Bundesamt für Sicherheit in der Informationstechnik

B 1.18 Identitäts- und Berechtigungsmanagement

Beschreibung

Ziel des Identitätsmanagements ist es, die Subjekte zweifelsfrei zu identifizieren, die auf Ressourcen einer Institution zugreifen, hier vor allem IT -Ressourcen. Zugreifende Subjekte können Personen oder auch IT -Komponenten oder kurz Benutzer sein. Mit Identitätsmanagement wird die Verwaltung der für die Identifikation, aber auch für die Authentisierung notwendigen Informationen bezeichnet.

Beim Berechtigungsmanagement geht es dann darum, ob und in welcher Granularität von diesen Subjekten Informationen oder Dienste genutzt werden können, ihnen also basierend auf dem Benutzerprofil Zutritt, Zugang oder Zugriff zu gewähren oder zu verweigern ist. Berechtigungsmanagement bezeichnet die Prozesse, die für die Zuweisung, Entzug und Kontrolle der Rechte erforderlich sind.

Die Übergänge zwischen beiden Begriffen sind fließend, daher wird im Folgenden der Begriff Identitäts- und Berechtigungsmanagement (englisch IAM - Identity and Access Management) benutzt. Durch ein Identitäts- und Berechtigungsmanagement wird gewährleistet, dass Benutzer ausschließlich auf die IT -Ressourcen und Informationen zugreifen dürfen, die sie für ihre Arbeit benötigen und für die sie autorisiert sind.

Ein Identitäts- und Berechtigungsmanagement muss folgende Anforderungen erfüllen:

  • Aufbau und Umsetzung von Vorgehensweisen, um den Zugriff auf Informationen und den Zugang zu IT -Ressourcen steuern und kontrollieren zu können, vor allem den Umgang mit und die Verwaltung von Identitäten und Berechtigungen
  • Registrierung von Benutzern, Zuweisung und Entzug von Rechten,
  • Verwaltung von Benutzerkennungen und den dazugehörigen Berechtigungen,
  • Kontrolle der Benutzerzugriffe.

Ein Identitäts- und Berechtigungsmanagement besteht sowohl aus organisatorischen sowie aus technischen Verfahren. Oftmals erfolgt das Identitäts- und Berechtigungsmanagement mit Bordmitteln und manuell. Diese Vorgehensweise führt zu hohen Administrationsaufwendungen sowie zu inkonsistenten und veralteten Benutzerdatenbeständen. Der Einsatz von IT -Anwendungen können bei der Durchführung unterstützen, sind aber nur ein Teil einer Lösung. Dieser Baustein zeigt auf, wie sichere Lösungen für einen strukturierten Umgang mit Benutzern und Berechtigungen aussehen sollten.

Berechtigungen dürfen nur eingeschränkt und aufgabenbezogen nach dem Prinzip der geringsten Berechtigungen eingerichtet werden. In den Räumlichkeiten und mittlerweile insbesondere den IT -Systemen einer Institution befindet sich ein großer Anteil des geistigen Eigentums dieser Institution. Die IT -Systeme unterstützen außerdem viele erfolgskritische Geschäftsprozesse eines Unternehmens bzw. einer Behörde. Durch ein Identitäts- und Berechtigungsmanagement wird sichergestellt, dass den Benutzern nur die notwendigen Berechtigungen zugeordnet werden. Eine dokumentierte Vorgehensweise der Zuweisung, Veränderung und dem Entzug von Berechtigungen ermöglicht es, Zutritt, Zugriff und Zugang zu Informationen steuern zu können, entsprechende Hintergrundsysteme ermöglichen es außerdem, die stattgefundenen Aktivitäten speichern und auswerten zu können. Im Schadensfall oder aufgrund rechtlicher Anforderungen können Aktivitäten ausgewertet und Benutzern zugeordnet werden.

Gefährdungslage

In diesem Baustein werden für den IT -Grundschutz die folgenden typischen Gefährdungen betrachtet:

Organisatorische Mängel

G 2.1Fehlende oder unzureichende Regelungen
G 2.2Unzureichende Kenntnis über Regelungen
G 2.4Unzureichende Kontrolle der Sicherheitsmaßnahmen
G 2.6Unbefugter Zutritt zu schutzbedürftigen Räumen
G 2.7Unerlaubte Ausübung von Rechten
G 2.67Ungeeignete Verwaltung von Zutritts-, Zugangs- und Zugriffsrechten
G 2.214Fehlende oder unzureichende Konzeption des Identitäts- und Berechtigungsmanagements

Menschliche Fehlhandlungen

G 3.16Fehlerhafte Administration von Zugangs- und Zugriffsrechten
G 3.43Ungeeigneter Umgang mit Passwörtern oder anderen Authentikationsmechanismen

Technisches Versagen

G 4.10Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen
G 4.33Schlechte oder fehlende Authentikationsverfahren und -mechanismen
G 4.101Ausfall eines zentralen Identitäts- und Berechtigungsmanagement-Systems

Vorsätzliche Handlungen

G 5.9Unberechtigte IT-Nutzung
G 5.18Systematisches Ausprobieren von Passwörtern
G 5.19Missbrauch von Benutzerrechten
G 5.20Missbrauch von Administratorrechten
G 5.24Wiedereinspielen von Nachrichten
G 5.42Social Engineering
G 5.104Ausspähen von Informationen

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT -Grundschutz.

Im Rahmen des Identitäts- und Berechtigungsmanagements sind unabhängig von der Art der eingesetzten IT -Komponenten eine Reihe von Maßnahmen umzusetzen. Die Schritte, die dabei durchlaufen werden sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.

Für Identitätsmanagementsysteme werden verschiedene Komponenten benötigt, dazu gehören Systeme zur Verwaltung von Personen- und Organisationsdaten (typischerweise Verzeichnisdienste, siehe hierzu den Baustein B 5.15 Allgemeiner Verzeichnisdienst ) und Dienste für die Identifikation und Authentikation von Benutzern, z.B. über Verzeichnisdienste wie Novell Directory Services, Microsoft Active Directory oder RACF bei IBM Großrechnern.

Planung und Konzeption

In jeder Institution muss es eine geeignete Vorgehensweise für den Umgang mit Identitäten und Berechtigungen geben (siehe M 2.585 Konzeption eines Identitäts- und Berechtigungsmanagements ). Zunächst sollten innerhalb der Institution die grundlegenden Rahmenbedingungen aus dem Sicherheitskonzept mit Bezug auf das Identitäts- und Berechtigungsmanagement definiert sein. Alle Vorgaben, z. B. Namenskonventionen und internen Abläufe, sollten in einer Richtlinie beschrieben werden (siehe M 2.220 Richtlinien für die Zugriffs- bzw. Zugangskontrolle ). Dazu gehören ebenfalls die Vorgaben zur Regelung des Passwortgebrauchs (siehe M 2.11 Regelung des Passwortgebrauchs ).

Wenn Mitarbeiter Aufgaben neu übernehmen, abgeben oder die Institution verlassen, müssen Berechtigungen angelegt, geändert oder gelöscht sowie ihre Benutzerkennungen deaktiviert werden (siehe M 2.586 Einrichtung, Änderung und Entzug von Berechtigungen Einrichtung, Änderung und Entzug von Berechtigungen).

Für weitergehende Managementanforderungen ist in der Wissensmaßnahme M 2.587 Vorgehensweise und Konzeption der Prozesse beim Identitäts- und Berechtigungsmanagement ein Beispiel für den Aufbau und die Organisation eines Identitäts- und Berechtigungsmanagements prozessual dargestellt.

Beschaffung

Bei der Beschaffung von Identitäts- und Berechtigungsmanagement-Systemen und Authentikationsmechanismen sollte bereits im Auswahlprozess der Schutzbedarf der zu verarbeitenden Informationen betrachtet werden. In M 4.499 Geeignete Auswahl von Identitäts- und Berechtigungsmanagement-Systemen ist dies näher beschrieben.

Umsetzung

Der Zugang zu IT -Systemen sollte so geplant und umgesetzt werden, dass die Mitarbeiter nur auf die Informationen zugreifen können, die sie für ihre tägliche Arbeit benötigen. Zur Absicherung des Zugriffs sollten geeignete Authentikationsmechanismen verwendet werden (siehe M 4.1 Passwortschutz für IT-Systeme ). Dabei sollten auch voreingestellte Passwörter unverzüglich geändert werden (siehe M 4.7 Änderung voreingestellter Passwörter ).

