Tipps für mehr Sicherheit im Amt
Weniger (Recht) ist mehr wie Access Rights Management Behörden künftig sicherer machen kann
Eine Lösung für eine überschaubarere Verwaltung von Zugriffsrechten ist das Data-Owner-Konzept
Während die Digitalisierung in Gesellschaft und Wirtschaft mit hoher Geschwindigkeit voranschreitet, hinken Behörden vielerorts hinterher. Der 7. Zukunftskongress Staat & Verwaltung, der vom 27. bis 29. Mai 2019 in Berlin stattfand, hatte vermutlich auch deshalb die digitalen Chancen und Herausforderungen der öffentlichen Verwaltung zum Thema. Neben IT-Governance ist Cybersecurity ein wichtiger Aspekt des Programms. Um in Sachen IT auch künftig wortwörtlich "auf Nummer sicher gehen" zu gehen, benötigen Administratoren zukunftsfähige Vorgehensweisen und die dafür nötigen Tools und Lösungen.
Anders als die meisten Unternehmen bearbeiten Behörden erweiterte oder gar die kompletten Datensätze von Personen, inklusive Angaben zu Geschlecht, Familienstand oder Gesundheitsdaten. Behörden müssen stärker denn je darauf achten, Daten sicher und vor allem fehlerfrei anhand neuer Pflichten und Regeln wie KRITIS und DSGVO zu behandeln. Eine wesentliche Grundlage dafür ist es, die aktuelle Situation der Zugriffsrechte digital abzubilden. Teilweise passiert dies nämlich noch analog mittels Karteikarten und dergleichen. Dabei können automatisierte Prozesse und digitale Werkzeuge personell schwach besetzten Ämtern helfen, die Digitalisierung einfach voranzutreiben.
Zunächst sollten sich Administratoren folgende Fragen stellen: Wer hat auf welche Daten Zugriff? Seit wann? Und viel wichtiger warum? Dass jeder Mitarbeiter potentiell auf alle Datenklassen zugreifen kann, ist ein Zustand der Vergangenheit. Bestenfalls kann nicht einmal der Geschäftsführer alle Daten eines Mitarbeiters einsehen. Und je größer die Behörde, sprich je mehr Abteilungen und Mitarbeiter sie hat, desto unüberschaubarer sind die Zugriffsrechte.
Diese drei Tipps der Netzwerk- und Systemexperten von SolarWinds helfen Administratoren in Behörden, diese sicherer zu machen und in Sachen Digitalisierung und Automatisierung weiter voranzubringen:
Tipp 1: Data Owner benennen
Eine Lösung für eine überschaubarere Verwaltung von Zugriffsrechten ist das Data-Owner-Konzept: Der Administrator delegiert die abteilungsspezifische Vergabe von Datennutzungsrechten an die Abteilungsleiter. So weiß etwa der Data Owner der Personalabteilung, welche Rechte ein neuer Mitarbeiter haben muss und vor allem, welche nicht. Sensible Daten können leichter identifiziert und klassifiziert werden. Mit Standard-Lösungen und -Betriebssystemen ist ein solches Vorgehen nur schwierig umzusetzen. Ein zentrales Access-Rights-Management-System (ARM) schafft hier die nötige Transparenz und ermöglicht es, die Compliance-Richtlinien besser im Blick zu behalten.
Ein wichtiger Aspekt ist hierbei, dass Administratoren die Data Owner in der Rechtevergabe schulen. Denn der Know-how-Übertrag und das Bewusstsein für Access Rights Management hilft den Abteilungen und langfristig der ganzen Behörde, ihre Effizienz zu steigern und Prozesse zu optimieren.
Tipp 2: Templates helfen bei Automatisierung
Oft stellt sich heraus, dass sich Anforderungen unterschiedlicher Mitarbeiter decken. Diese Erkenntnis lässt sich nutzen, um unter Berücksichtigung des Prinzips "Kleinster gemeinsamer Nenner Templates für Rechtevergabe und Datennutzung zu erstellen. Das spart wertvolle Zeit bei der Einbindung neuer Mitarbeiter. Ändern sich mit der Zeit Position oder Aufgaben, kann der Administrator beziehungsweise der Data Owner neue Rechte vergeben oder alte entziehen. Dadurch lassen sich Fehlerquoten senken, die sich etwa beim händischen Löschen von Accounts ehemaliger Mitarbeiter ergeben können typische Einfallstore für Bots und Hacker.
Tipp 3: Auf Cyberangriffe schnell reagieren
KRITIS-Unternehmen und Behörden sind im Falle eines Cyberangriffs auskunftspflichtig. Innerhalb von 72 Stunden müssen sie beweisen, dass sie ihr Möglichstes getan haben, um einer Attacke vorzubeugen. Mithilfe eines Rechtemanagement-Systems lassen sich mit wenigen Klicks Protokolle über Zugriffsrechte und Berichte erstellen, die die Unschuld der eignen Mitarbeiter sowie die unternommenen Maßnahmen nachweisen und letztere nachhaltig verbessern können.
Durch die kontrollierte Zuweisung von Zugriffsrechten behalten Administratoren nicht nur den Überblick in ihren Organisationen, sie erhalten auch erweiterte Monitoring-Möglichkeiten. Automatisierte Reporte und Alarme helfen darüber hinaus, neue Herausforderungen wie Gesetze und Verordnungen einzuhalten sowie eine einheitliche Informations- und Datenbasis zu schaffen. In Zukunft profitieren von den neuen digitalen Möglichkeiten alle Mitarbeiter wie Bürger.
(SolarWinds: ra)
eingetragen: 30.05.19
Newsletterlauf: 21.06.19
SolarWinds: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.