[datensicherheit.de, 19.10.2016] Das Ausspionieren vertraulicher Daten in einem Unternehmen findet nicht selten durch die eigenen Mitarbeiter statt – wissentlich oder nicht wissentlich. Die Verwaltung von Berechtigungen für den Zugriff auf Daten ist eine Herausforderung und unübersichtliche Fileserver erschweren die Aufgabe weiter. Auf der Fachmesse für IT-Security, der it-sa 2016 in Nürnberg, stellt das auf ARM  spezialisierte Berliner Unternehmen 8MAN den neuen 8MATE Clean! vor.

„Access Rights Management (ARM) ist eine der wesentlichen Funktionen, um Datensicherheit nach innen zu gewährleisten und die Richtlinien einer Compliance-konformen Zugriffsverwaltung zu erfüllen“, erklärt Matthias Schulte-Huxel, CSO für 8MAN. Mit 8MATE Clean! können Kunden ab sofort einen Dienst nutzen, der Berechtigungsfehler und Inkonsistenzen mit einem definierten Prozess beseitigt. Als Ergebnis bekommen Anwender einen standardisierten Fileserver, auf dessen Basis eine effektive Fortsetzung eines sicheren Access Rights Management möglich ist.

Anforderungen und Best Practice

Der 8MATE Clean! Prozess ist dabei das Resultat zahlreicher Best Practice-Fälle, die bei 8MAN Kunden in den vergangenen Jahren durchgeführt wurden. Die individuellen Anforderungen des Anwenderunternehmens werden von Beginn an implementiert – damit ist der Dienst präzise zugeschnitten. Eine Archivierung alter Daten ist zudem möglich, um die Datenmasse zu reduzieren: „Wir wollen mit diesem Prozess eine Mischung aus Zeitersparnis und Best Practice-Wissen bieten, um die Hürden für Access Rights Management so niedrig wie möglich zu setzen“, sagt Schulte-Huxel.

Kritische Berechtigungen entfernt

Der Prozess umfasst folgende Schritte:

• Archivieren alter Fileserver-Daten,
• automatische Entfernung kritischer und sicherheitsrelevanter Berechtigungen,
• entfernen und ersetzen von Direktberechtigungen und
• eine Standardisierung der vorhandenen Berechtigungsarten auf den Fileservern.

„Neben allen Anstrengungen zur Abschirmung von Daten nach außen ist so auch die volle Sicherheit nach innen gegeben. Dennoch muss klar sein: Umfassendes Access Rights Management kann so nur beginnen, bedarf aber auch steter Pflege. Im Vergleich zu jeder händischen Methode der Zugriffsverwaltung bieten wir mit 8MAN jedoch mehr als 70 Prozent Zeitersparnis!“, so Schulte-Huxel.

Gleichzeitig mit dem Launch von 8MATE Clean! zur it-sa 2016 werden die neuen Professional Services für die 8MAN Lösung eingeführt, zu denen auch Konzepte zur Bereinigung der Berechtigungsstrukturen zählen. Für den Bezug und optimalen Einsatz des innovativen Lösungsmoduls ist ein Tag Professional Services-Beratungsleistung notwendig.

[datensicherheit.de, 21.07.2016] Matthias Schulte-Huxel, „CSO“ für das Berliner ARM-System „8MAN“ (Access Rights Management), warnt vor folgendem filmreifen Szenario: Hacker könnten bei höchster Sommerhitze die Wasserversorgung in Großstädten manipulieren – mit dramatischen Folgen. Denn jedes Wasserwerk sei heute ein computergesteuertes IT-System und dementsprechend anfällig gegen einen gezielten digitalen Angriff. „Richtlinien zur Compliance sind hier überlebenswichtig“, betont Schulte-Huxel.

Externe wie interne Zugriffe auf Kritis überwachen!

Mit der Kritis-Verordnung (BSI-KritisV) liegt laut Schulte-Huxel ein erster Entwurf des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Schaffung einer Verordnung vor, mit der die Verantwortlichkeiten klar geregelt seien: Das „Access Rights Management“ (ARM) sei „wesentlicher Bestandteil zur Absicherung kritischer Infrastrukturen“.
Neben dem Feind von außen müsse auch der interne Zugriff kontrolliert werden. Konkret: „Wer hat auf welche Systeme Zugriff, wie kann das überwacht werden – und was passiert im Fall eines Angriffs?“.