Alle Mitarbeiter sollten im Umgang und dem Bewusstsein für sichere Passwörter regelmäßig geschult werden (siehe M 3.63 Schulung der Benutzer zur Authentisierung mit Hilfe von Verzeichnisdiensten ).

Betrieb

Im Rahmen des Identitäts- und Berechtigungsmanagements werden Zutritt, Zugang und Zugriff für alle Mitarbeiter in die verschiedenen Bereiche einer Institution und auf alle Ressourcen geregelt (siehe M 2.6 Vergabe von Zutrittsberechtigungen , M 2.7 Vergabe von Zugangsberechtigungen und M 2.8 Vergabe von Zugriffsrechten ).

Alle Änderungen innerhalb des Identitäts- und Berechtigungsmanagement müssen schriftlich dokumentiert werden (siehe M 2.31 Dokumentation der zugelassenen Benutzer und Rechteprofile )

Notfallvorsorge

Der Ausfall eines Identitäts- und Berechtigungsmanagement-Systems kann zur Folge haben, dass Benutzer sich nicht mehr anmelden können und Benutzerprofile nicht mehr geändert, angelegt und gelöscht werden können. Es ist zu untersuchen, inwieweit ein Ausfall des Identitäts- und Berechtigungsmanagement-Systems sicherheitskritische Auswirkungen auf die Geschäftsprozesse hat (siehe M 6.166 Notfallvorsorge beim Identitäts- und Berechtigungsmanagement-System ).

Nachfolgend wird das Maßnahmenbündel für den Bereich "Identitäts- und Berechtigungsmanagement" vorgestellt:

Planung und Konzeption

M 2.5(A)Aufgabenverteilung und Funktionstrennung
M 2.11(A)Regelung des Passwortgebrauchs
M 2.30(A)Regelung für die Einrichtung von Benutzern / Benutzergruppen
M 2.220(A)Richtlinien für die Zugriffs- bzw. Zugangskontrolle
M 2.585(A)Konzeption eines Identitäts- und Berechtigungsmanagements
M 2.586(A)Einrichtung, Änderung und Entzug von Berechtigungen
M 2.587(W)Vorgehensweise und Konzeption der Prozesse beim Identitäts- und Berechtigungsmanagement
M 4.133(Z)Geeignete Auswahl von Authentikationsmechanismen
M 4.250(Z)Auswahl eines zentralen, netzbasierten Authentisierungsdienstes
M 4.498(Z)Sicherer Einsatz von Single-Sign-On
M 5.34(Z)Einsatz von Einmalpasswörtern

Beschaffung

M 4.499(Z)Geeignete Auswahl von Identitäts- und Berechtigungesmanagement-Systemen

Umsetzung

M 1.1(A)Einhaltung einschlägiger Normen und Vorschriften
M 2.555(A)Entwicklung eines Authentisierungskonzeptes für Anwendungen
M 4.1(A)Passwortschutz für IT-Systeme
M 4.7(A)Änderung voreingestellter Passwörter

Betrieb

M 2.6(A)Vergabe von Zutrittsberechtigungen
M 2.7(A)Vergabe von Zugangsberechtigungen
M 2.8(A)Vergabe von Zugriffsrechten
M 2.22(Z)Hinterlegen des Passworts
M 2.31(A)Dokumentation der zugelassenen Benutzer und Rechteprofile
M 2.65(C)Kontrolle der Wirksamkeit der Benutzer-Trennung am IT-System
M 2.402(Z)Zurücksetzen von Passwörtern
M 3.98(C)Einweisung aller Mitarbeiter in den Umgang mit Authentisierungsverfahren und -mechanismen
M 4.500(C)Sicherer Einsatz von Systemen für Identitäts- und Berechtigungsmanagement

Notfallvorsorge

M 6.166(C)Notfallvorsorge beim Identitäts- und Berechtigungsmanagement

Stand: 15. EL Stand 2016