Was ist Deprovisionierung?

De-Provisionierung ist der Prozess, bei dem die Zugriffsrechte eines Mitarbeiters von den Systemen, Anwendungen und Netzwerkressourcen eines Unternehmens entfernt werden, wenn sie nicht mehr benötigt werden. Die De-Provisionierung erfolgt nicht nur, wenn Mitarbeiter ein Unternehmen verlassen, sondern auch, wenn sich Rollen ändern oder der temporäre Zugriff abläuft. Die De-Provisionierung ist eine Schlüsselkomponente der Identitäts- und Zugriffsverwaltung (Identity and Access Management IAM), die sicherstellt, dass Benutzer nur über die erforderlichen Berechtigungen verfügen, um ihre Aufgaben auszuführen. Wenn die Bereitstellung nicht ordnungsgemäß aufgehoben wird, können gefährliche Sicherheitslücken entstehen.

Provisionierung vs. De-Provisionierung: Was ist der Unterschied?

Provisionierung bzw. Bereitstellung ist der umgekehrte Prozess der De-Provisionierung. Dabei geht es darum, die digitale Identität eines Benutzers zu erstellen und die Daten, Systeme und Anwendungen des Unternehmens für Mitarbeiter und Auftragnehmer verfügbar zu machen. Die Bereitstellung erfolgt, wenn ein Mitarbeiter eingearbeitet wird, die Rolle wechselt oder befördert wird.

Wenn beispielsweise ein neuer Marketingdirektor in Ihrem Unternehmen eingestellt wird, erfolgt die Bereitstellung im Rahmen des Onboardings. Die IT-Abteilung legt ihre Benutzerkonten an und gewährt ihnen Zugriff auf die notwendigen Marketing-Datenbanken. Nachdem dies abgeschlossen ist, werden sie in der Lage sein, effektiv in ihre Rolle zu wechseln.

So funktioniert die De-Provisionierung

Wenn ein Benutzer ausgegliedert wird oder die Rolle wechselt, leitet das HR-Team die Nachricht in der Regel an die IT-Abteilung weiter, die dann die Systemadministratoren darüber informiert, den Zugriff einzuschränken oder zu widerrufen. Systemadministratoren überprüfen die Berechtigungen des Benutzers für alle Systeme, Anwendungen und Netzwerkressourcen, um sicherzustellen, dass alles deaktiviert ist. Mit Hilfe von IAM-Lösungen ist der Einsatz von automatisierter Bereitstellung und De-Provisionierung jedoch in vielen Organisationen standardisiert geworden. Moderne IAM-Lösungen haben den Prozess automatisierter, zentralisierter und umfassender gemacht.

Was ist eine automatisierte De-Provisionierung?

Die automatisierte De-Provisionierung stellt sicher, dass das Benutzerkonto und die Zugriffsrechte eines Mitarbeiters automatisch widerrufen werden, wenn er ausgegliedert wird. Ein Unternehmen kann über Hunderte von Systemen verfügen, die in ein Benutzerkonto integriert sind, was für Administratoren eine Belastung bei der manuellen Verwaltung darstellen kann. Der Einsatz automatisierter Technologie entlastet Sie und rationalisiert gleichzeitig diesen langwierigen Prozess.

Best Practices für die De-Provisionierung

Hier sind sieben Best Practices, die Sie für die De-Provisionierung befolgen sollten.

Wenden Sie das Prinzip der geringsten Privilegien an

Das Prinzip der geringsten Rechte (Principle of Least Privilege PoLP) ist ein Cybersicherheitskonzept, bei dem Benutzern nur die Zugriffsrechte gewährt werden, die für die Erfüllung ihrer Aufgaben erforderlich sind. Die Beschränkung des Zugriffs trägt dazu bei, das Risiko von Insider-Bedrohungen zu verringern, sensible Daten zu schützen und das Potenzial für laterale Bewegungen zu minimieren, wenn ein Konto verletzt wird.

Verwenden Sie eine IAM-Lösung

Die Einführung einer IAM-Lösung kann den De-Provisionierungsprozess rationalisieren, da sie den Prozess der Einschränkung oder Entfernung des Benutzerzugriffs automatisiert. Die manuelle Pflege einzelner Benutzerkonten kann zeitaufwändig und anfällig für menschliche Fehler sein, was das Risiko von Sicherheitsverletzungen erhöht. Eine automatisierte Lösung hilft, potenzielle Fehler zu minimieren und die allgemeine Sicherheit zu erhöhen.

Führen Sie ein Zero-Trust-Modell ein

Ein Zero-Trust-Framework erfordert, dass alle Benutzer ihre Identität überprüfen, bevor sie auf Netzwerksysteme oder -daten zugreifen. Durch den Fokus auf kontinuierliche Authentifizierung bietet Zero-Trust einen besseren Einblick in alle Benutzer und Systeme in der gesamten Umgebung, sodass Administratoren ungewöhnliche Aktivitäten erkennen und effektiver darauf reagieren können.

Verstärken Sie Authentifizierungsmethoden

Die Authentifizierung ist der Prozess der Identitätsprüfung, den ein Benutzer, eine Anwendung oder ein System durchläuft, bevor er Zugriff auf eine der Ressourcen des Unternehmens erhält. Wenn Sie sicherstellen, dass Ihr Unternehmen über sichere Authentifizierungsmethoden verfügt, können Sie den Benutzerzugriff kontinuierlich überwachen und so Insider-Bedrohungen abwehren.

Haben Sie eine Checkliste für den Ausstieg bereit

Eine Ausstiegs-Checkliste ist eine detaillierte Liste von Aufgaben, die verwendet werden, um den Offboarding-Prozess zu leiten, wenn ein Mitarbeiter ein Unternehmen verlässt. Es enthält alle Maßnahmen, die ein Unternehmen ergreifen muss, um sicherzustellen, dass der Ausstiegsprozess organisiert ist und keine kritischen Aufgaben übersehen werden. Checklisten unterscheiden sich zwar je nach Organisation, umfassen aber in der Regel Maßnahmen wie den Widerruf des Zugriffs auf Systeme, das Sammeln von Unternehmensgeräten, die Erleichterung des Wissenstransfers und das Sichern von Daten.

Überwachen Sie Compliance

Bei der Compliance-Verfolgung geht es darum, sicherzustellen, dass ein Unternehmen alle gesetzlichen und behördlichen Anforderungen erfüllt, während potenzielle Compliance-Risiken identifiziert und behoben werden. Es ist unerlässlich, dass alle Aktionen, wie z. B. der Widerruf des Zugriffs auf Systeme und die Sicherung von Unternehmensdaten, ordnungsgemäß ausgeführt werden. Durch eine genaue Überwachung der Compliance können Unternehmen das Risiko von unbefugtem Zugriff, Datenschutzverletzungen oder Verstößen gegen gesetzliche Anforderungen wie den Health Insurance Portability and Accountability Act (HIPAA) oder die Datenschutz-Grundverordnung (DSGVO) verringern.

Führen Sie Backups durch

Es ist wichtig, die kritischen Daten eines Mitarbeiters durch ein Backup zu sichern, bevor er den Zugriff widerruft. Diese Vorsichtsmaßnahme schützt Unternehmen vor potenziellem Datenverlust während des Offboarding-Prozesses und stellt sicher, dass alle kritischen Informationen erhalten bleiben, wenn ein Mitarbeiter das Unternehmen verlässt.