Bundesamt für Sicherheit in der Informationstechnik

G 2.191 Unzureichendes Rollen- und Berechtigungskonzept

Die sorgfältige Definition eines Berechtigungskonzeptes verhindert den unrechtmäßigen Zugriff auf Informationssysteme und schützt damit auch die Integrität, Verfügbarkeit und Authentizität der zugehörigen Daten. Berechtigungskonzepte besitzen dabei Relevanz sowohl für Anwender als auch für Administratoren von IT -Systemen.

In der Regel sind Berechtigungskonzepte an die Definition von Rollen gekoppelt, denen in der Folge gewisse Berechtigungen zugesprochen oder entzogen werden können. Sind die relevanten Rollen unzureichend definiert, kann dies die Wirksamkeit des Berechtigungskonzeptes verringern. Mitarbeiter erhalten unter Umständen Zugriff auf Systeme und Daten, zu denen sie keine Berechtigung haben dürften, wodurch die Vertraulichkeit und Integrität der Daten verletzt wird.

Bestehende Rollen- und Berechtigungskonzepte müssen regelmäßig überprüft werden, da die Mitarbeiter- und Organisationsstruktur einer Institution einem stetigen Wandel unterliegt. Der Entzug beziehungsweise die Erteilung von Berechtigungen für Mitarbeiter beim Wechsel des Arbeitsbereiches und damit Übernahme einer neuen Rolle oder bei Beendigung des Arbeitsverhältnisses muss sichergestellt sein. Sind diese Voraussetzungen nicht erfüllt, können Mitarbeiter unberechtigt auf (vertrauliche) Informationen zugreifen und diese unter Umständen verändern, vernichten oder zu ihrem Vorteil missbrauchen. Finanzielle Einbußen und Schädigung des Images einer Institution sind mögliche Folgen.

Detaillierte Rollenkonzepte bringen eine hohe Komplexität und eine damit einhergehende erhöhte Fehleranfälligkeit mit sich. Unter Umständen sieht sich eine Institution hier einem Konflikt zwischen der Qualität eines Rollenkonzeptes und der Möglichkeit, dieses angemessen zu verwalten, gegenüber.

Die fehlende Überprüfung des Rollenkonzeptes beim Cloud-Diensteanbieter im Verhältnis zum Rollenkonzept in der eigenen Institution erzeugt einen Bruch in der rollenbasierten Ende-zu-Ende-Administration und kann zu einem Verlust der Service-Verfügbarkeit und Datenintegrität führen.

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK