SOx-Prüfer bemängelt weitreichende Admin-Rechte der IT-Service Mitarbeiter!
STICHWORT: Missbrauch von Administratorrechten
Nach dem Audit des SOx-Prüfers müssen wir unser Berechtigungskonzept ändern/überdenken, da unsere IT-Service Mitarbeiter (Helpdesk & Operating) über Domänen-Admin Rechte verfügen.
Moin!
Wie realisieren das andere Firmen, die das gleiche Problem haben?
Ohne Admin-Rechte wäre das Arbeiten im IT-Service laut Aussage des Abteilungsleiters, sehr viel komplizierter. Klar, dass er das sagt, denn im normalen Benutzerkontext zu arbeiten und sich bei Bedarf immer umzumelden ist ja auch zugegeben unbequem und frisst unnötig Zeit.
Der Standard, nach dem wir uns zertifizieren lassen MÜSSEN (SOx-COBIT und später auch noch ISMS) sagt aber, dass das so nicht die Regel sein soll. Auch die IT-Mitarbeiter sollen nicht domänenweit mit vollen Rechten arbeiten, da ja versehentlich auch Schaden angerichtet werden kann. (Das ist jetzt eine vereinfachte Version)
Wie kann ich das unkompliziert umsetzen (lassen), ohne den IT-Service Bereich zu stark zu beschneiden. Wir wollen ja alle schließlich noch arbeiten können.
Wir fahren eine Windows 2000 Domäne mit ca. 400 Usern in der Hauptverwaltung und weiteren 800, die in mehreren Niederlassungen über Deutschland verteilt sitzen.
Wichtig ist, dass wir steuern können, dass der "normale" IT-Service Mitarbeiter nicht auf ALLE Server zugreifen kann.
Aus SOx-Sicht ist alles besonders schützenswert, was finanzgelagert ist, wie z.B. unser SQL-Cluster, auf dem einige DBs liegen, die jahresabschlussrelevant sind.
In der Praxis sieht es bei uns auch meistens so aus, dass gewisse Mitarbeiter auch nur gewisse Anwendungen/Dienste/Server betreuen, und nicht auf die ganze Welt zugreifen müssen. Aber andererseits ist es so, dass im Krankheitsfalle, in der Urlaubszeit oder wenn Kollegen in einer Schulung oder Besprechung sitzen schnelle Hilfe der verbleibenden Personen gefordert wird.
Gibt es da best practices oder irgendwelche Beispiele, wie man ein klassisches Berechtigungskonzept anpassen kann?
Wie schafft man den Spagat zwischen sinnvollen Sicherheitsmechanismen im Rahmen der compliance (speziell im Bereich der Admins) und übertriebenem Bürokratismus?
Gruß
Stefan
Nach dem Audit des SOx-Prüfers müssen wir unser Berechtigungskonzept ändern/überdenken, da unsere IT-Service Mitarbeiter (Helpdesk & Operating) über Domänen-Admin Rechte verfügen.
Moin!
Wie realisieren das andere Firmen, die das gleiche Problem haben?
Ohne Admin-Rechte wäre das Arbeiten im IT-Service laut Aussage des Abteilungsleiters, sehr viel komplizierter. Klar, dass er das sagt, denn im normalen Benutzerkontext zu arbeiten und sich bei Bedarf immer umzumelden ist ja auch zugegeben unbequem und frisst unnötig Zeit.
Der Standard, nach dem wir uns zertifizieren lassen MÜSSEN (SOx-COBIT und später auch noch ISMS) sagt aber, dass das so nicht die Regel sein soll. Auch die IT-Mitarbeiter sollen nicht domänenweit mit vollen Rechten arbeiten, da ja versehentlich auch Schaden angerichtet werden kann. (Das ist jetzt eine vereinfachte Version)
Wie kann ich das unkompliziert umsetzen (lassen), ohne den IT-Service Bereich zu stark zu beschneiden. Wir wollen ja alle schließlich noch arbeiten können.
Wir fahren eine Windows 2000 Domäne mit ca. 400 Usern in der Hauptverwaltung und weiteren 800, die in mehreren Niederlassungen über Deutschland verteilt sitzen.
Wichtig ist, dass wir steuern können, dass der "normale" IT-Service Mitarbeiter nicht auf ALLE Server zugreifen kann.
Aus SOx-Sicht ist alles besonders schützenswert, was finanzgelagert ist, wie z.B. unser SQL-Cluster, auf dem einige DBs liegen, die jahresabschlussrelevant sind.
In der Praxis sieht es bei uns auch meistens so aus, dass gewisse Mitarbeiter auch nur gewisse Anwendungen/Dienste/Server betreuen, und nicht auf die ganze Welt zugreifen müssen. Aber andererseits ist es so, dass im Krankheitsfalle, in der Urlaubszeit oder wenn Kollegen in einer Schulung oder Besprechung sitzen schnelle Hilfe der verbleibenden Personen gefordert wird.
Gibt es da best practices oder irgendwelche Beispiele, wie man ein klassisches Berechtigungskonzept anpassen kann?
Wie schafft man den Spagat zwischen sinnvollen Sicherheitsmechanismen im Rahmen der compliance (speziell im Bereich der Admins) und übertriebenem Bürokratismus?
Gruß
Stefan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 44623
Url: https://administrator.de/contentid/44623
Ausgedruckt am: 26.11.2024 um 07:11 Uhr
1 Kommentar
Hallo, unser Ansatz ist das die zugriffe auf die "Finanzrelevanten" systeme stark eingeschränkt wurden und zwar nur die (da bleibt dann nur SAP bei uns als Finance system) Alles andere kann bleiben wie es ist da es nicht SOX relevant ist.
Im Finance system immer alles im 4 Augen prinzip machen mit Log und so.......
In SAP selbst für alle user die GWR´s unter die Lupe nehmen.
Und die Rechte sollte sich natürlich kein Admin selbst geben können um auf die Finance sys zuzugreifen. Komplett eigene Administration ist hier angesagt (ist aber meistens UNIX gruppe und damit eh nicht das selbe wie die NT Admins.
Im Finance system immer alles im 4 Augen prinzip machen mit Log und so.......
In SAP selbst für alle user die GWR´s unter die Lupe nehmen.
Und die Rechte sollte sich natürlich kein Admin selbst geben können um auf die Finance sys zuzugreifen. Komplett eigene Administration ist hier angesagt (ist aber meistens UNIX gruppe und damit eh nicht das selbe wie die NT Admins.