Für eine maximale Investitionsrendite: Arbeiten nach dem Prinzip der notwendigsten Berechtigung

Berechtigungen zu verwalten kann sehr teuer werden. Bei einem Unternehmen mit 1.000 Mitarbeitern kann der Aufwand, der aus der Bearbeitung von Berechtigungsanforderungen entsteht, bei bis zu 180.000 US-Dollar pro Jahr...
Michael Buckbee
5 minute gelesen
Letzte aktualisierung 28. Oktober 2021

Berechtigungen zu verwalten kann sehr teuer werden. Bei einem Unternehmen mit 1.000 Mitarbeitern kann der Aufwand, der aus der Bearbeitung von Berechtigungsanforderungen entsteht, bei bis zu 180.000 US-Dollar pro Jahr liegen. Durch die Automatisierung der Zugriffskontrollen mit DataPrivilege lässt sich dieser Aufwand um 105.000 US-Dollar pro Jahr senken, während gleichzeitig die Risiken verringert werden. In diesem Artikel erfahren Sie, was dahinter steckt.

In der aktuellen Lage, in der Datenschutzverletzungen alltäglich vorkommen, ist einer der wichtigsten Schritte bei der Umsetzung eines Datenschutzplans, das Prinzip der notwendigsten Berechtigung in Ihrem gesamten Unternehmen einzuführen und zu pflegen.

Das Prinzip der notwendigsten Berechtigung besagt, dass Benutzer nur auf die Ressourcen Zugriff haben sollten, die sie für ihre Arbeit wirklich benötigen. Was bedeutet das? Zum Beispiel sollte das Marketingteam nicht auf die Finanz- oder Personaldaten des Unternehmens zugreifen können. Das ist aber erschreckend oft der Fall.

Ein nach dem Prinzip der notwendigsten Berechtigung aufgebautes Zugriffsmodell kann den Schaden, den Insider anrichten können, drastisch reduzieren. Noch wichtiger ist aber, dass es Hacker daran hindert, sich mit einem einzigen kompromittierten Konto seitwärts durch das gesamte Unternehmen zu bewegen.

Ohne die Beschränkung auf die notwendigste Berechtigung können Hacker sich wahrscheinlich von einem Share zum nächsten hangeln und dabei so viele Daten wie möglich absaugen. Wenn andererseits das Prinzip der notwendigsten Berechtigung umgesetzt wurde, bleibt der Hacker auf die Ressourcen beschränkt, auf die das kompromittierte Konto zugreifen kann.

Und wo ist der Haken? Berechtigungen nach dem Prinzip der notwendigsten Berechtigung Berechtigungen einzurichten ist keine Kleinigkeit. Sie müssen die Zugriffskontrolllisten analysieren, sie mit den Benutzern und Gruppen im Active Directory korrelieren und Probleme wie globale Zugriffsberechtigungen beheben, die grundsätzlich nicht zulässig sein sollten. Hacker suchen aktiv nach üblichen Problemen wie Dienstkonten mit übertriebenen Berechtigungen, Fehlern in der Vererbung von Berechtigungen und schwachen Admin-Passwörtern.

Nachdem Sie warm gelaufen sind, indem Sie die üblichen Sicherheitslücken schließen, müssen Sie die Dateneigentümer mit einbeziehen, um festzustellen, ob die aktuellen Berechtigungen tatsächlich gebraucht werden, oder um sie gegebenenfalls zu löschen.

Wir haben Tausende Unternehmen dabei unterstützt, das Prinzip der notwendigsten Berechtigung umzusetzen. Wenn man dabei manuell vorgeht, braucht man dazu mindestens 6 Mannstunden pro Ordner.

Wieviel kostet es, ein Modell nach dem Prinzip der notwendigsten Berechtigung manuell zu pflegen?

Ein Modell nach dem Prinzip der notwendigsten Berechtigung einzuführen stellt im Hinblick auf Anlaufkosten, Ressourcen, laufende Kosten und Humankapital eine große Investition dar. Sobald es erreicht ist, übernimmt üblicherweise das IT-Servicedesk die Last, das Modell der notwendigsten Berechtigungen zu pflegen.

Branchendaten aus dem Jahr 2016 zufolge kostet jeder Anruf beim Servicedesk das Unternehmen im Durchschnitt 15,56 USD. Das wirkt wie ein angemessener Preis für einen schnellen Anruf beim Service. Wenn beispielsweise ein Nutzer anruft und Zugriff auf einen Share beantragt, muss die IT-Abteilung beim Vorgesetzten des Nutzers – oder einer anderen Person in der Genehmigungshierarchie – nachfragen und dann den Antrag entweder genehmigen oder ablehnen. Umfragen in unserem Kundenkreis zufolge benötigt das Helpdesk auf den Tag verteilt im Durchschnitt 20 Minuten, um diesen Vorgang abzuschließen.

Und wieviele Anrufe dieser Art erhält das Helpdesk Ihrer Meinung nach in einem Monat? 50? 100? 1.000? Bei einigen unserer Kunden werden pro Monat bis zu 7.000 Berechtigungsänderungen bearbeitet – alles im Interesse des Datenschutzes und um ein Modell nach dem Prinzip der notwendigsten Berechtigung zu pflegen.

Unten finden Sie ein kleines Diagramm zu diesem Szenario, auf dem die Anzahl der (Anrufe beim Servicedesk/Monat) * (Kosten pro Anruf) für ein ganzes Jahr eingetragen ist.

Anzahl der Fälle pro Monat Kosten pro Fall Kosten pro Monat Kosten pro Jahr
100 15 $1.500 $18.000
500 15 $7.500 $90.000
1.000 15 $15.000 $180.000
2.500 15 $37.500 $450.000
5.000 15 $75.000 $900.000
7.000 15 $105.000 $1.260.000

Ja, Sie haben richtig gelesen! Ohne eine Lösung, mit der sich der Prozess der Berechtigungsanforderung optimieren lässt, würde es unseren Kunden bereits über eine Million Dollar pro Jahr kosten, wenn er nur seine Berechtigungen auf dem aktuellen Stand hält.

Wenn Sie die Kosten pro Fall für Ihr Servicedesk kennen und wissen, wie viele AD-Änderungen bei Ihnen pro Monat bearbeitet werden, können Sie die Berechnung auch für sich selbst aufstellen. Und stellen Sie sich dann die Frage, was es Ihnen wert ist.

Neben den finanziellen Kosten sollten Sie auch die menschliche Komponente berücksichtigen.

Nehmen wir das vorstehende Diagramm: Wenn Sie ungefähr 1.000 AD-Änderungen pro Monat haben, erreichen Sie Grundkosten von 180.000 US-Dollar pro Jahr für Anrufe beim Servicedesk, wobei für die reine Bearbeitung der Anfragen bei einer Bearbeitungszeit von 20 Minuten pro Anruf jeden Monat 333 Mannstunden anfallen. Das sind zwei Vollzeitstellen, die über 40 Stunden pro Monat ausschließlich damit beschäftigt sind, auf Berechtigungsanfragen zu reagieren. Selbst wenn Sie ein Team rund um die Uhr und auch an Wochenenden daran arbeiten lassen, sind das nahezu zwei Wochen in spezialisierten Mannstunden für Berechtigungsanfragen.

Und das ist nur die Situation in mittelgroßen Organisationen.

In größeren Unternehmen stehen den anfallenden 7.000 AD-Aktualisierungen pro Monat ca. 2.310 Arbeitsstunden gegenüber. Das sind 14 Personen, die in Vollzeit ausschließlich daran arbeiten, das Prinzip der notwendigsten Berechtigung aufrecht zu erhalten!

Ein besserer Ansatz zur Verwaltung von Berechtigungen

DataPrivilege entlastet das Servicedesk und gibt den Dateneigentümern – die tatsächlich *wissen*, wer auf diese Informationen zugreifen sollte – die Möglichkeit, Zugriffsberechtigung für ihre eigenen Shares zu gewähren oder aufzuheben.

Dadurch wird das Löschen und Zuteilen von Zugriffsberechtigungen so einfach, wie auf eine E-Mail zu antworten. Und jeder Dateneigentümer tut dies nur für seine eigenen Shares – und nicht für die ganze Domäne.

Wir sind uns wahrscheinlich alle einig, dass es keine gute Idee ist, das IT-Servicedesk den Zugriff auf Ordner mit Finanzdaten des Unternehmens regeln zu lassen. Den Zugriff auf diesen Ordner allerdings dem Controller oder dem Leiter der Buchhaltungsabteilung anzuvertrauen ist eine großartige Idee – und Sie sollten stolz darauf sein, dass Sie darauf gekommen sind.

DataPrivilege wird außerdem Ihre Anspruchsprüfungen automatisieren und Berichte für Audits und Compliance-Prüfungen erstellen. Wir liefern APIs für die Integration in Ihre IAM- oder ITSM-Systeme. Und natürlich lässt sich DataPrivilege mit Ihrer sonstigen Varonis-Software integrieren.

Aber Halt: Wieviel wird mich das kosten?

Gehen wir von einem Unternehmen durchschnittlicher Größe mit 1.000 Benutzern und ca. 1.000 AD-Änderungen aus. Wie wir zuvor gesehen haben, könnten für diese 1.000 AD-Änderungen pro Monat 180.000 US-Dollar pro Monat kosten und 333 Mannstunden Arbeit speziell für die Verwaltung der Berechtigungen anfallen. Indem Sie DataPrivilege für die Verwaltung der Berechtigungen verwenden, setzen Sie nicht nur Ressourcen frei, sondern das Unternehmen spart dabei 105.000 US-Dollar pro Jahr.

Und natürlich können Sie Ihr Servicedesk-Ressourcen ohne die Arbeitsbelastung durch Berechtigungsänderungen effektiver und flexibler nutzen. Ihre Dateneigentümer sind für Ihre jeweiligen Daten zuständig – und Ihre Audit-Prüfer haben im Hinblick auf den Zugriff auf sensible Daten nichts zu befürchten. DataPrivilege hat sich innerhalb eines Jahres amortisiert – und Sie reduzieren dabei die künftige laufende Belastung durch das Berechtigungsmanagement, während Sie gleichzeitig Ihr Unternehmen besser schützen.

Werfen wir noch einmal einen Blick auf das Unternehmen mit 10.000 Benutzern und 7.000 AD-Veränderungen pro Monat. Das Unternehmen müsste dafür Kosten des Servicedesk in Höhe von 1,26 Millionen US-Dollar pro Jahr und 2.310 Mannstunden pro Monat aufwenden. Durch den Einsatz von DataPrivilege sparen Sie im ersten Jahr 960.000 US-Dollar – und verringern die Anzahl der Mannstunden, die speziell mit der Verwaltung dieser Berechtigungen verbraucht werden, bedeutend. Und das ist nur das erste Jahr.

Im zweiten Jahr und danach sparen Sie über 1.000.000 US-Dollar.

Was könnte Ihr Servicedesk alles leisten, wenn es nicht mehr 7.000 AD-Änderungen pro Monat vom Tisch schaffen muss? Könnte es die Produktivität des übrigen Unternehmens verbessern, indem schneller auf dringendere Fälle reagiert wird? Könnten Sie frei werdende Arbeitskräfte anderweitig einsetzen und Ressourcen in andere Abteilungen verschieben?

Machen Sie Scherze?

Nein.

Das sind reale Zahlen. Aber bedenken Sie: Sie gelten speziell für ein Modell nach dem Prinzip der notwendigsten Berechtigung. Um dahin zu kommen, müssen (und sollten!) Sie möglichst begrenzte Berechtigungen einführen.

Natürlich müssen Sie die dabei anfallenden Ausgaben mit den Kosten vergleichen die damit verbunden wären, dass Sie nichts tun und dadurch den entsprechenden Risiken ausgesetzt sind. Wie viel wird die Datenschutzverletzung bei Equifax das Unternehmen wohl letztendlich kosten?

Der Meinung des Wall Street Journal zufolge dürften es „Milliarden“ werden.

OK, wie geht es weiter?

Es gibt mehrere Wege, um einen Anfang mit DataPrivilege und Varonis zu machen. Zu den einfachsten Methoden gehört, zunächst eine kostenlose Risikobeurteilung durchführen zu lassen.

Unsere Techniker analysieren dabei Ihre aktuelle Lage im Datenschutz – wobei auch Gruppen mit globalen Zugriffsrechten und unnötig exponierte Daten berücksichtigt werde – und händigen Ihnen einen detaillierten Bericht mit Empfehlungen und Hinweisen dazu aus, wo Ihre größten Sicherheitslücken sind und wie Sie diese schließen können. Oder Sie überspringen diesen ganzen Vorgang und holen sich direkt eine Demo von DataPrivilege.

Ein Modell nach dem Prinzip der notwendigsten Berechtigung einzuführen und aufrecht zu erhalten gehört zu den wichtigsten Schritten zum Schutz Ihrer sensiblen Daten – und verringert das Risiko, dass Ihre sensiblen Daten zu frei zugänglich sind, veruntreut oder gestohlen werden erheblich. Und DataPrivilege unterstützt Sie auf dem Weg dahin.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

ist-diese-sid-schon-vergeben? varonis-threat-labs-entdeckt-injektionsangriff-mit-synthetischen-sids
Ist diese SID schon vergeben? Varonis Threat Labs entdeckt Injektionsangriff mit synthetischen SIDs
Eine Technik, bei der Bedrohungsakteure mit bereits bestehenden hohen Berechtigungen synthetische SIDs in eine ACL einfügen, um so Backdoors und versteckte Berechtigungen zu schaffen.
warum-sharepoint-berechtigungen-schwierigkeiten-verursachen
Warum SharePoint-Berechtigungen Schwierigkeiten verursachen
von Brian Vecci SharePoint-Berechtigungen können ein Albtraum sein. Bei Varonis haben wir häufig die Gelegenheit, SharePoint-Administratoren zu treffen – und die meisten verzweifeln an der Verwaltung der Nutzerberechtigungen. SharePoint ist...
big-data-management-auf-nas-systemen-leicht-gemacht
Big-Data-Management auf NAS-Systemen leicht gemacht
von Brian Vecci Sie haben Daten? Sie haben eine Menge davon? Die meisten Organisationen mit NAS-Systemen haben Schwierigkeiten damit, Berechtigungen zu verwalten, Nutzungsmuster zu erkennen, Data Owner ausfindig zu machen...
windows-berechtigungen-reparieren
Windows-Berechtigungen reparieren
von Brian Vecci Wenn Sie Windows-Systemadministrator oder in Ihrer Organisation in das Sicherheits- oder -Berechtigungs-Management involviert sind, hatten Sie es das ein oder andere Mal garantiert schon mit fehlerhaften Windows-Berechtigungen...