Blogreihe: 10 Tipps wie Sie sich vor Cyberangriffen schützen

Sich als Unternehmen gegen Cyberangriffe zu schützen ist heute nicht mehr nur eine Empfehlung, sondern zwingend notwendig. Die Frage ist nicht ob, sondern wann ein Unternehmen in Kontakt mit Cybersecurity kommt. In unserer Blogreihe „10 Tipps wie Sie sich vor Cyberangriffen schützen“ geben wir Ihnen 10 nützliche Tipps an die Hand, wie Sie sich und Ihr Unternehmen vor Cyberangriffen schützen können.

Einer unserer Tipps: Zugriffsberechtigungen

Definieren und dokumentieren Sie die Zugriffe auf sämtliche Systeme. Erstellen Sie einen Ein- / Austrittprozess für Mitarbeitende.

Was sind Zugriffsberechtigungen?

Mittels Zugriffsberechtigungen wird definiert, welche Benutzer auf welche Ressourcen zugreifen dürfen. Konkret heisst dies, dass beispielsweise geregelt ist, welche Mitarbeitende auf die Netzlaufwerke im Windows Explorer Zugriff haben. In einigen Fällen wird zudem definiert, dass beispielsweise Benutzer A Schreibrechte hat, Benutzer B jedoch nur Leserechte. Um die Übersicht sowie die Komplexität zu bewahren, werden die Berechtigungen mit Gruppen gesteuert. Erfahren Sie mehr dazu in nachfolgendem Beispiel.

Beispiel-Szenario

Bei der Firma Mustermann AG gibt es folgende Netzlaufwerke:

  • Marketing
  • GL
  • Einkauf
  • Entwicklung

Das Ziel ist nun, den 10 Mitarbeitenden der Mustermann AG Zugriff auf die Netzlaufwerke zu gewähren. Es darf jedoch natürlich nicht jeder Mitarbeitende überall Zugriff erhalten. Die Abteilungen sind folgendermassen gegliedert:

Marketing GL Einkauf Entwicklung
Claas Faser Donna Wetter Emma Herdamit Friedrich Zafen
Claudia Manten Theo Retisch Frank N. Stein Joe Kolade
Johannes Kraut
Leif Schaltung

Nun wird für jede Abteilung und Netzlaufwerk eine eigene Sicherheitsgruppe im Active Directory erstellt:

  • G-Marketing
  • G-GL
  • G-Einkauf
  • G-Entwicklung

Die Gruppen werden nun entsprechend obiger Tabelle mit den Benutzern als Mitglieder angelegt. Die Beiden GL-Mitglieder „Donna Wetter“ und „Theo Retisch“ erhalten überall Zugriff und werden somit auch Mitglied in jeder Active Directory Gruppe.

  • Wichtig: Unsere Empfehlung ist nun, dass beispielsweise eine Excel-Datei (oder eine Seite im QMS, Wiki etc.) erstellt wird, in welcher dokumentiert ist, welcher Mitarbeitende (Benutzer) wo Zugriff hat. So bewahren Sie zu jederzeit die Übersicht. Falls gewünscht, können die Berechtigungen auch automatisiert aus dem Active Directory exportiert werden. Je nach Komplexität und Unternehmensgrösse macht dies natürlich Sinn.

Was ist weiter zu beachten?

Da für die Mustermann AG die Zugriffsberechtigungen nun definiert und dokumentiert sind, muss man sich Gedanken über einen Ein- und Austrittsprozess machen. Da auch die Mustermann AG in Zukunft Ein- sowie Austritte haben wird, ist ein solcher Prozess zwingend notwendig.

Im Eintrittsformular sollte man nun definieren, in welche Gruppen der Mitarbeitende aufgenommen werden soll. Dies kann beispielsweise mit einfachen Checkboxen erledigt werden. Vor Stellenantritt kann dieses Formular nun der IT übergeben werden und der Benutzer wird gemäss den Berechtigungen eröffnet. So kann sichergestellt werden, dass der Benutzer wirklich nur dort Zugriff hat, wo dieser auch Zugriff haben darf. Weiter kann man auf diesem Formular direkt definieren, welche Applikationen der neue Benutzer erhalten soll und ob beispielsweise ein VPN-Zugriff notwendig ist.

Sobald ein Mitarbeitender das Unternehmen verlässt, sollte man auch einen Austrittsprozess definieren. In diesem wird definiert, was beispielsweise mit den E-Mails, Projektdaten etc. geschieht. Zudem wird definiert, wann das Benutzerkonto sowie weitere Zugänge (E-Mail, VPN, Website etc.) gesperrt werden. Bei einem Austrittsformular empfiehlt es sich, dieses vom austretenden Mitarbeitenden unterzeichnen zu lassen. So wird transparent informiert und das Einverständnis eingeholt.

Weiter ist auch zu beachten, wenn Mitarbeitende (bspw. Lernende) eine Abteilung wechseln, dass auch bei diesem Wechsel die Berechtigungen überprüft und falls nötig angepasst werden. Genau dieser Punkt geht häufig vergessen und kann schnell zu bösen Überraschungen führen.

Fazit

Wie Sie in diesem Blogbeitrag erfahren haben, hilft Ihnen die Dokumentation von Zugriffsberechtigungen. Es ist essentiell, dass die Zugriffsberechtigungen dokumentiert und korrekt angewendet werden. Ist dies nicht der Fall, haben Mitarbeitende auf Laufwerke Zugriff, wo diese gar keinen Zugriff haben dürften. Grundsätzlich möchte der CEO wahrscheinlich nicht, dass beispielsweise die Lernende Zugriff auf die Lohnliste oder eine Marketingmitarbeiterin Zugriff auf die Buchhaltung hat. Weiter kann man die Ausbreitung bei einem allfälligen Cyberbefall deutlich eingrenzen, da die Ausbreitung nur dort stattfinden kann, wo der Benutzer auch Zugriff hat.

Sie wissen dank den dokumentierten Zugriffsberechtigungen zu jederzeit, wie die Zugriffe geregelt sind und welcher Mitarbeitende wo Zugriff hat. Häufig ist zudem gar nicht ein grosser Aufwand notwendig, sondern es reicht schon eine einfache Excel-Datei –  getreu nach dem Motto „weniger ist mehr“. Weiter unterstützt Sie ein sauberer On- und Offboarding bei der An- sowie Abmeldung von Mitarbeitenden. Die Dokumentation von Zugriffsberechtigungen gibt Ihnen als IT-Verantwortliche(r) die Gewissheit, dass Sie wissen, wie die Zugriffe geregelt sind und hilft Ihnen im täglichen Alltag sowie bei allfälligen Audits. In komplexeren IT-Infrastrukturen geht das Thema Zugriffsberechtigungen natürlich deutlich weiter und ist komplexer, jedoch gerade in kleineren Unternehmen kann dieses Vorgehen ein erster Schritt sein.

Ich hoffe, wir konnten Ihnen mit diesem Beitrag das Thema Zugriffsberechtigungen etwas näher bringen. Melden Sie sich bei Fragen gerne bei uns.

Kostenlose 30-Minuten IT-Security Beratung

Buchen Sie noch heute Ihre kostenlose und unverbindliche 30-Minuten IT-Security Beratung.

Wir stellen kurz unsere IT-Security Services vor und beantworten Ihre dringendsten Fragen. Dies alles kostenlos und völlig unverbindlich. Nach dem digitalen Kaffee stellen wir Ihnen unsere Empfehlungen zur Optimierung Ihrer IT-Security zu.

Melden Sie sich noch heute für das kostenlose IT-Security Coffee:

> Kostenlose IT-Security Beratung
> Beantwortung Ihrer dringendsten Fragen
> Videomeeting via Microsoft Teams
> Dauer: ca. 30 Minuten
> Empfehlung mit Massnahmen

Buchen Sie jetzt die kostenlose IT-Security Beratung!