„Access Rights Management“ zur Erfüllung der Nachweispflicht

Unbefugte Zugriffe auf Daten seien eine gefährliche Quelle für unkalkulierbare Risiken. Bei Infrastrukturen, deren Funktion unmittelbar mit dem staatlichen Gemeinwesen verbunden ist, zögen Ausfälle oder Beeinträchtigungen erhebliche Störungen der öffentlichen Sicherheit und Gesundheit nach sich. Nur eine interne ARM-Lösung könne hierbei den Nachweis führen, wer zu welcher Zeit Zugriff gehabt hat. Ebenso könne ggf. bewiesen werden, dass ein Zugriff nicht möglich war.
„Zur Zeit ist Fakt, dass jeder Mitarbeiter in einer solchen Infrastruktur einen Satz elektronischer Schlüssel für unkontrollierbar viele Türen hat“, warnt Schulte-Huxel. Mit denen könne er sich Zugang zu Systemteilen verschaffen, die nicht unmittelbar mit seiner Aufgabe verbunden seien. Zudem werde der „Fingerabdruck“, der beim Zugriff der Mitarbeiter auf Daten, die sie eigentlich nicht benötigten, entstehe, bisher nicht analysiert.

Berechtigungsmanagement als Schutz für Unternehmen und Mitarbeiter

Eine ARM-Lösung wie z.B. „8MAN“ mache quasi auf Knopfdruck ersichtlich, wer welche Berechtigungen im Unternehmen hat. Diese Funktion erstrecke sich auf sämtliche digitale Systeme und umfasse auch Hintertüren wie Gruppenzugehörigkeiten. Damit schütze das sogenannte „Need-to-know-Prinzip“ nicht nur das Unternehmen, sondern im Fall der Fälle auch den einzelnen Mitarbeiter.
Berechtigungen könnten ebenso leicht verändert werden, jeder Eingriff werde dabei protokolliert. Über einfache Nutzerschnittstellen könnten jedoch auch Fachabteilungen individuell Rechte vergeben; ein Vieraugen-Prinzip und volle Protokollierung sicherten den Prozess ab.

Christian Zander, CTO 8MAN aus Berlin, hielt Impulsvortrag im „Forum Rot“ der it-sa 2014

[datensicherheit.de, 09.10.2014]  Christian Zander, CTO 8MAN aus Berlin, widmete sich in seinem Impulsvortrag „8MAN: Wir bringen Licht in den Berechtigungsdschungel“ einer in der Regel für Administratoren unangenehmen und aufwandsintensiven Frage: Welche Zugriffsrechte auf die betriebliche IKT haben aktive und auch ehemalige Mitarbeiter?

Foto: Dirk Pinnow

Christian Zander: Faktischer Vollzugriff nicht immer sofort erkennbar

Ein typisches Beispiel sei ein mittelständischer Lieferant, der Bauteile an zwei konkurrierende Großunternehmen liefert, und nachweisen muss, dass der Konkurrent keinen Zugriff auf die eigenen Projektdaten erhält. Dieses geheime Projekt sei auf dem Fileserver abgelegt. Blicke man auf die Registerkarte, so seien die dort notierten Informationen nicht zu kopieren – man müsse die angelegten Gruppen der Rechteinhaber abschreiben. Es sei sehr entscheidend, ob neben Lese- und Schreibrechten unter Umständen auch Sonderrechte (spezielle Berechtigungen) bestehen, denn ein faktischer Vollzugriff sei nicht immer sofort erkennbar. In einer solchen Registerkarte könnten Dutzende von Berechtigungsgruppen abgelegt sein, die jeweils auch noch Untergruppen haben könnten.
Dieser unsägliche Zustand habe ihn vor Jahren dazu inspiriert, ein Software-Tool zu schaffen, dass die Rechtevergabe auf einen Blick dokumentiert. Mit „8MAN“ sei es so möglich, auf die Frage, wer Zugriff auf ein x-beliebiges Projekt hat, sofort darzustellen. Es sei auch eine temporäre Rechtevergabe möglich.
Um die Brisanz nochmals zu verdeutlichen, gab Zander folgendes Beispiel: Ein Mitarbeiter sei über einen Zeitraum von 14 Jahren durch zahlreiche Abteilungen eines größeren Unternehmens  gewandert und habe entsprechend der neuen Aufgaben immer neue Zugriffsrechte erhalten – und die alten behalten. Nun scheide dieser aus und seinem Nachfolger sollen Rechte eingeräumt werden; der Einfachheit halber würden diesem dieselben Rechte wie dem Vorgänger zuerkannt, was faktisch einem Vollzugriff gleichkomme.

