Rezertifizierung von                                  Berechtigungen

Rezertifizierung beschreibt die regelmäßige Überprüfung und Beurteilung zugewiesener Berechtigungen. Es geht also um die Frage, wer was und vor allem warum darf. In einer Zeit, in der Cyberangriffe und Datenschutzverletzungen zum Geschäftsrisiko geworden sind, reicht es nicht mehr aus, Berechtigungen einmal zu vergeben und dann zu vergessen. Rezertifizierung sorgt dafür, dass Zugriffsrechte regelmäßig überprüft und angepasst werden – damit nur diejenigen Zugriff auf Informationen haben, die auch dazu berechtigt sind.

Wie sich dieser Prozess zügig und wirkungsvoll mit einer Identity- und Access-Management-Lösung (IAM) umsetzen lässt, zeigt dieser Beitrag.

Unter Rezertifizierung versteht man den systematischen Prozess, im Zuge dessen bestehende Zugriffsrechte auf Systeme, Anwendungen und Daten überprüft und bestätigt oder widerrufen werden.

Ziel ist es zu gewährleisten, dass nur autorisierte Personen weiterhin Zugang zu klassifizierten Informationen haben. Durch die Rezertifizierung werden veraltete oder unnötige Berechtigungen erkannt und entfernt, wodurch das Risiko von Missbrauch deutlich reduziert wird. Rezertifizierung folgt dabei dem «Least Privilege Prinzip», das besagt, dass nur die Berechtigungen vergeben werden, die zum Zeitpunkt der Arbeit für einen spezifischen Benutzer oder Dienst tatsächlich benötigt werden.

Regelmäßige Rezertifizierungen minimieren das Risiko, dass Mitarbeitende, die ausgetreten sind oder die Funktion gewechselt haben, ihre Berechtigungen behalten. Das bekannteste Beispiel hierfür ist der Praktikant, welcher während seiner gesamten Ausbildung in acht verschiedenen Abteilungen gearbeitet hat und dadurch mehr Berechtigungen hat als die Geschäftsleitung. Dieses Problem tritt dann auf, wenn Berechtigungen nicht bei jedem Funktionswechsel durch eine Rezertifizierung überprüft werden.

Ein weiterer Grund für Rezertifizierungen sind gesetzliche Vorgaben (z. B. DSGVO, SOX), welche die Kontrolle von Zugriffsrechten vorschreiben. Auch Sicherheitsstandards (z. B. ISO27001, TISAX) definieren Rezertifizierungen in ihren Normen. Eine dokumentierte Rezertifizierung erleichtert zudem Audits erheblich.

Dass Rezertifizierungen in diversen Normen definiert sind, kommt nicht von ungefähr. Ungerechtfertigte Berechtigungen stellen ein erhebliches Einfallstor für Datenpannen dar. Unberechtigte Zugriffe, Datendiebstähle oder die unberechtigte Veränderung von Daten bilden Risiken, welche mit Rezertifizierung verhindert werden können.

Wieso ist eine saubere Rezertifizierungsstrategie dennoch in den meisten Firmen nicht fest verankert? Wann haben Sie zuletzt überprüft, ob eine Person tatsächlich nur über die Berechtigungen verfügt, die für ihre aktuelle Rolle erforderlich sind? Und haben Sie diese Prüfung für alle Mitarbeitenden durchgeführt?

Der Aufwand dafür ist enorm – und genau deshalb wird diese Aufgabe allzu oft vertagt. Sie gilt als lästig, arbeitsintensiv und steht selten ganz oben auf der Prioritätenliste. Doch gerade diese Vernachlässigung öffnet die Tür für Sicherheitsrisiken und Regelverstöße.

Insgesamt kann der Mangel an Rezertifizierungen also schnell zu einem Teufelskreis aus Sicherheitslücken, Compliance-Risiken und ineffizienten Prozessen werden.

Bei der Rezertifizierung unterscheiden wir zunächst, wer die Rollenzugehörigkeit prüft: Führungskräfte kontrollieren regelmäßig, ob ihre Mitarbeitenden noch in den ihnen zugewiesenen Rollen aktiv sein sollten – etwa nach Abteilungswechseln oder Neueinstellungen. Rollenowner übernehmen eine ähnliche Prüfung, fokussiert aber auf fachliche Passgenauigkeit: Sie verifizieren, ob die Personen tatsächlich die Aufgaben erfüllen, für die die Rolle gedacht ist. Darüber hinaus prüfen Rollenowner auch die der Rolle zugeordneten Berechtigungen und entfernen alle Privilegien, die nicht mehr benötigt werden.

Schließlich unterscheidet man zwischen wiederkehrenden, automatisierten Rezertifizierungen – beispielsweise quartalsweise – und manuellen Zertifizierungskampagnen, die punktuell bei besonderen Anlässen oder Compliance-Vorgaben gestartet werden. So entsteht ein flexibles, mehrstufiges System, das sowohl Kontinuität als auch gezielte Eingriffe ermöglicht.

Rezertifizierungen sollten nicht von der IT übernommen werden, sondern von den zuständigen Fachbereichen. Nur die Mitarbeitenden, die genau mit den täglichen Abläufen und Anforderungen vertraut sind, können beurteilen, welche Zugriffsrechte wirklich nötig sind. Daher fällt diese Aufgabe meist in den Zuständigkeitsbereich von Abteilungsleiterinnen und -leitern oder anderen Fachexpertinnen und -experten. Voraussetzung für eine fundierte Entscheidung ist dabei, dass sämtliche relevante Informationen vollständig bereitgestellt werden.

Wir als IPG entwickeln maßgeschneiderte Rezertifizierungsstrategien, die sich eng an den organisatorischen und regulatorischen Anforderungen unserer Kunden orientieren. Ziel ist es, die Verwaltung von Benutzerrechten nicht nur sicherer, sondern auch effizienter und revisionssicher zu gestalten:

• Gemeinsam mit Ihren Datenverantwortlichen entwickeln wir ein Rollen- und Prüfungsmodell, das Ihre Unternehmensstruktur passgenau abbildet.
• Ein zentrales Dashboard verschafft allen Fachbereichsleitern sofortigen Einblick in anstehende sowie laufende Rezertifizierungszyklen.
• Die Intervalle lassen sich flexibel festlegen – von regelmäßigen Quartals- und Halbjahresprüfungen bis hin zu risikobasierten Reviews.
• Sie definieren genau, welche Elemente (Rollenprofile, Service-Accounts, Fileserver, Cloud-Anwendungen etc.) in den Rezertifizierungsprozess einbezogen werden.
• Das System versendet automatisch Erinnerungen und aktiviert bei ausbleibender Rückmeldung voreingestellte Eskalations- oder Backup-Prozesse.
• Die Rezertifizierer arbeiten in einer übersichtlichen Benutzeroberfläche, in der sie Berechtigungen mit wenigen Klicks bestätigen oder entziehen.
• Dank vorkonfigurierter Module ist die Lösung sofort einsatzbereit und erfordert nur minimalen Konfigurationsaufwand.
• Über Schnittstellen zu HR-Systemen, CMDB und Privileged-Access-Management werden On-/Offboarding-Daten automatisch synchronisiert und revisionssichere Audit-Logs sowie Compliance-Reports erzeugt.