Checkliste für Prüfungsberichte

Die wichtigsten Berichte zur Audit-Vorbereitung

| Autor / Redakteur: Sascha Giese / Peter Schmitz

Eine detaillierte Berichterstellung anhand interner sowie externer Richtlinien ist für eine erfolgreiche Vorbereitung auf IT-Audits unabdingbar.
Eine detaillierte Berichterstellung anhand interner sowie externer Richtlinien ist für eine erfolgreiche Vorbereitung auf IT-Audits unabdingbar. (Bild: gemeinfrei / Pixabay)

Eine gute Vorbereitung auf den nächsten Audit ist sinnvoll, aber nicht immer weiß man genau, worauf man sich vor dem Eintreffen der Auditoren konzentrieren sollte und welche Fragen sie stellen werden. Für die Einhaltung gesetzlicher Vorschriften ist insbesondere der Überblick über den Datenzugriff von grundlegender Bedeutung.

Egal ob der Audit-Prozess auf der DSGVO, ISO27001, PCI DSS, ISO, SOX oder allen vier Verordnungen gleichzeitig basiert, eine detaillierte Berichterstellung ist immer ein kritischer Erfolgsfaktor für die Compliance. Dieser Beitrag stellt sieben Berichte vor, die Technikexperten vor der nächsten Bewertung erstellt haben sollten. Denn indem sie die wichtigsten Ergebnisse, die die Compliance bedrohen können, schon vor dem Audit erstellen, sorgen sie dafür, dass der Audit-Prozess unkomplizierter, schneller und wesentlich problemloser abläuft.

Bericht 1: Benutzer und Gruppenzugriff

Zu wissen, worauf ein bestimmter Benutzer oder ein Gruppenmitglied Zugriff hat, ist ein geeigneter erster Schritt, um festzustellen, ob dieser Zugriff angemessen ist. Denn eine Auflistung aller Zugriffsrechte auf Fileserververzeichnisse für Benutzerkonten und Gruppenmitglieder liefert Auditoren wichtige Informationen, die belegen, dass man einen sicheren Kontenverwaltungsprozess umsetzt.

Allerdings ist dadurch noch nicht geklärt, ob dieser Zugriff auch angemessen ist. Ohne den Kontext der operativen Befehlskette kann man beispielsweise nicht wissen, ob ein bestimmter Benutzer Zugriff auf Dateien und Ordner haben sollte. Die Experten für ihre Daten und deren Relevanz sind die Dateneigentümer. Mithilfe von Rechtemanagement können beispielsweise Active Directory (AD) Benutzer mit dem Attribut „Manager“ mit bestimmten Fileserverressourcen verbunden werden. Damit kann man ein „Wo haben Mitarbeiter eines Managers Zugriff?“-Report erstellen und somit den Auditoren demonstrieren, dass kontinuierlich überprüft wird, ob ein Benutzerzugriff angemessen ist.

Bericht 2: Konten mit übermäßigen Zugriffsrechten

Das Prinzip der geringsten Rechte ist eine unumstößliche Grundregel der Cybersicherheit. Auditoren fragen möglicherweise nach Belegen, dass man dieses Prinzip durchsetzt, oder möchten wissen, wie Verstöße gekennzeichnet werden. Die unnötige Nutzung von Konten mit erweiterten Rechten kann schnell zu kostspieligen Fehlern führen, die das Unternehmen potenziellen Risiken aussetzen. Die Überwachung und Einschränkung privilegierter Kontenzugriffe ist eine gängige Anforderung zahlreicher rechtlicher Vorschriften und eine Best Practice im Datenschutz.

Sogenannte „Jeder“-Berechtigungen (z. B. authentifizierte Benutzer, Domänenbenutzer) können jedoch in Active Directory nicht automatisch entfernt werden. Indem Technikexperten einen Bericht zu allen Zugriffsrechten für das „Jeder“-Konto erstellen, den Bericht auf sensible Verzeichnisse überprüfen und die Zugriffsrechte für „Authentifizierte Benutzer“ entfernen, können außerdem global zugängliche Verzeichnisse identifiziert werden, um weitere Risiken zu vermeiden.

Bericht 3: Riskante Gruppenkonfigurationen

Mitgliederlose Gruppen in AD erschweren die Verwaltung und können Audits verlängern. Verschachtelte oder rekursive Gruppenmitgliedschaften können zusätzlich zur Unübersichtlichkeit und Komplexität beitragen. Indem man komplizierte Konfigurationen von AD-Gruppenmitgliedschaften vor Audits bereinigt, lässt sich der gesamte Compliance-Prozess optimieren.

Doch möglicherweise sind in manchen Gruppen keine Mitglieder mehr vorhanden oder Mitglieder befinden sich – verschachtelt oder rekursiv – in mehreren Gruppen. Wenn kein Überblick über diese riskanten Gruppenkonfigurationen besteht, führt dies im Laufe der Zeit zu zunehmenden Komplikationen und das Risiko von Datenverlusten steigt. Mithilfe eines Risikobewertungs-Dashboards können Gruppen in Rekursion identifiziert werden, sodass man Risiken proaktiv minimieren und Gruppenmitgliedschaftskonfigurationen optimieren kann.