Weitere Informationen zum Thema:

8MAN
Deshalb entwickeln wir 8MAN

[datensicherheit.de, 13.05.2012] Die Softwarelösung „8MAN“ in der Version 4.2 zur Analyse und Kontrolle aller Zugriffsrechte unterstützt bei der Rechteverwaltung und -vergabe nun auch eine funktionale Trennung von Business- und IT-Rollen:
Die Lösung der protected-networks.com GmbH, spezialisiert auf das Berechtigungsmanagement in IT-Infrastrukturen, erlaubt es Dateiinhabern und Fachabteilungen, eigenständig Zugriffsrechte zu managen. Verantwortliche IT-Administratoren können die gewünschten Änderungen anschließend mit einem einzigen Mausklick autorisieren.
Die Vergabe von Zugriffsrechten ist meist eine Aufgabe, die ausschließlich von verantwortlichen IT-Administratoren durchgeführt wird. Das Wissen über die Schutzwürdigkeit von Dateien und Verzeichnissen liegt dagegen häufig bei den Dateieignern und in den Fachabteilungen. „8MAN 4.2“ soll daher den „Data Ownern“ bei der Rechtevergabe optional mehr aktive Mitarbeit erlauben, ohne die wichtige zentrale Übersicht aufzugeben. Wird die entsprechende Funktion bei der Konfiguration von „8MAN“ aktiviert, könnten diese eine gewünschte Veränderung oder Erweiterung von Zugriffsrechten schnell und einfach in einem Bildschirmfenster erfassen. Auch die Angabe von Gründen für die Änderung sei möglich. Der verantwortliche Administrator erhalte diese Informationen umgehend übermittelt und könne sie mit einem einzigen Klick genehmigen oder ablehnen. Diese Vorgehensweise sei bei allen Modifikationen der Zugriffsrechte möglich – zum Beispiel beim Erstellen und Löschen von Verzeichnissen, von Benutzern, Gruppen und Berechtigungen oder für ein „Soft Delete“, das es erlaube, gelöschte Rechte für einen Anwender zu einem späteren Zeitpunkt schnell wieder zu aktivieren.
Sowohl Administratoren als auch Dateieigner und Fachabteilungen profitierten von diesem Feature. Für die Administration sinke der Arbeitsaufwand, ohne dass der Überblick über sämtliche Änderungen verlorengehe. „Data Owner“ seien in der Lage, schnell und einfach Modifikationen zu initiieren, so dass sich Veränderungen in den Betriebsabläufen zeitnah in der Rechtevergabe widerspiegelten.
Heute arbeiteten in modernen Unternehmen häufig keine absoluten IT-Laien mehr am PC, sondern Menschen, die mit dem Computer aufgewachsen seien und um die Bedeutung digitaler Informationen wüssten. Entsprechend sei es nur logisch, ihnen auch die selbst gewünschte Mitverantwortung beim Schutz der digitalen Ressourcen zu übertragen, so Stephan Brack, „CEO“ von protected-networks.com in Berlin.

Weitere Informationen zum Thema:

8MAN
BERECHTIGUNGSMANAGEMENT

[datensicherheit.de, 29.01.2012] Die protected-networks.com GmbH in Berlin, ein führender Spezialist im Bereich des Berechtigungsmanagements in IT-Infrastrukturen, hat ihre Softwarelösung „8MAN“ zur Analyse und Kontrolle aller Zugriffsrechte innerhalb der „Windows“-Server-Umgebung weiter ausgebaut:
Ab sofort ist der „8MAN Logga“ als Add-On verfügbar, das es erlaubt, die tatsächlichen Zugriffe auf Ordner und Dateien zu überwachen.
Risikominimierung, vertragliche Verpflichtungen oder regulative Vorgaben sind Gründe, warum es nicht ausreichend ist, Zugriffe stringent zu trennen, sondern diese auch zu kontrollieren. Unternehmen werden mit „8MAN“ in der Lage versetzt, ein transparentes Berechtigungsmanagement durchzuführen, in dem sich jederzeit der aktuelle Stand der Rechtevergabe für Mitarbeiter und Mitarbeitergruppen abrufen, kontrollieren und aktualisieren lässt. Zusätzlich wird es nun mittels „8MAN Logga“ möglich, tatsächliche Zugriffe auf digital gespeicherte Informationen nachweislich zu dokumentieren.
„8MAN Logga“ registriert alle Zugriffe auf ausgewählte Verzeichnisse des Dateiservers und speichert diese Daten. Damit lässt sich belegen, wer wann welche Aktionen wie das Lesen, Verändern, Erzeugen oder Löschen von Dateien ausgeführt hat. Feststellen lässt sich beispielsweise nicht nur, ob und durch wen eventuell unerlaubte Zugriffe stattgefunden haben, sondern auch, wer wann bestimmte Dateien geändert hat. Bei der Reporterstellung machen definierbare Zeiträume es einfacher, sich gezielt einen Überblick zu verschaffen. Damit stellt der „8MAN Logga“ eine sinnvolle Ergänzung zum bisherigen Funktionsumfang der Berechtigungsmanagementlösung dar. Das Add-On hilft so beispielsweise, die „Segregation of Duties“ nachweislich belegen zu können oder nach einem Datenverlust die tatsächlichen Zugriffe auf das fragliche Verzeichnis zu überprüfen. Dadurch lassen sich Risiken minimieren und der Schutz für sensible Daten, wie Forschungspläne, börsenrelevante Zahlen oder Kundendaten, erhöhen.

Weitere Informationen zum Thema:

protected-networks.com
8MATE LOGGA: FILESERVERÜBERWACHUNG MIT 8MAN EFFIZIENT UMSETZTEN!

[datensicherheit.de, 08.12.2010] Die jüngsten WikiLeaks-Veröffentlichungen interner diplomatischer Korrespondenz der USA wurden dadurch möglich, dass offenbar ein Armeeangehöriger unbefugt Zugriff auf brisante Informationen hatte. Dieser Fall zeigt einmal mehr, dass Behörden – aber auch Unternehmen – wichtige vertrauliche Informationen häufig nur ungenügend schützen:
Mehr als 2,5 Millionen Personen hätten wie der beschuldigte Armeeangehörige die streng geheimen Daten ungehindert nutzen können. Eine derartige Personenanzahl mit Zugriff auf geheimes Wissen sei absolut unvertretbar und lasse sich unter anderem durch „Chaoszustände in der Rechteorganisation“ erklären, kommentiert Stephan Brack, Geschäftsführer der protected-networks.com GmbH in Berlin. Würden Zugriffsrechte bereits nachlässig angelegt, böten sie in ihrer Funktion intern weder Überblick noch Schutz, doch noch immer scheuten viele Unternehmen und Behörden aus Angst vor hohen Kosten eine Optimierung in der Organisation von Datenzugriffen.
Die protected-networks.com GmbHz.B. bietet „8MAN“als eine eigene
Entwicklung für ganzheitliches Berechtigungsmanagement an. Bereits beim Anlegen einer Berechtigung beginnt der prozessorientierte Workflow – übersichtliche Baumstrukturen sollen helfen, die gesamte Rechtelage zu erfassen. Verantwortliche legen dabei fest, welchen Status eine Person nach dem „Need-to-know-Prinzip“ erhält – also ob gar kein Zugriff, nur Ansehen oder auch Verändern des Inhaltes erlaubt wird. Riskante Zugriffsrechte werden erkannt und gemeldet. Zudem werden sämtliche Änderungen in den Berechtigungslagen lückenlos protokolliert.

© protected-networks.com GmbH

Sensible Informationen: Riskante Zugriffsrechte sollten erkannt und gemeldet werden!

Weitere Informationen zum Thema:

protected-networks.com GmbH
Die Lösung / 8MAN – Mehr Unterstützung und Transparenz für Ihr Berechtigungsmanagement