Referenz User – die unterschätzte Gefahr

Referenz User – die unterschätzte Gefahr

Was ist ein Referenz User?

Ich habe einen sehr schönen Artikel gefunden, der aus der Praxis heraus erzählt wird. Wir selbst nutzen tenfold, um vieles besser zu machen und Fehler zu vermeiden.

Wir alle kennen die Praxis des Referenzbenutzers. Auch wenn wir sie vielleicht nicht unter diesem Namen kennen. Das Ganze läuft normalerweise so ab: Ein neuer Mitarbeiter kommt ins Unternehmen und muss als Benutzer für eine bestimmte Abteilung und/oder einen bestimmten Standort angelegt werden.

Ohne Software für Berechtigungsmanagement bzw. Identity and Access Management muss der IT-Administrator den Benutzer händisch anlegen und die entsprechenden Berechtigungen ebenfalls manuell zuteilen.

Da der Admin in der Regel nicht weiß, welche Zugriffsrechte für die Position des neuen Kollegen wichtig sind, fragt er den jeweils verantwortlichen Abteilungsleiter. Der sagt: “Ach, die neue Kollegin macht eigentlich genau das gleiche wie der Herr Mayer.” Der Administrator kopiert also einfach alle Konten von Herrn Mayer, um die neue Kollegin u.a. im Active Directory® und im SAP® anzulegen.

Referenzuser kopieren – schnell und einfach

Natürlich gibt es einen Grund dafür, dass Admins bestehende Benutzer kopieren, um neue anzulegen: Es geht schnell und es ist einfach. Nicht, dass es wahnsinnig umständlich wäre, einen neuen Benutzer beispielsweise im Active Directory® anzulegen. Aber mit einem Klick ist es eben auch nicht getan. Der Administrator muss über den Servermanager verschiedene Konfigurationen vornehmen und den neuen User beispielsweise den richtigen Gruppen und Organisationseinheiten zuordnen.

Je größer das Unternehmen ist, desto größer wird natürlich auch der administrative Aufwand. Die “Quick and dirty”-Variante, das Kopieren eines echten Benutzers im Active Directory®, ist hingegen wortwörtlich mit einem einzigen Klick erledigt:

Auf den ersten Blick ist diese Variante nicht wirklich problematisch. Sie spart Zeit und das Ergebnis ist, dass Frau Stricker alle Berechtigungen und Zugänge besitzt, die sie benötigt, um ihre Arbeit zu tun. So weit, so gut. Oder nicht?

Stellen Sie sich folgende Frage: Wie wahrscheinlich ist es, dass Herr Mayer und Frau Stricker tatsächlich zu 100 Prozent die gleichen Berechtigungen und Zugänge benötigen?

Der Ganze Artikel ist hier zu finden.

Quelle: Nele Nikolaisen | Datensicherheit | 30.10.2020