Was bedeutet Aufgabentrennung in der Cyber-Sicherheit?

Viele Kontrollen und Abwehrmaßnahmen im Bereich der Cyber-Sicherheit setzen voraus, dass keine Person über Berechtigungen verfügt, die den Missbrauch des Systems ermöglichen. So sollte beispielsweise eine Person, die den Zugriff auf sensible Daten beantragt, nicht berechtigt sein, den Zugriff zu gewähren. Problematisch wäre auch ein Designer im Marketingteam, der pauschale Berechtigungen für alle internen Systeme erhält, die den Zugriff auf Kundendaten ermöglichen. 

Es muss also sichergestellt werden, dass der Zugang zu Informationen für die jeweilige Rolle des Benutzers angemessen ist und so begrenzt wie möglich gehalten wird. 

Die Verwirklichung dieses Ziels erfordert ein Prinzip, das in der Cyber-Sicherheit als Aufgabentrennung (Separation of Duties; SOD) bekannt ist. SOD ist eine Grundvoraussetzung für ein hohes Sicherheitsniveau. Außerdem ist die Aufgabentrennung in vielen Bereichen aus Compliance-Gründen und zur Erfüllung gängiger Geschäftspraktiken entscheidend.

Was bedeutet Aufgabentrennung in der Cyber-Sicherheit?

Die Aufgabentrennung ist ein grundlegendes Sicherheitsprinzip, das dafür sorgt, dass keine einzelne Person in der Lage ist, jeden Teil eines kritischen Prozesses auszuführen. Durch die Aufteilung der Zuständigkeiten auf mehrere Rollen verringert SOD das Risiko von versehentlichen Fehlern, Insider-Bedrohungen und böswilligem Missbrauch von Systemen. Dies ist besonders wichtig in Umgebungen, in denen sensible Daten und privilegierter Zugriff eine Rolle spielen, z. B. im Finanzwesen, im Gesundheitswesen und in der Unternehmens-IT.

Im Bereich der Cyber-Sicherheit trägt die Aufgabentrennung dazu bei, unbefugte Änderungen, Datenschutzverletzungen und den Missbrauch von Privilegien zu verhindern, da stets mehrere Personen für die Durchführung oder Genehmigung sensibler Aktionen erforderlich sind. Sie ist auch eine wichtige Voraussetzung für die Einhaltung von Vorschriften wie SOX, HIPAA und DSGVO. Wenn die Aufgabentrennung effektiv implementiert wird, stärkt sie das allgemeine Sicherheitsniveau einer Organisation und trägt zu Transparenz, Verantwortlichkeit und betrieblicher Integrität bei.

Sinn und Zweck der Aufgabentrennung in der Cyber-Sicherheit

Laut dem National Institute of Standards (NIST), dem Herausgeber maßgeblicher Cyber-Sicherheits-Frameworks, bezieht sich die Aufgabentrennung auf „das Prinzip, dass kein Benutzer genügend Berechtigungen erhalten sollte, um das System allein zu missbrauchen".

Die Aufgabentrennung ist implizit eine Cyber-Sicherheitskontrolle. Eine Kontrolle ist ein Mechanismus oder eine Richtlinie, die den Erfolg einer Cyber-Bedrohung verhindert. (Das ist sehr vereinfacht ausgedrückt, doch in unserem Kontext reicht diese Definition aus.) Die Aufgabentrennung ist Bestandteil vieler Kontrollen. Jede Kontrolle hat ein Kontrollziel, z. B. das Verhindern des unerlaubten Löschens von Daten. 

In diesem Fall erschwert die Aufgabentrennung einem unbefugten Benutzer das Zugreifen, das Manipulieren und das Löschen von Daten. Sie verhindert sowohl interne als auch externe Missbrauchsversuche. Zur Aufgabentrennung gehört die Aufteilung von Aufgaben des IT-Managements und des Cyber-Sicherheitsbetriebs in einzelne Schritte, die an mehrere Personen vergeben werden können.

Doch interner Missbrauch ist nicht das einzige Risiko, das mit schwachen SOD-Richtlinien verbunden ist. Ein böswilliger externer Akteur könnte eine mangelnde Aufgabentrennung im IT-Bereich ausnutzen, indem er in ein Netzwerk eindringt und dann seine Berechtigungen so stark ausweitet, dass er in der Umgebung Schaden anrichten kann.

Das Prinzip der Aufgabentrennung findet man in vielen Branchen, nicht nur im IT- und Cyber-Sicherheitssektor. Im Finanzsektor ist es beispielsweise nicht gestattet, dass ein und dieselbe Person die Genehmigung zur Durchführung einer riskanten Finanztransaktion beantragen und dann auch bewilligen kann. Im Gesundheitswesen stellt ein Arzt ein Rezept aus, aber ein Apotheker löst es ein. 

Die Relevanz der Aufgabentrennung in der Cyber-Sicherheit

Bei korrekter Umsetzung bringt die Aufgabentrennung eine Reihe von Vorteilen für Organisationen mit sich, darunter:

• Reduzierung des Risikos von Insider-Bedrohungen: Mitarbeiter können böswillig handeln. Dies ist eine bedauerliche Realität – nicht nur in Unternehmen, sondern auch im öffentlichen Sektor. Um die Gefahr von Insider-Bedrohungen zu senken, schreibt die Aufgabentrennung häufig vor, wie Administratoren die Genehmigung von Datenänderungen und Systemzugriff handhaben.

• Vorbeugung von Fehlern und Versehen: Die Aufgabentrennung kann Fehler und Versehen verhindern, die die Sicherheit beeinträchtigen. So könnte die Aufgabentrennung beispielsweise einem Systemadministrator gestatten (oder ihn dazu verpflichten), die von einem Kollegen durchgeführten Vorgänge zu überprüfen. Dies kann bei größeren System-Upgrades oder Migrationen sinnvoll sein, bei denen ein Fehler einen Ausfall verursachen oder ein System einem Cyber-Risiko aussetzen kann. Das Reduzieren der Anzahl von Zugriffsberechtigungen kann ähnliche Kontrollziele erreichen, indem der Benutzerzugriff auf Systeme beschränkt und die Möglichkeit von Fehlern verringert wird.

• Einhaltung gesetzlicher Vorschriften: Die Aufgabentrennung ist Bestandteil vieler gesetzlicher Regelungen, insbesondere im Finanz- und Rechnungswesen. Der Sarbanes Oxley Act (SOX), das US-Gesetz, das regelt, wie börsennotierte Unternehmen ihre Kontrollen zur Finanzberichterstattung dokumentieren und prüfen, verlangt beispielsweise eine nachweisliche Aufgabentrennung für Vorgänge wie die Genehmigung von Einkäufen, die Bewertung von Vermögenswerten, die Umsatzverbuchung und die Erstellung von Jahresabschlüssen. All diese Beschränkungen müssen in den Kontrollen für Benutzerzugriff und Prüfungen umgesetzt werden. Ein Beispiel für eine SOX-spezifische Kontrolle könnte sein, dass ein Beschaffungssystem einem Benutzer nicht erlaubt, seine eigene Bestellanforderung für einen Kauf über einem bestimmten Betrag zu genehmigen. 

• Verbesserung der Datenintegrität und -verfügbarkeit: Die Aufgabentrennung sollte die Datenintegrität und -verfügbarkeit durch Anwendung des „Vier-Augen-Prinzips“ verbessern, wonach bestimmte geschäftskritische oder sensible Vorgänge von mindestens zwei Personen überprüft werden müssen.

Verwandte Konzepte und Best Practices

Die Aufgabentrennung überschneidet sich mit anderen Maßnahmen und Kontrollmechanismen im Bereich der Cyber-Sicherheit. Es lohnt sich, kurz darauf einzugehen, wie sie sich unterscheiden:

• Least-Privilege-Prinzip (Principle of Least Privilege; PoLP): PoLP ist ein Prinzip der Zugriffsbeschränkung, bei dem einem Systembenutzer nur die erforderlichen Berechtigungen zugewiesen werden. So können Situationen vermieden werden, in denen ein böswilliger Akteur Privilegien ausnutzen kann (z. B. beim Datenzugriff). Wenn Sie beispielsweise zwei Datenbanken haben, eine für Kundendaten und eine für Finanzdaten, sollten die Mitglieder des Vertriebsteams nur das Recht haben, auf Kundendaten zuzugreifen. Das ist die minimal erforderliche Berechtigung. PoLP kann Teil der Aufgabentrennung sein, wie z. B. die Aufteilung von Berechtigungen und deren Zuweisung an verschiedene Personen. Zero Trust ist ein verwandtes Konzept, bei dem keinem Benutzer standardmäßig vertraut wird. Beim Zero-Trust-basierten Datenmanagement in der Cloud erhalten Benutzer beispielsweise erst Zugang zu den Daten, wenn sie verifiziert wurden – und dann auch nur den geringstmöglichen Zugriff.

• Rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC): Separate Rollen sind ein fester Bestandteil der Aufgabentrennung. Dazu gehört die Einteilung von Benutzern in Berechtigungsklassen, die vom Benutzer über den Administrator bis zum „Super-Admin“ reichen Jede Benutzerebene hat jeweils höhere Berechtigungen als die Ebene darunter. Die rollenbasierte Zugriffskontrolle ist ein verwandtes Konzept, bei dem die Berechtigungen eines Benutzers durch seine Rolle im Unternehmen bestimmt werden. So könnte beispielsweise eine Person mit der Rolle „Führungskraft“ die Befugnis haben, Anträge auf Zugriffsrechte zu genehmigen.

•  Trennung von Umgebungen: Zu den Best Practices im IT- und Sicherheitsbereich gehört es, Umgebungen wie Entwicklung, Test und Produktion zu voneinander trennen. Diese Praxis trägt dazu bei, versehentliche oder böswillige Schäden an Live-Daten und Systemen zu verhindern. Die Aufgabentrennung gilt auch in diesem Bereich, wo Benutzern der Zugriff auf jede Umgebung separat gewährt wird.

• Zwei-Personen-Integrität (Two-Person Integrity; TPI): Diese Kontrolle erfordert, dass eine Aufgabe von zwei Personen ausgeführt wird. Das lässt sich vielleicht am besten durch die Notwendigkeit veranschaulichen, dass zwei Militäroffiziere gleichzeitig zwei Schlüssel drehen müssen, um eine Atomrakete zu starten. TPI ist insofern ähnlich wie die Aufgabentrennung, als dass ein Vorgang auf zwei Personen aufgeteilt wird. Allerdings wird dieser Vorgang im Rahmen der Aufgabentrennung in zwei Aufgaben aufgeteilt.

• Sicherheitsinformations- und Ereignismanagement (Security Information and Event Management; SIEM): Eine SIEM-Lösung ermöglicht es Sicherheitsanalysten, große Mengen von Protokolldaten und anderen Datenströmen auf Sicherheitsereignisse hin zu untersuchen und diese dann zu interpretieren. Eine SIEM-Lösung kann möglicherweise erkennen, ob SOD-Richtlinien verletzt werden, z. B. wenn dieselbe Geräte-ID zum Anfordern und Genehmigen einer Berechtigungserweiterung verwendet wird.  

Herausforderungen bei der Aufgabentrennung

In der Praxis kann es bei der Aufgabentrennung zu Herausforderungen kommen, die zum Teil darauf zurückzuführen sind, dass bestimmte Lösungen nicht in der Lage sind, das SOD-Prinzip umzusetzen. Ein Buchhaltungssystem mag es Administratoren beispielsweise gestatten, Workflows einzurichten, die keine SOD-Kontrollen enthalten, selbst wenn solche Kontrollen aus Compliance-Gründen erforderlich sind.

Ein größeres Problem ergibt sich jedoch aus der manuellen Zuordnung von SOD-Regeln zu Benutzern und Rollen und der anschließenden Implementierung. Da Mitarbeiter kommen und gehen und sich die Workflows ändern, kann es leicht passieren, dass die Aufgabentrennung nicht mehr korrekt ist. Darüber hinaus kann es aufgrund von Faulheit zu Problemen kommen. Wenn ein Vorgesetzter sein Passwort an Mitarbeiter weitergibt, weil er nicht jedes Mal belästigt werden möchte, wenn jemand das System übersteuern muss, ist die Aufgabentrennung sinnlos.

Diese Schwierigkeiten können sich noch verschärfen, wenn es um die Cloud-basierte Datenverwaltung geht. Bei der Datenverwaltung in einer Cloud- oder Multi-Cloud-Umgebung kann die Zuordnung von SOD-Kontrollen zu Rollen und Berechtigungen komplexer und schwieriger sein als bei herkömmlichen On-Premises-Systemen.

Best Practices für die Umsetzung der Aufgabentrennung

Eine Reihe von Best Practices helfen Unternehmen, die Aufgabentrennung erfolgreich umzusetzen. Regelmäßige Prüfungen und Aktualisierungen der Rollen sind in diesem Zusammenhang unerlässlich. Es ist wichtig, dass Sie immer über den aktuellen Stand der Kontrollen und Workflows informiert sind, die eine Aufgabentrennung erfordern, und dass Sie erkennen, in welchen Situationen die Aufgabentrennung nicht mehr funktioniert. Spezielle Prüf-Tools helfen dabei. Es wäre schwierig, Kontrollen manuell zu überwachen, die mehrere Systeme und Benutzerrollen umfassen. Hier kann die Datenüberwachung greifen. Wenn Sie wissen, wo sich sensible Daten befinden, müssen Sie auch herausfinden, wer darauf zugreifen kann und ob zum Schutz der Daten SOD-Kontrollen erforderlich sind.

Eine weitere Best Practice ist das Festlegen klarer Rollendefinitionen. Dies ist zum Teil eine organisatorische Frage, die betriebliche Abläufe und nicht die Technologie betrifft. Je besser der Prozess durchdacht und geplant ist, desto besser funktioniert die Aufgabentrennung. Rubrik unterstützt diesen Prozess zum Beispiel mit Benutzerzugriffskontrollen und Berichterstellung.

Auch Schulungen sind wichtig. Da die Aufgabentrennung Mitarbeiter, Teams und Abteilungen betrifft, lohnt es sich, allen Beteiligten bewusst zu machen, wie das Prinzip funktioniert. Die meisten Mitarbeiter sind wahrscheinlich nicht mit dem Konzept vertraut. Wenn sie jedoch nachvollziehen können, warum die Sicherheit gefährdet ist, wenn eine einzige Person sämtliche Genehmigungen bewilligen kann, steigt die Wahrscheinlichkeit, dass die Aufgabentrennung erfolgreich umgesetzt wird.

Erfolgreiche Umsetzung der Aufgabentrennung

Das Prinzip der Aufgabentrennung ist die Grundlage vieler wichtiger Kontrollen und Abwehrmaßnahmen im Bereich der Cyber-Sicherheit. Zugriffskontrolle, Netzwerksicherheit und Datensicherheit sind nur drei wichtige Bereiche, die nicht ordnungsgemäß funktionieren, wenn eine Person sich selbst mehrere Berechtigungen zuweisen kann. Vier Augen sind fast immer besser als zwei. 

Die erfolgreiche Aufgabentrennung erfordert die Umsetzung von Best Practices und die richtigen Tools. Dazu gehören spezielle Software, die Rollen und Verantwortlichkeiten verfolgt, sowie Lösungen für die Datenverwaltung, die Zugriffskontrolle und andere Sicherheitsaspekte. Überwachung und Prüfung sind ebenfalls unerlässlich. Wenn diese Elemente zusammenkommen, wird es möglich, das Prinzip der Aufgabentrennung im gesamten IT-Ökosystem zu verwirklichen.

Häufig gestellte Fragen

Was bedeutet Aufgabentrennung (SOD) im Bereich der Cyber-Sicherheit?

Die Aufgabentrennung ist ein System, das sich aus verschiedenen Kontrollen zusammensetzt. Sie verhindern, dass Benutzer Berechtigungen erhalten, die sie in die Lage versetzen würden, das System im Alleingang zu missbrauchen. Das wäre z. B. der Fall, wenn einem Benutzer gestattet wäre, seine Zugriffsrechte zu erweitern.

Was sind die wichtigsten Vorteile der Aufgabentrennung für die Cyber-Sicherheit?

Wenn die Aufgabentrennung korrekt implementiert ist, reduziert sie das Risiko von Datenschutzverletzungen und anderen Risiken, die durch unbefugten Zugriff und unbefugte Berechtigungen zur Ausführung von Systemaufgaben verursacht werden (z. B. die Einrichtung von Benutzerkonten).

Wie lässt sich die Aufgabentrennung zum Nutzen der Cyber-Sicherheit umsetzen?

Die Umsetzung der Aufgabentrennung beginnt mit klaren Definitionen einzelner Vorgänge (Aufgaben) und der Personen, die zu ihrer Ausführung berechtigt sind. In der Praxis umfasst die Aufgabentrennung die Durchsetzung von Richtlinien über unterstützende Systeme, darunter Lösungen für das Identitäts- und Zugriffsmanagement (IAM) und für die Verwaltung des privilegierten Zugriffs (PAM), und über die Anwendungen, die sie schützen.