Bundesamt für Sicherheit in der Informationstechnik

G 2.187 Fehlendes oder unzureichendes mandantenfähiges Administrationskonzept für Speicherlösungen

Bei der gemeinsamen Nutzung von IT-Systemen durch unterschiedliche Institutionen, wie sie im Cloud Umfeld weit verbreitet ist, existiert, bedingt durch ein fehlendes oder unzureichendes Rollenkonzept, die Gefahr eines mandantenübergreifenden administrativen Zugriffs. Da Administratoren in der Regel über sehr weitreichende Berechtigungen verfügen, stellt dies eine erhebliche Bedrohung aller Sicherheitsziele einer Institution dar.

Insbesondere im Zusammenhang mit dem Servicemodell Infrastructure as a Service (IaaS), das häufig in Verbindung mit Cloud Storage zur Anwendung kommt, besteht daher die Notwendigkeit zum Einsatz eines mandantenfähigen Administrationskonzeptes.

Aus Sicherheitssicht sind folgende mögliche Ausprägungen eines mandantenfähigen Administrationskonzeptes zu unterscheiden:

  • Der Betreiber einer Speicherlösung trennt seine Administratoren entsprechend seiner Mandanten. Existiert für dieses Vorgehen kein Konzept oder ist dieses unzureichend umgesetzt, besteht die Gefahr, dass der Administrator für Mandant A auf die Daten von Mandant B zugreift.
  • Die Mandanten erhalten selbst administrative Rechte für ihren jeweiligen Bereich. Bei nicht vorhandenem oder unzureichend umgesetztem Konzept besteht die Gefahr, dass Mitarbeiter von Mandant A direkt auf die Daten von Mandant B zugreifen können.

Kommen bei einer Institution Speichersysteme zum Einsatz, die mehreren Mandanten unabhängig voneinander Speicher zur Verfügung stellen ( z. B. virtuelle Fileserver in einer NAS -Umgebung) so kann durch ein fehlendes Rollenkonzept die Gefahr eines mandatenübergreifenden administrativen Zugriffs gegeben sein.

Stand: 14. EL Stand 2014