{"id":142790,"date":"2024-06-05T07:00:00","date_gmt":"2024-06-05T05:00:00","guid":{"rendered":"http:\/\/e3mag.com\/?p=142790"},"modified":"2024-06-20T12:42:06","modified_gmt":"2024-06-20T10:42:06","slug":"sod-konzepte-versus-notfalluser-ist-ihr-notfalluser-konzept-mehr-als-eine-karteileiche","status":"publish","type":"post","link":"https:\/\/e3mag.com\/de\/sod-konzepte-versus-notfalluser-ist-ihr-notfalluser-konzept-mehr-als-eine-karteileiche\/","title":{"rendered":"SoD-Konzepte versus Notfalluser: Ist Ihr Notfalluser-Konzept mehr als eine Karteileiche?"},"content":{"rendered":"\n

Verst\u00e4rkte Kontrollen des BSI in Bezug auf die f\u00fcr den Herbst erwartete NIS2-Richtlinie haben Wirtschaftspr\u00fcfer das Thema Notfallnutzer ganz oben auf ihre Agenda gehoben, und das gilt nicht mehr nur f\u00fcr Kritis-Unternehmen. Sie pr\u00fcfen insbesondere, inwieweit die Kontrollen in die firmeninternen SoD-Konzepte (Segregation of Duties) eingebunden sind. Denn immer noch werden diese kaum zusammen betrachtet und verursachen eine erhebliche wie unn\u00f6tige Sicherheitsl\u00fccke, wenn die Superuser weitaus mehr Berechtigungen haben, als sie laut internem SoD-Konzept sollten. \u201eDies ist weder zielf\u00fchrend noch praktikabel f\u00fcr eine ganzheitliche Security-Strategie\u201c, erkl\u00e4rt Ralf Kempf, IT-Security-Evangelist und CTO von Pathlock Deutschland.<\/p>\n\n\n\n

Monolithisch oder hybrid<\/h2>\n\n\n\n

\u201eDie Komplexit\u00e4t der IT-Systeme, oft nicht mehr monolithisch, sondern hybrid, w\u00e4chst rasant, folglich werden auch die SoD-Konzepte umfangreicher und undurchsichtiger. Es ist unabdingbar, sie aktuell zu halten, transparent darzustellen und zu harmonisieren. Notfallkonzepte k\u00f6nnen dabei nicht l\u00e4nger losgel\u00f6st betrachtet werden\u201c, betont Kempf. Wichtig ist, die Perspektive der Wirtschaftspr\u00fcfer zu ber\u00fccksichtigen. Diese sehen Super-user-Konzepte grunds\u00e4tzlich kritisch, weil sie die Integrit\u00e4t der Systeme und auch finanzieller Daten beeinflussen k\u00f6nnen. Um das Vertrauen in die Finanzberichte des Unternehmens zu wahren, achten sie folglich darauf, dass es klare Regeln und Kontrollen gibt, wer Emergency-User-Rechte erh\u00e4lt und wie diese genutzt werden.<\/p>

\"Fullsize\"<\/a><\/div><\/div>\n\n\n\n

Diese Aufgabe der Konzeptharmonisierung, den Vorgaben nachzukommen und Transparenz durch saubere Protokollierung zu schaffen, stellt Unternehmen, f\u00fcr die oft bereits die urspr\u00fcngliche SoD-Implementierung eine betr\u00e4chtliche Aufgabe war, vor neue Herausforderungen. Auch wenn es daf\u00fcr keine Universall\u00f6sung gibt, existiert doch eine Reihe guter Praktiken, die dazu beitragen, den Prozess effizient zu gestalten. Dazu geh\u00f6rt, ein bereits vorhandenes Regelwerk f\u00fcr das eigene Unternehmen auf den Pr\u00fcfstand zu stellen.<\/p>\n\n\n\n

Die \u00dcberpr\u00fcfung auf Umfang und Relevanz muss dabei neue Entwicklungen und technologische Fortschritte in den Anwendungen ber\u00fccksichtigen und n\u00f6tigenfalls eine individuelle Anpassung der Regelwerke zur Folge haben. Die Notwendigkeit jeder Rolle und jedes T-Codes ist \u2013 einschlie\u00dflich der aktuell g\u00fcltigen Berechtigungen \u2013 in Bezug auf die tats\u00e4chliche Nutzung zu pr\u00fcfen. Sind sie keinem Benutzer zugewiesen oder werden sie von anderen verwendet, sollten sie aus Sicherheitsgr\u00fcnden entfernt werden.<\/p>\n\n\n\n

Relevanzpr\u00fcfung<\/h2>\n\n\n\n

Wenn die Relevanzpr\u00fcfung ergibt, dass ein Mitarbeitender eine Berechtigung l\u00e4nger als ein Jahr nicht genutzt hat, sollte diese aus dem Profil gel\u00f6scht werden. Das klingt zun\u00e4chst einfach, erfordert aber technischen Aufwand und Expertise. Denn wer einem Benutzer eine Berechtigung entzieht, muss die bestehenden Rollen \u00e4ndern, was manuell nicht immer leicht ist. Um den Prozess zu verschlanken, ist es g\u00e4ngige Praxis, zuerst die konflikttr\u00e4chtigen Berechtigungen zu entfernen und erst in einem zweiten Schritt die sensiblen. Damit Mitarbeiter nicht das Gef\u00fchl haben, ihnen w\u00fcrden relevante Rechte entzogen, hilft es, die jeweiligen statistischen Nutzerdaten vorzulegen. Unwiderlegbare Beweise der Nichtnutzung helfen, Widerst\u00e4nde zu \u00fcberwinden und auch Vorgesetzte zu \u00fcberzeugen. Auf diese Weise bleibt das Regelwerk \u00fcbersichtlich und effektiv an die betrieblichen Gegebenheiten angepasst.<\/p>\n\n\n\n

