SoD-Konzepte versus Notfalluser: Ist Ihr Notfalluser-Konzept mehr als eine Karteileiche?

Verstärkte Kontrollen des BSI in Bezug auf die für den Herbst erwartete NIS2-Richtlinie haben Wirtschaftsprüfer das Thema Notfallnutzer ganz oben auf ihre Agenda gehoben, und das gilt nicht mehr nur für Kritis-Unternehmen. Sie prüfen insbesondere, inwieweit die Kontrollen in die firmeninternen SoD-Konzepte (Segregation of Duties) eingebunden sind. Denn immer noch werden diese kaum zusammen betrachtet und verursachen eine erhebliche wie unnötige Sicherheitslücke, wenn die Superuser weitaus mehr Berechtigungen haben, als sie laut internem SoD-Konzept sollten. „Dies ist weder zielführend noch praktikabel für eine ganzheitliche Security-Strategie“, erklärt Ralf Kempf, IT-Security-Evangelist und CTO von Pathlock Deutschland.

Monolithisch oder hybrid

„Die Komplexität der IT-Systeme, oft nicht mehr monolithisch, sondern hybrid, wächst rasant, folglich werden auch die SoD-Konzepte umfangreicher und undurchsichtiger. Es ist unabdingbar, sie aktuell zu halten, transparent darzustellen und zu harmonisieren. Notfallkonzepte können dabei nicht länger losgelöst betrachtet werden“, betont Kempf. Wichtig ist, die Perspektive der Wirtschaftsprüfer zu berücksichtigen. Diese sehen Super-user-Konzepte grundsätzlich kritisch, weil sie die Integrität der Systeme und auch finanzieller Daten beeinflussen können. Um das Vertrauen in die Finanzberichte des Unternehmens zu wahren, achten sie folglich darauf, dass es klare Regeln und Kontrollen gibt, wer Emergency-User-Rechte erhält und wie diese genutzt werden.

Diese Aufgabe der Konzeptharmonisierung, den Vorgaben nachzukommen und Transparenz durch saubere Protokollierung zu schaffen, stellt Unternehmen, für die oft bereits die ursprüngliche SoD-Implementierung eine beträchtliche Aufgabe war, vor neue Herausforderungen. Auch wenn es dafür keine Universallösung gibt, existiert doch eine Reihe guter Praktiken, die dazu beitragen, den Prozess effizient zu gestalten. Dazu gehört, ein bereits vorhandenes Regelwerk für das eigene Unternehmen auf den Prüfstand zu stellen.

Die Überprüfung auf Umfang und Relevanz muss dabei neue Entwicklungen und technologische Fortschritte in den Anwendungen berücksichtigen und nötigenfalls eine individuelle Anpassung der Regelwerke zur Folge haben. Die Notwendigkeit jeder Rolle und jedes T-Codes ist – einschließlich der aktuell gültigen Berechtigungen – in Bezug auf die tatsächliche Nutzung zu prüfen. Sind sie keinem Benutzer zugewiesen oder werden sie von anderen verwendet, sollten sie aus Sicherheitsgründen entfernt werden.

Relevanzprüfung

Wenn die Relevanzprüfung ergibt, dass ein Mitarbeitender eine Berechtigung länger als ein Jahr nicht genutzt hat, sollte diese aus dem Profil gelöscht werden. Das klingt zunächst einfach, erfordert aber technischen Aufwand und Expertise. Denn wer einem Benutzer eine Berechtigung entzieht, muss die bestehenden Rollen ändern, was manuell nicht immer leicht ist. Um den Prozess zu verschlanken, ist es gängige Praxis, zuerst die konfliktträchtigen Berechtigungen zu entfernen und erst in einem zweiten Schritt die sensiblen. Damit Mitarbeiter nicht das Gefühl haben, ihnen würden relevante Rechte entzogen, hilft es, die jeweiligen statistischen Nutzerdaten vorzulegen. Unwiderlegbare Beweise der Nichtnutzung helfen, Widerstände zu überwinden und auch Vorgesetzte zu überzeugen. Auf diese Weise bleibt das Regelwerk übersichtlich und effektiv an die betrieblichen Gegebenheiten angepasst.

Schulterschluss mit Wirtschaftsprüfern

Entscheidend ist, sowohl die internen als auch die externen Auditoren als Verbündete mit dem gleichen Ziel eines guten Sicherheitskonzepts zu sehen. Enge Zusammenarbeit und eine lebendige Diskussionskultur ermöglichen Kompromissbereitschaft und Flexibilität auf beiden Seiten. Es muss möglich sein, konkret anzusprechen, wenn etwas im Regelwerk unangemessen erscheint. Auditoren sind oft bereit, eine Alternative zu akzeptieren, wenn diese das Sicherheitsniveau nicht verändert.

Management einbinden

Sinnvoll ist, im Zweifel auch den Wirtschaftsprüfer nach geeigneten Lösungen zu fragen und diese mit dem Ziel zu validieren, schnelle Erfolge zu erzielen und die Unterstützung des Managements zu gewinnen. Die Entscheider-Ebene sollte motiviert werden nachzufragen, wenn sie Hintergrundinformationen für das Verständnis und bei der Klärung bestimmter SoD-Regeln benötigt. Wenn eine Rolle als unnötig erachtet wird, können die Auditoren versucht sein, sie zu streichen. Mit der richtigen Argumentation hinter einer bestimmten Regel oder Anforderung sind Manager besser in der Lage, Änderungen zu beurteilen und Verbesserungen voranzutreiben. Ein gut informiertes Managementteam kann so zu einem starken Partner für das Projekt werden. 

Unabhängig davon, wie kompetent ein internes Auditteam ist, sollte zusätzliche Unterstützung durch erfahrene Experten in Anspruch genommen werden. Bei deren Auswahl ist es eminent wichtig, vorsichtig vorzugehen und vorab gründlich zu recherchieren. Grundsätzlich gilt: Ein Beratungsunternehmen sollte mindestens über die gleichen Fachkenntnisse verfügen wie die Prüferteams. Wenn beide Parteien die gleiche Terminologie verwenden und die gleichen Überzeugungen und Standards teilen, kann dies erhebliche Kosten einsparen und effektiver helfen, zukünftige Missbrauchsversuche zu vermeiden.

Zum Partner-Eintrag: