profile

Michael Mayer

Alte Rechte rosten nicht

Published 2 days ago • 6 min read

Fleißige Mitarbeiter steigen in Unternehmen nicht nur die Karriereleiter empor. Auch ihre Rechte wachsen mit ihnen.

Die Geschichte vom Praktikanten, der CIO wird, erwärmt viele Herzen. Dass er noch immer Drucker-Toner bestellen darf, weiß kaum jemand mehr und würde den CISO vermutlich auch nicht happy machen. Und jetzt mal Hand aufs Herz? Wer traut sich schon, den Chef-Chef-Chef aus dem Portal zu kicken? Womöglich kriegt er darüber noch eine Benachrichtigung per E-Mail. 😱

Warum alte Rechte gefährlicher sind als neue

Wir Menschen sind von Natur aus Jäger und Sammler. Wenn wir in unseren Kellern oder Abstellkammern stöbern, entdecken wir sicher den einen oder anderen sentimentalen Schatz aus unserer Jugend, die schon mehrere Jahrzehnte zurückliegt. Nostalgie, herrlich!

Bei den Aufgaben, die man als Mitarbeiter über die Jahre zugeteilt bekommt, ist es ähnlich. Es fällt selten was weg. Auch wenn sich die fachliche Tätigkeit durch einen Abteilungswechsel ändert, bleibt die Kompetenz und das Wissen oft bei der Person. Das ist die alte Garde. Eine sprudelnde Quelle des Wissens, von der alle profitieren.

Wenn man diese Personen aber aus der Sicht eines Hackers sieht, dann findet man große und mächtige Angriffsvektoren und viel Potenzial. Wenn das Mitarbeiter sind, die schon seit 15 Jahren im Unternehmen sind und auf die meisten File-Server und Anwendungen Zugriff haben, brauchen Angreifer auch keine Super-Admin-Rechte.

Wenn der User-Account gehackt worden wäre, hätte es ein riesiges Datenleck gegeben. Praktikanten und Azubis wechseln oft in kurzer Zeit zwischen den Abteilungen. Mit deren Accounts könnte man vielleicht sogar IT, Finanz und HR auf einmal einsacken.

Dafür gibt's einen Fachbegriff: "Insider-Threat". Es ist ja nicht so, dass die Mitarbeiter das mit Absicht machen würden, aber wenn sie überall berechtigt sind, ist das ein großes Risiko für den Datenschutz und die IT-Sicherheit.

Ein weiteres Risiko ist auch, dass Accounts nicht richtig gesperrt werden. Wenn ein Mitarbeiter das Unternehmen verlässt, müssen alle zugehörigen Accounts in allen Systemen deaktiviert werden. Zum Glück geht der Trend in Richtung Single Sign-On (SSO). Das heißt, man kann sich mit seinem Haupt-Account überall anmelden. Das ist praktisch, wenn du jemanden sperren willst, denn mit einem Klick ist der User deaktiviert. Leider unterstützt aber nicht jede Anwendung SSO. Dort müssen dann lokale User angelegt werden. Die Mitarbeiter haben für viele Anwendungen dann separate Accounts.

Und wenn du denkst, dass die Mitarbeiter dort überall unterschiedliche Passwörter verwenden, dann wirst du dich vermutlich auch wieder bald freuen, wenn das Christkind kommt.

Die Lösung: Ein Rechte & Rollenkonzept

Rechte Maustaste - Neu - Rechte & Rollenkonzept 😂

Das Thema ist ein Dauerbrenner und es erfordert viel Hirnschmalz und Disziplin. Denn dafür müsste man sich über die Aufgaben und dazugehörigen Berechtigungen, auch Gedanken machen und wirklich Arbeit reinstecken. Zynisch, ja ich weiß!

Die Realität sieht leider anders aus. Wie bei vielen anderen temporären Lösungen, die jahrzehntelang im Einsatz sind, sieht es bei den Berechtigungen nicht anders aus. Ich nenne das immer "hysterisch gewachsen". Es gibt auch keine Frameworks, an die man sich halten könnte. Wenn es welche gäbe, wäre es vermutlich die Mutter aller Frameworks – nach deutschem Maß. Also echt heavy! 😬

Was ist ein Recht?

Eigentlich ist es nur eine Gruppenmitgliedschaft, die einem User erlaubt, eine Aufgabe auszuführen. Zum Beispiel Schreibrechte auf dem File-Share, Lese-Berechtigungen im Intranet oder Zugriff auf das CRM-System.

Was ist eine Rolle?

Technisch gesehen ist es auch nur eine Gruppenmitgliedschaft. Fachlich ist es einfach eine Job-Beschreibung, wie zum Beispiel HR-Manager, Data-Analyst oder Sales-Manager.

Beides zusammen?

Du nimmst die Berechtigungsgruppen und verknüpfst sie mit den Rollengruppen. Alle Sales-Manager können auf das CRM-System zugreifen, auf ihr Abteilungs-File-Share schreiben und das Gruppenpostfach lesen. HR-Manager haben Zugriff auf SAP und auch auf ihr File-Share und Gruppenpostfach.

Wo ist das Problem?

Bei den Ausnahmen und nicht definierten Rollen!

Ein HR-Mitarbeiter, nennen wir ihn mal Thomas, soll eine Aufgabe für ein internes Projekt übernehmen. Dafür braucht er zusätzliche Rechte. Zum Beispiel, um den Status auf dem Projektboard zu tracken. Oft wird der Zugriff direkt dem User erteilt und nicht einer Gruppe.

Was, wenn Thomas krank wird oder die Firma verlässt und jemand anderes seine Aufgaben übernehmen muss? Bis man die einzelnen Berechtigungen zusammengetragen hat, die alle auf Thomas' altem Account lagen, vergehen oft mehrere Wochen.

Normalerweise hast du ein zentrales Identity Management wie Active Directory oder Entra ID. Damit kannst du sehen, in welchen Gruppen Thomas Mitglied ist. Der neue Mitarbeiter wird in den gleichen Gruppen mitaufgenommen und fertig. Wenn Thomas aber auf Anwendung XY oder auf Fileshare AB direkt berechtigt ist, kannst du das zentral nicht einsehen.

Du musst wirklich jede Anwendung manuell nach dem Account durchsuchen. Was für eine Katastrophe! 🤯

Alternative 1

Am besten wäre es, wenn du selbst für Mini-Projekte einfache Rollen erstellst, wie zum Beispiel: Projekt-ABC-Mitarbeiter, Projekt-ABC-Manager

Bitte denk immer dran: Perfektion ist der Feind des Fortschritts!

Wenn du diese Rollen vorher durch drei Gremien schickst und vier Approvals vom Change-Advisory-Board, CISO und Jesus Christus haben willst, dann brauchst du dich nicht wundern, warum das niemand macht. 👎

Alternative 2

Du kannst auch ganz einfach und pragmatisch die Rollen um die neuen Berechtigungen erweitern.

Ja, dann haben alle HR-Mitarbeiter Zugriff auf das Projekt und könnten Thomas die Arbeit wegnehmen. Wäre sicherlich der Worst-Case! 🙄

Alternative 3

Du erstellst einfach mehr Rollen, wie zum Beispiel HR-Mitarbeiter-Aufgabe1, HR-Mitarbeiter-Aufgabe2, HR-Mitarbeiter-Projekt1.

Du kannst einem Mitarbeiter auch mehrere Rollen zuweisen, wenn er/sie in verschiedenen Bereichen arbeitet oder wenn du viele High-Performer hast. 👍

Wer kümmert sich drum?

Das ist die Gretchenfrage.

  • Ist es IT? – Nein, die erstellen nur die Gruppen und weisen sie zu!
  • Ist es IT-Security? – Nein, die prüfen maximal die Mitgliedschaften!
  • HR?? – Nein, die kennen nur die Job-Positionen, aber deren Aufgaben nicht.
  • Aber Datenschutz?! – Vielleicht, aber die haben eher die Ausmaße im Blick.
  • Governance!!! – Nah dran, aber sie prüfen nur die Einhaltung der Rollen.
  • Wer dann? 😫 Doch nicht schon wieder die Geschäftsführung, oder?

Nein, die auch nicht…

Die Antwort ist: Es kommt drauf an!

Unterm Strich sind "alle" dafür verantwortlich, und daher auch niemand. Das zeigt auch, wie problematisch das Thema ist. Wenn ich das Thema angehen müsste, würde ich die Abteilungs- und Teamleiter mit ins Boot holen. Die sind am nächsten an ihren Leuten dran und kennen deren täglichen Aufgaben am besten.

Du fängst mit dem kleinsten gemeinsamen Nenner an und arbeitest dich langsam zu den Details vor. Mit diesen zwei Fragen kommt man schon sehr weit:

  • Wenn morgen ein neuer Mitarbeiter in der Abteilung anfängt (unabhängig von der Position), worauf braucht er Zugriff? File-Share, Gruppenpostfach, Teams-Kanal, SharePoint usw.
  • Wenn morgen ein bestimmter Mitarbeiter für ein Jahr ausfällt, was würde ein neuer Mitarbeiter für Berechtigungen brauchen, um die gleiche Arbeit zu machen? Schreibzugriff auf Datenbank für Bereich XYZ, Zugriff auf Ordner ABC, Schreibzugriff auf SharePoint 123, Login für Anwendung DEF.

Auch wenn viele Mitarbeiter ähnliche Aufgaben haben und somit auch ähnliche Berechtigungen, sind oft die Details entscheidend. Manchmal reicht eine Kombination aus mehreren Rollen, aus der dann eine weitere Rolle entstehen kann. Manchmal muss aber auch eine neue Rolle geschaffen werden. Wenn die Firma noch kleiner ist, kann das auch heißen, dass jeder Mitarbeiter eine eigene Rolle für sich hat. Vielleicht fällt dir dann auch eine bessere Bezeichnung ein, als "Das, was Thomas macht". 😁

Tipps & Tricks

Ich habe in den letzten zwanzig Jahren einige Erfahrungen gesammelt. Hier ist eine kleine Liste, die das zusammenfasst:

  • Du solltest eine Stelle ernennen, die für die Umsetzung und das Controlling der Rollen verantwortlich ist. Verknüpfe auch Abteilungen miteinander und gib ihnen einen direkten Projektauftrag mit klaren Zielen und Abgabeterminen. Zum Beispiel kennt sich HR mit den Positionen aus, Compliance sorgt für die Standardisierung und IT hilft beim Finden, Bereinigen und Erstellen von Rollen.
  • Wenn ein Mitarbeiter die Abteilung wechselt, ist die alte Abteilungsleitung dafür zuständig, die Berechtigungen zu bereinigen. Die neue Abteilung freut sich nämlich garantiert über neue Infos aus anderen Abteilungen. 😉
  • Kläre die Abteilungsleitung genau darüber auf, was ein Recht und was eine Rolle ist und warum das wichtig ist. Ihr größtes Risiko ist eigentlich "Business Continuity". Wenn ein Mitarbeiter die Abteilung verlässt, wollen sie die neue Person so schnell wie möglich produktiv bekommen.
  • Schau dir die Kerberos Ticket Size (Active Directory) und die Gruppenmitgliedschaften von langjährigen Mitarbeitern an. Oft haben sie zu viele Berechtigungen, und du solltest dich genau fragen, ob das wirklich nötig ist.
  • Wenn du temporäre Berechtigungen vergeben musst, setz doch ein Ablaufdatum. Wenn du keine automatisierten Prozesse hast, kannst du das ganz einfach über IT-Tickets steuern. Es gibt aber auch einfache Methoden, um das trotzdem umzusetzen. Zum Beispiel über PowerShell.
  • Prüfe die Berechtigungen zumindest einmal pro Jahr. Du kannst die Verantwortlichkeiten auch auf die Abteilungsleitung und Team-Leiter verteilen.

Fazit

Rechte und Rollen sind ein alter Hut, den sich niemand aufsetzen möchte.

Warum? – Weil er nach Arbeit stinkt!

Es gehört zu den wichtigsten Grundlagen in der IT-Sicherheit und ist absolut notwendig, ganz egal, wie groß das Unternehmen ist. Ich habe in den Jahrzehnten als Consultant viele sehr WILDE Dinge gesehen. Sekretärinnen, die Domain-Admins waren, oder IT-Leiter, die Zugriff auf alle Server hatten.

Mein Ansatz war immer: Je weniger Rechte, umso weniger Verantwortung. Denn was ich nicht habe, kann man mir auch nicht wegnehmen. Oder auf Wienerisch: "Greif an Nackerten in Sack." 🤓

Michael Mayer, Modecenterstraße 22, Wien, 1030
Abbestellen · Einstellungen

Michael Mayer

Hacker, Erklärbär, Unternehmer

MACH dir deine Security selbst. Jeden Samstagmorgen, teile ich anwendbare Tipps & Tricks, Strategien und Anekdoten aus der Welt der Cyber Security. Ganz ohne Fachchinesisch!

Read more from Michael Mayer

So ähnlich wie im Titel kamen mir oft Admins vor, die den Windows Remote Desktop Port von 3389 auf 8888 gelegt haben, mit der Begründung die Server abzusichern. Der Fachbegriff dazu heißt “Security by Obscurity” und auch ich bekenne mich schuldig. Ich habe auch schon öfters den Schlüssel auf den Reifen gelegt, wenn ich jemandem mein Auto geborgt habe. 🛞🔑 Wenn aber jemand weiß, wo der Schlüssel, die Datei oder der Port ist, dann taugt das "Sicherheitskonzept" auch nicht mehr. Ein paar...

9 days ago • 4 min read

Keine Angst, der Inhalt wird besser als der Reim im Titel. 😂 Geben wir dem Security-Kind einen Namen: Es verschlingt Unmengen an Zeit Es kostet einen Haufen Geld Es behindert beim Arbeiten Es wirkt sich nicht positiv auf die Bilanz aus 🖲️ MÄÄÄP: Falsch! Wenn du es richtig machst, kannst du mit Security auch viel Geld verdienen. Nein, du musst jetzt keine lustigen AI-Cyber-Lösungen (🐍🛢️) verkaufen, sondern ich spreche wirklich davon, IT-Security Maßnahmen in deiner Firma umzusetzen und damit...

16 days ago • 3 min read

"Wer 2025 noch kein Infrastructure as Code nutzt, der hat die Kontrolle über sein Leben verloren!" 🙄 Klingt vertraut? Herzlich willkommen im Elfenbeinturm der IT und IT-Security Bubble. Ein Rant … Klar, neue Technologien erleichtern der IT das Leben. Früher haben die Leute Tausende Server von Hand aufgesetzt, heute reicht ein paar Zeilen Code. Während die einen schon mit Microservices in der Cloud unterwegs sind, suchen die anderen noch nach DVDs im Archiv. Denn die Realität sieht in KMUs und...

23 days ago • 6 min read