Benutzerberechtigungs-Management – Praxisnah und kompakt

Zentrales Element jedes Informationssicherheitsmanagements – ob IT-Grundschutz, ISO 27001 oder Branchenstandard – ist ein Benutzerberechtigungs-Management, das festlegt, welche Rollen oder Benutzer auf welche Informationen zugreifen können sollen.

Ein solches Benutzerberechtigungs-Management schafft einen Rahmen für die Definition vorgesehener und nicht vorgesehener Zugriffe, überwacht die Nutzung von Berechtigungen, vermeidet Sicherheitsvorfälle, die aus übermäßigen oder vergessenen Berechtigungen herrühren und legt Prozesse für die Hinzufügung und die Entfernung von Berechtigungen fest.

Anhand zweier fiktiver, auf echten Fällen basierenden Beispielen – einem mittelständischen Industrieunternehmen und einer Behörde – wird der Weg zu einem vollständigen Benutzerberechtigungs-Managements nachgezeichnet, beginnend von der Analyse der Anwendungen und Systeme bis hin zu den fertigen Berechtigungskonzepten und -prozessen und der periodischen Überprüfung dieser.

Im Rahmen des Seminars werden nach Anleitung Vorlagen für ein Benutzerberechtigungs-Management im eigenen Unternehmen oder in der eigenen Organisation erstellt.

Teilnehmer dieses Seminars sind in der Lage, auch in komplexen IT-Landschaften das Benutzerberechtigungs-Management hauptverantwortlich zu betreiben, Systeme und Anwendungen zu analysieren, Berechtigungskonzepte und -prozesse zu erstellen, die Nutzung der Berechtigungen zu überwachen und regelmäßige Überprüfungen und Soll-Ist-Abgleiche durchzuführen.

Seminarablauf

  • Grundlagen
    • Definition Benutzerberechtigungs-Management
    • Benutzerberechtigungs-Management in IT-Grundschutz und ISO 27001
    • Einführung in die zwei Beispiele
  • Erfassung des Informationsverbunds
    • Anwendungen und Systeme
    • Werkzeuge zur systematischen Erfassung
    • Besonderheiten bestimmter Systeme
  • Personen und Rollen
    • Informationsquellen
    • Benutzerkennungen
    • Umgang mit nicht eindeutig einer Person zugeordneten Benutzerkennungen
    • Definition von Rollen und Einzelrechten
    • Änderungen von Rollen, Einzelrechten und Zuordnungen
  • Berechtigungen
    • Erfassung von bestehenden und möglichen Berechtigungen
    • Aus der Praxis: Erfassung von Berechtigungen bei bestimmten Systemen (Active Directory, Freigaben, Exchange, SharePoint)
    • Grundprinzipien der Definition von Berechtigungen
    • Besonders kritische Berechtigungen und risikoreduzierende Maßnahmen
    • Unterscheidung notwendiger und nicht notwendiger Berechtigungen
  • Erstellung und Änderung von Berechtigungskonzepten
    • Trennschärfe von Rollen
    • Umgang mit Einzelrechten
    • Geeignete Prozesse für Gewährung, Änderung und Entzug
  • Überwachung der Nutzung von Berechtigungen
    • Definition zu überwachender Aktionen
    • Technische Umsetzung der Überwachung bei bestimmten Systemen (Active Directory, Freigaben, Exchange, SharePoint)
    • Automatische, zentrale Auswertung
  • Überprüfung von Berechtigungskonzepten und -prozessen
    • Turnusmäßige und anlassbezogene Überprüfungen
    • Rezertifizierung von Soll-Berechtigungen
    • Soll-Ist-Abgleich

 

  • Marian Kogler

Grundlagen / Erfassung des Informationsverbunds / Personen und Rollen / Berechtigungen / Erstellung und Änderung von Berechtigungskonzepten / Überwachung der Nutzung von Berechtigungen / Überprüfung von Berechtigungskonzepten und -prozessen

CEO syret GmbH
Marian Kogler

Marian Kogler

CEO syret GmbH

Noch Fragen?

Details

17. September 2020 9:00
17. September 2020 17:00
Berlin

Zielgruppe

Führungskräfte, Informationssicherheitsbeauftragte und verantwortliche Personen aus den Bereichen IT, IT-Beschaffung, IT-Betrieb und IT-Security. Grundlegende technische Kenntnisse über IT werden vorausgesetzt.