Schulterschluss mit Wirtschaftspr\u00fcfern<\/h2>\n\n\n\n

Entscheidend ist, sowohl die internen als auch die externen Auditoren als Verb\u00fcndete mit dem gleichen Ziel eines guten Sicherheitskonzepts zu sehen. Enge Zusammenarbeit und eine lebendige Diskussionskultur erm\u00f6glichen Kompromissbereitschaft und Flexibilit\u00e4t auf beiden Seiten. Es muss m\u00f6glich sein, konkret anzusprechen, wenn etwas im Regelwerk unangemessen erscheint. Auditoren sind oft bereit, eine Alternative zu akzeptieren, wenn diese das Sicherheitsniveau nicht ver\u00e4ndert.<\/p>\n\n\n\n

Management einbinden<\/h2>\n\n\n\n

Sinnvoll ist, im Zweifel auch den Wirtschaftspr\u00fcfer nach geeigneten L\u00f6sungen zu fragen und diese mit dem Ziel zu validieren, schnelle Erfolge zu erzielen und die Unterst\u00fctzung des Managements zu gewinnen. Die Entscheider-Ebene sollte motiviert werden nachzufragen, wenn sie Hintergrundinformationen f\u00fcr das Verst\u00e4ndnis und bei der Kl\u00e4rung bestimmter SoD-Regeln ben\u00f6tigt. Wenn eine Rolle als unn\u00f6tig erachtet wird, k\u00f6nnen die Auditoren versucht sein, sie zu streichen. Mit der richtigen Argumentation hinter einer bestimmten Regel oder Anforderung sind Manager besser in der Lage, \u00c4nderungen zu beurteilen und Verbesserungen voranzutreiben. Ein gut informiertes Managementteam kann so zu einem starken Partner f\u00fcr das Projekt werden.\u00a0<\/p>\n\n\n\n

Unabh\u00e4ngig davon, wie kompetent ein internes Auditteam ist, sollte zus\u00e4tzliche Unterst\u00fctzung durch erfahrene Experten in Anspruch genommen werden. Bei deren Auswahl ist es eminent wichtig, vorsichtig vorzugehen und vorab gr\u00fcndlich zu recherchieren. Grunds\u00e4tzlich gilt: Ein Beratungsunternehmen sollte mindestens \u00fcber die gleichen Fachkenntnisse verf\u00fcgen wie die Pr\u00fcferteams. Wenn beide Parteien die gleiche Terminologie verwenden und die gleichen \u00dcberzeugungen und Standards teilen, kann dies erhebliche Kosten einsparen und effektiver helfen, zuk\u00fcnftige Missbrauchsversuche zu vermeiden. <\/p>\n\n\n\n

<\/div>\n\n\n\n

Zum Partner-Eintrag: <\/p>\n\n\n\n

\"\"<\/a><\/figure>\n","protected":false},"excerpt":{"rendered":"

Gefragt, ob sie jemals ihr Notfalluser-Protokoll pr\u00fcfen, m\u00fcssen die meisten Unternehmen nach wie vor passen. Erfahrungen aus der GRC-Praxis zeigen, dass diese meist in Archiven verstauben, statt dass sachgerecht kontrolliert und dokumentiert wird.<\/p>\n","protected":false},"author":2368,"featured_media":142795,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[5,43962],"tags":[],"coauthors":[39720],"class_list":["post-142790","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-management","category-mag-24-06","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631.jpg",1100,495,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-400x180.jpg",400,180,true],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-768x346.jpg",768,346,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631.jpg",1100,495,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-100x45.jpg",100,45,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-480x216.jpg",480,216,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-640x288.jpg",640,288,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-720x324.jpg",720,324,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-960x432.jpg",960,432,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631.jpg",1100,495,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631.jpg",1100,495,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631.jpg",1100,495,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631.jpg",1100,495,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631.jpg",1100,495,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-18x8.jpg",18,8,true],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631.jpg",1100,495,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631.jpg",1100,495,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631.jpg",1100,495,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-600x270.jpg",600,270,true],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-600x495.jpg",600,495,true],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

Gefragt, ob sie jemals ihr Notfalluser-Protokoll pr\u00fcfen, m\u00fcssen die meisten Unternehmen nach wie vor passen. Erfahrungen aus der GRC-Praxis zeigen, dass diese meist in Archiven verstauben, statt dass sachgerecht kontrolliert und dokumentiert wird.<\/p>\n","category_list_v2":"IT-Management<\/a>, MAG 24-06<\/a>","author_info_v2":{"name":"E3-Magazin","url":"https:\/\/e3mag.com\/de\/author\/e3_magazin\/"},"comments_num_v2":"0 comments","_links":{"self":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/142790","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/users\/2368"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/comments?post=142790"}],"version-history":[{"count":5,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/142790\/revisions"}],"predecessor-version":[{"id":143186,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/142790\/revisions\/143186"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media\/142795"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media?parent=142790"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/categories?post=142790"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/tags?post=142790"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/coauthors?post=142790"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}