Die mangelhafte Verwaltung von Zugriffsrechten stellt eines der größten IT-Sicherheitsrisiken dar. Häufig werden einmal vergebene Rechte nicht wieder entzogen, selbst wenn sich die Rolle des Mitarbeiters ändert oder er gar das Unternehmen verlassen hat. Das klassische Beispiel sind Auszubildende, die im Rahmen ihrer Ausbildung verschiedene Abteilungen durchlaufen und in jeder entsprechende Zugriffsrechte enthalten. Am Ende der Ausbildung haben diese Accounts oft mehr Rechte als ein Geschäftsführer.
In diesem heise-Whitepaper erläutere ich, wie sich solche Risiken minimieren lassen. Es zeigt auf, welche konkreten Gefahren durch ein nachlässiges Rechtemanagement entstehen können, erklärt verschiedene Konzepte (Policies, Rollen) für die Rechteverwaltung, stellt deren Vor- und Nachteile dar und gibt Hilfestellungen für den Aufbau eines auf Zero-Trust-Prinzipien basierenden Zugriffsmanagements.