechteverwaltung helfen dabei, den Zugriff auf das wirklich Notwendige zu beschränken und sicherzustellen, dass nur autorisierte Benutzer auf bestimmte Ressourcen zugreifen können. Im Folgenden werden wir einige der führenden Tools für die Zugriffsrechteverwaltung vorstellen.
Bevor wir uns jedoch den besten verfügbaren Werkzeugen zuwenden, wollen wir uns eingehender mit der Bedeutung der Zugriffsrechteverwaltung beschäftigen. Wir werden erläutern, warum dieser Aspekt der Datensicherheit so entscheidend ist und mit welchen Herausforderungen Netzwerkadministratoren konfrontiert sind. Wir werden uns auch mit der Zugriffsrechteverwaltung aus der Perspektive des ITIL-Frameworks auseinandersetzen, da Access Management ein grundlegender Prozess innerhalb von ITIL ist. Abschließend betrachten wir die Zugriffsrechteverwaltung aus Sicherheitsgründen. Darauf aufbauend präsentieren wir die unserer Ansicht nach besten Tools für die Zugriffsrechteverwaltung.
Verwaltung von Zugriffsrechten: Ein zentraler Aspekt der Sicherheit
In der IT-Welt ist allgemein bekannt, dass Datenschutzverletzungen ein häufiges – und beinahe unvermeidliches – Phänomen geworden sind. Während man annehmen könnte, dass diese Vorfälle nur auf das Konto von Cyberkriminellen oder Geheimdiensten fallen, die über hochentwickelte Technologien verfügen, ist dies leider nicht der Fall. Neben Angriffen von außen stellen interne Risiken eine ähnlich große Gefahr dar.
Diese internen Risiken sind vielfältig. Einerseits könnten skrupellose Mitarbeiter versuchen, durch den Verkauf vertraulicher Daten an Wettbewerber schnell Geld zu verdienen. Andererseits können Datenschutzverletzungen auch unabsichtlich geschehen, beispielsweise, wenn Mitarbeiter Sicherheitsrichtlinien nicht kennen oder zu umfangreichen Zugriff auf Unternehmensdaten haben.
In ihrem Insider-Bedrohungsbericht 2018 (PDF-Link) gibt CA Technologies an, dass sich 90 % der Unternehmen anfällig für Insider-Angriffe fühlen. Die Hauptursachen für diese Angriffe sind übermäßige Zugriffsrechte, die zunehmende Anzahl von Geräten, die auf sensible Daten zugreifen können, und die wachsende Komplexität von Informationssystemen. Dies unterstreicht die Wichtigkeit der Zugriffsrechteverwaltung. Das Prinzip, Nutzern basierend auf ihrem tatsächlichen Bedarf eingeschränkten Zugriff auf Dateifreigaben, Active Directory und andere Ressourcen innerhalb einer Organisation zu gewähren, ist eine der effektivsten Maßnahmen, um böswillige und versehentliche Angriffe sowie Datenverluste zu reduzieren.
Die Umsetzung ist jedoch oft einfacher gesagt als getan. Heutige Netzwerke sind häufig weitläufig und umfassen Tausende von Geräten, was die Verwaltung von Zugriffsrechten zu einer komplexen und fehleranfälligen Aufgabe macht. Hier bieten Tools zur Zugriffsrechteverwaltung wertvolle Unterstützung.
Zugriffsrechteverwaltung und ITIL
Die IT Infrastructure Library (ITIL) bietet Richtlinien und empfohlene Prozesse für IT-Teams. ITIL zielt darauf ab, effektive Methoden für die Bereitstellung von IT-Services zu etablieren, oder anders gesagt, einen Best-Practice-Katalog für IT-Organisationen zu entwickeln. Access Management ist einer dieser ITIL-Prozesse. Das Ziel dieses Prozesses ist die Sicherstellung, dass autorisierte Benutzer das Recht haben, einen Service zu nutzen, während der Zugriff für nicht autorisierte Benutzer verhindert wird.
Zugriffsrechteverwaltung aus Sicherheitsaspekten
Während einige die Zugriffsrechteverwaltung als Teil der Netzwerkadministration betrachten, sehen andere sie eher als Teil der IT-Sicherheit. Tatsächlich ist es wohl eine Kombination aus beidem. Die Trennung ist primär für größere Unternehmen relevant, die separate Teams für Netzwerkadministration und IT-Sicherheit haben. In kleineren Unternehmen kümmern sich oft dieselben Teams um beide Bereiche, wodurch die Frage praktisch hinfällig wird.