Bericht 4: Interaktive und temporäre Konten

Ungenutzte oder inaktive Konten werden gerne von Angreifern ausgenutzt, die damit unter dem Deckmantel eines autorisierten Benutzers Daten stehlen und manipulieren. Temporäre Konten, die nicht mehr benötigt, aber auch nicht gelöscht werden und inaktiv bleiben, setzen das Unternehmen Risiken aus und machen Audits und Bewertungen unnötig kompliziert. PCI DSS 8.1.4 erfordert sogar, dass temporäre oder inaktive Konten innerhalb von 90 Tagen gelöscht oder deaktiviert werden.

Wenn inaktive Konten vorhanden sind, liegt das oft an Fehlern in Betriebsabläufen oder der abteilungsübergreifenden Kommunikation. Diese Fehler müssen von der IT-Abteilung schnell identifiziert und behoben werden. Nach der Durchsicht des Berichts zu inaktiven Konten können Technikexperten wahlweise das Konto und seine gesamten AD-Zugriffsrechte löschen oder aber es nur vorläufig löschen.

Bericht 5: Unsichere Kontokonfigurationen

Unsichere Kontokonfigurationen wie Kennwörter, die nie ablaufen, verstoßen gegen die Sicherheitsrichtlinien und setzen Unternehmen dem Risiko interner Bedrohungen und unbefugter Zugriffe aus. So verlangt beispielsweise die PCI-DSS-Bestimmung 2 unter anderem das Zurücksetzen von Kennwörtern alle 90 Tage und die DSGVO hebt die Notwendigkeit „angemessener Sicherheitsvorkehrungen“ hervor.

Eine mangelnde Standardisierung bei der Erstellung von Active Directory-Konten führt oft zu unsicheren Kontenkonfigurationen, die den Compliance-Status gefährden könnten. Ohne einen Überblick über die Kontenkonfigurationen können diese verborgenen Risiken schnell gefährlich werden. Indem man die Domäne automatisch nach Benutzerkonten mit nicht ablaufenden Kennwörtern scannt, können diese Probleme proaktiv behoben werden.

Bericht 6: Überwachung von Berechtigungsdifferenzen

Schlecht verwaltete Administratorrechte erhöhen das Risiko interner Bedrohungen. Ob es um eine unnötige Eskalation von Rechten oder schlicht um betriebliche Fehler geht - die Überwachung von Berechtigungsänderungen ist für die Reaktion auf Vorfälle und die Compliance unverzichtbar. So ist auch in Artikel 5, Absatz 2 der DSGVO festgelegt, dass datenverarbeitende Organisationen den Zugriffs- und Berechtigungsverlauf aller Verzeichnisse nachweisen können müssen.

Im Nachhinein ist es jedoch oft schwierig Änderungen an Zugriffsrechtekonfigurationen in Active Directory zu überprüfen. Das Onboarding von Benutzern erfolgt oft sehr schnell und entsprechend häufig geschehen Fehler, die nur schwer aufzuspüren sind, bevor sie sich auf die Sicherheit und die Compliance auswirken. Mit einem „Berechtigungsdifferenz-Report“ können die Zugriffsrechte auf dem Fileserver zu zwei verschiedenen Zeitpunkten verglichen werden und zeigt, wie sich der Kontext der Zugriffsrechte verändert hat.

Bericht 7: Active Directory-Strukturen im Verlauf

Frühere Momentaufnahmen des AD-Benutzerzugriffs sind wichtig für die Untersuchung von Datenschutzverletzungen. Auf diese Weise erhalten die Technikexperten die Informationen, um die Quelle eines Angriffs herauszufinden. Mit solchen Berichten kann gegenüber Auditoren auch nachgewiesen werden, dass effektiv auf Vorfälle reagiert wird.

Das Erstellen einer eindeutigen Zeitleiste mit nativen AD-Funktionen ist jedoch kompliziert. Indem man erfasst, wer zum Zeitpunkt eines Sicherheitsvorfalls Zugriff hatte, erhält man die kritischen Überwachungspfadnachweise, die für Untersuchungen benötigt werden. Verlaufsscans können dabei sofortige Einblicke in die Active Directory-Zugriffsrechte zum Zeitpunkt des Sicherheitsvorfalls geben.

Fazit

Eine detaillierte Berichterstellung anhand interner sowie externer Richtlinien ist für eine erfolgreiche Vorbereitung auf IT-Audits unabdingbar. Die oben aufgeführten Maßnahmen helfen den Verantwortlichen, die entsprechenden Datenauswertungen zielgenau, unkompliziert und verständlich aufzubereiten.

Sascha Giese.
Sascha Giese. (© SolarWinds)

Der beste Tipp zum Schluss: Warten Sie nicht bis zum nächsten Audit mit der Überprüfung der genannten Punkte. Die Bösewichte da draußen warten auch nicht.

Über den Autor

Sascha Giese ist als Head Geek von SolarWinds am EMEA-Hauptsitz des Unternehmens in Cork, Irland tätig. Giese verfügt über zahlreiche technische Qualifikationen aus dem Cisco-, Microsoft-, VMware- und AWS-Umfeld. Er hat über 10 Jahre technische Erfahrung im IT-Bereich und war davon vier Jahre als Senior Pre-Sales Engineer bei SolarWinds tätig.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45947287 / Head Geeks Speech)