Ausgewählte Tools für die Verwaltung von Zugriffsrechten
Die Suche nach spezifischen Tools zur Zugriffsrechteverwaltung erwies sich als anspruchsvoller als erwartet. Viele dieser Werkzeuge werden unter der Bezeichnung Sicherheitstools oder AD-Audit-Tools vertrieben. Für unsere Liste haben wir solche Tools ausgewählt, die Administratoren dabei unterstützen, sicherzustellen, dass Benutzer auf das zugreifen können, was sie benötigen – und nicht mehr. Einige dieser Tools helfen bei der Zuweisung und Verwaltung von Rechten, während andere Audits durchführen und berichten können, wer Zugriff auf welche Ressourcen hat.
1. SolarWinds Access Rights Manager (Kostenlose Testversion)
SolarWinds ist für Netzwerkadministratoren ein bekannter Name und hat sich durch die Entwicklung herausragender Netzwerkmanagementtools einen Namen gemacht. Ihr Flaggschiff, der SolarWinds Network Performance Monitor, wird regelmäßig zu den besten Netzwerküberwachungstools gezählt. SolarWinds ist auch für die Entwicklung hervorragender, kostenloser Tools bekannt, die spezifische Bedürfnisse von Netzwerkadministratoren adressieren. Dazu gehören ein kostenloser Subnetzrechner und ein einfacher, aber nützlicher TFTP-Server.
Der SolarWinds Access Rights Manager (oft auch als ARM bezeichnet) wurde entwickelt, um Netzwerkadministratoren bei der Verwaltung von Benutzerberechtigungen und Zugriffsrechten zu unterstützen. Dieses Tool verwaltet Active Directory-basierte Netzwerke und soll die Benutzerbereitstellung, -aufhebung, -verfolgung und -überwachung vereinfachen. Es kann dazu beitragen, das Risiko von Insider-Angriffen zu reduzieren, indem es eine einfache Möglichkeit bietet, Benutzerberechtigungen zu verwalten und zu überwachen sowie unnötige Berechtigungen zu vermeiden.
Ein hervorstechendes Merkmal des SolarWinds Access Rights Manager ist das intuitive Benutzerverwaltungs-Dashboard. Hier können Benutzerzugriffe auf verschiedene Dateien und Ordner erstellt, geändert, gelöscht, aktiviert und deaktiviert werden. Das Tool bietet auch rollenspezifische Vorlagen, um Benutzern einfachen Zugriff auf bestimmte Ressourcen im Netzwerk zu gewähren. Benutzer können mit wenigen Klicks erstellt und gelöscht werden. Der SolarWinds Access Rights Manager bietet eine Vielzahl von Funktionen. Hier ein Überblick über einige der bemerkenswertesten Features:
Mit dem Tool können Änderungen an Active Directory und Gruppenrichtlinien überwacht und auditiert werden. Netzwerkadministratoren können schnell erkennen, wer welche Änderungen an Gruppenrichtlinien- oder Active Directory-Einstellungen vorgenommen hat, einschließlich Zeit- und Datumsstempel. Diese Informationen erleichtern die Identifizierung unbefugter Benutzer sowie böswilliger oder unbeabsichtigter Handlungen und ermöglichen ein schnelles Eingreifen bei potenziellen Problemen.
Angriffe ereignen sich oft, wenn Benutzer auf Ordner oder Inhalte zugreifen, für die sie keine Berechtigung haben sollten. Solche Situationen entstehen häufig, wenn Benutzer zu weitreichenden Zugriff auf Ordner oder Dateien erhalten. Der SolarWinds Access Rights Manager hilft, diese Art von Lecks und unautorisierte Änderungen an vertraulichen Daten zu verhindern, indem er Administratoren eine visuelle Darstellung der Berechtigungen auf mehreren Dateiservern bietet. Dadurch wird auf einen Blick ersichtlich, wer welche Berechtigungen für welche Dateien besitzt.
Die Überwachung von AD, GPO, Dateien und Ordnern ist ein wichtiger Schritt. Der SolarWinds Access Rights Manager geht jedoch noch weiter. Er ermöglicht nicht nur die Verwaltung von Benutzern, sondern auch die Analyse des Benutzerzugriffs auf Dienste und Ressourcen. Das Produkt bietet einen umfassenden Einblick in die Gruppenmitgliedschaften innerhalb von Active Directory und den Dateiservern, was Admins in eine optimale Position versetzt, um Insider-Angriffe zu verhindern.
Ein effektives Werkzeug muss auch seine Aktivitäten protokollieren und die Ergebnisse dokumentieren können. Wenn Sie ein Tool benötigen, das Beweismittel für potenzielle Konflikte oder Rechtsstreitigkeiten generieren kann, ist dieses Tool eine gute Wahl. Detaillierte Berichte für Audit-Zwecke und zur Einhaltung von Vorschriften sind ebenfalls verfügbar.
Mit dem SolarWinds Access Rights Manager können umfassende Berichte, die auf die Bedürfnisse von Auditoren und die Einhaltung gesetzlicher Standards zugeschnitten sind, schnell und einfach erstellt werden. Die Berichte können alle erdenklichen Informationen enthalten, wie z. B. Protokollaktivitäten in Active Directory und Dateiserverzugriffe. Die Ausführlichkeit der Berichte kann an die jeweiligen Anforderungen angepasst werden.
Der SolarWinds Active Rights Manager ermöglicht Netzwerkadministratoren, die Verantwortung für die Zugriffsrechte eines bestimmten Objekts dem Ersteller zu übertragen. Beispielsweise könnte der Benutzer, der eine Datei erstellt hat, festlegen, wer darauf zugreifen darf. Dieses Selbstberechtigungssystem trägt erheblich zur Verhinderung unbefugten Zugriffs auf Informationen bei. Schließlich weiß niemand besser, wer auf eine Ressource zugreifen sollte, als der Ersteller. Dieser Prozess wird über ein webbasiertes Selbstberechtigungsportal abgewickelt, das es Ressourceneigentümern erleichtert, Zugriffsanfragen zu bearbeiten und Berechtigungen festzulegen.
Der SolarWinds Access Rights Manager bietet auch die Möglichkeit, das Risikoniveau für Ihr Unternehmen in Echtzeit zu bewerten. Dieser Risikowert wird für jeden Benutzer basierend auf seiner Zugriffsebene und seinen Berechtigungen berechnet. Dies erlaubt Netzwerkadministratoren und IT-Sicherheitsteams, die volle Kontrolle über die Benutzeraktivitäten und das Risikolevel jedes Mitarbeiters zu behalten. Die Identifizierung von Benutzern mit höheren Risikowerten ermöglicht eine fokussiertere Überwachung.
Dieses Tool unterstützt nicht nur die Active Directory-Rechteverwaltung, sondern auch Microsoft Exchange-Rechte. Das Produkt hilft bei der Vereinfachung der Exchange-Überwachung, der Auditierung und der Verhinderung von Datenschutzverletzungen. Änderungen an Postfächern, Postfachordnern, Kalendern und öffentlichen Ordnern können nachverfolgt werden.
Ähnlich wie bei Exchange können Sie den SolarWinds Access Rights Manager auch in Verbindung mit SharePoint nutzen. Das Benutzerverwaltungssystem des ARM zeigt SharePoint-Berechtigungen in einer Baumstruktur an und ermöglicht es Administratoren, schnell zu erkennen, wer auf eine bestimmte SharePoint-Ressource zugreifen darf.
Neben der automatisierten Überwachung der Umgebung ist die Benachrichtigung bei ungewöhnlichen Ereignissen ein entscheidendes Merkmal. Das Alarmsystem des SolarWinds Access Rights Manager erfüllt genau diese Funktion. Es hält das Support-Team durch die Ausgabe von Warnmeldungen für vordefinierte Ereignisse über das Geschehen im Netzwerk auf dem Laufenden. Zu den Ereignistypen, die Alarme auslösen können, gehören Datei- und Berechtigungsänderungen. Diese Warnmeldungen sind ein wertvoller Bestandteil zur Reduzierung und Verhinderung von Datenlecks.
Der SolarWinds Access Rights Manager wird basierend auf der Anzahl der aktiven Benutzer in Active Directory lizenziert. Ein aktiver Benutzer ist entweder ein aktives Benutzerkonto oder ein Dienstkonto. Die Preise beginnen bei 2.995 USD für bis zu 100 aktive Benutzer. Für eine höhere Benutzeranzahl (bis zu 10.000) werden detaillierte Preise auf Anfrage vom SolarWinds-Vertrieb angeboten. Bei so vielen Benutzern ist mit Kosten von über 130.000 USD zu rechnen. Wenn Sie das Tool vor dem Kauf testen möchten, ist eine kostenlose, unbegrenzte 30-Tage-Testversion verfügbar.
2. Netwrix
Netwrix ist primär kein Werkzeug zur Zugriffsrechteverwaltung, sondern eine „Sichtbarkeitsplattform für die Analyse des Benutzerverhaltens und die Risikominderung“. Ein aussagekräftiger Name, aber Netwrix erreicht letztendlich die gleichen Ziele wie Werkzeuge zur Zugriffsrechteverwaltung.
Mit Netwrix können Sie Datensicherheitsrisiken und anomales Benutzerverhalten erkennen, bevor es zu einer Datenschutzverletzung kommt. Das Tool bietet mit interaktiven Risikobewertungs-Dashboards einen umfassenden Überblick über Ihre Sicherheitslage. Es hilft bei der schnellen Identifizierung von Sicherheitslücken und nutzt umsetzbare Intelligenz, um die Möglichkeiten von Eindringlingen und Insidern, Schaden anzurichten, zu reduzieren.
Das Produkt beinhaltet Alarme, um bei unbefugten Aktivitäten benachrichtigt zu werden, und gibt Ihnen somit die Möglichkeit, Sicherheitsverletzungen effektiver zu verhindern. Sie können beispielsweise benachrichtigt werden, wenn jemand der Gruppe „Unternehmensadministratoren“ hinzugefügt wird oder wenn ein Benutzer in kurzer Zeit viele Dateien ändert, was auf einen Ransomware-Angriff hindeuten könnte.
Preisinformationen für Netwrix sind direkt vom Anbieter zu beziehen. Eine kostenlose Testversion ist zwar verfügbar, hat aber nur eine Laufzeit von 20 Tagen, während die meisten Testversionen 30 Tage laufen.
3. Varonis
Varonis ist ein Cybersicherheitsunternehmen mit Fokus auf den Schutz von Daten vor Verlust. Obwohl es kein direktes Benutzerzugriffsverwaltungstool anbietet, verdient es unserer Meinung nach dennoch einen Platz auf dieser Liste. Das primäre Ziel jedes Zugriffsrechteverwaltungssystems ist doch der Schutz von Daten.
Die marktführende Plattform von Varonis wurde entwickelt, um Ihre wertvollsten und anfälligsten Daten zu schützen. Dieser Schutz setzt direkt an der Quelle an – den Daten selbst. Über die Plattform können Benutzer ihre Daten sowohl vor internen als auch externen Bedrohungen schützen. Das System automatisiert manuelle Datenschutzroutinen und eliminiert repetitive, manuelle Bereinigungsprozesse. Dieses Konzept ist einzigartig, da es Sicherheit mit Kosteneinsparungen kombiniert.
Die Varonis Plattform erkennt Insider-Bedrohungen und Cyber-Angriffe durch die Analyse von Daten, Kontoaktivitäten und Benutzerverhalten. Es verhindert und begrenzt Katastrophen, indem es sensible und veraltete Daten sperrt und Ihre Daten effizient und automatisch in einem sicheren Zustand hält.
4. STEALTHbits
STEALTHbits bietet eine Reihe von Active Directory-Verwaltungs- und Sicherheitslösungen, die es Unternehmen ermöglichen, Active Directory zu inventarisieren und zu bereinigen, Berechtigungen zu auditieren und den Zugriff zu verwalten, Rollbacks durchzuführen und unerwünschte oder böswillige Änderungen wiederherzustellen, sowie Bedrohungen in Echtzeit zu überwachen und zu erkennen. Es bietet umfassenden Schutz für Ihre Unternehmensdaten. Der Prozess der Bereinigung und Steuerung des Zugriffs kann Active Directory effektiv vor Angriffen sowohl von internen als auch von externen Bedrohungen schützen.
Die Hauptfunktionen des Tools umfassen die AD-Auditierung. Es inventarisiert, analysiert und berichtet über Active Directory, um es zu sichern und zu optimieren. STEALTHbits kann auch Active Directory-Änderungsprüfungen durchführen und Sicherheit und Compliance durch Echtzeit-Berichte, -Warnungen und das Blockieren von Änderungen erreichen. Eine weitere nützliche Funktion des Tools ist die Active Directory-Bereinigungsfunktion, die es ermöglicht, veraltete AD-Objekte, toxische Bedingungen und Gruppenbesitzer zu bereinigen.
Die Active Directory-Berechtigungsprüfung und -berichterstellung des Tools kann verwendet werden, um Berichte über die AD-Domäne, die Organisationseinheit und die Objektberechtigungen zu erstellen. Es bietet auch Active Directory-Rollback und -Wiederherstellung, um unerwünschte Änderungen und Domänenkonsolidierung einfach zu beheben und Ihnen die Kontrolle über Active Directory durch einen einfachen Workflow zurückzugeben.