Bundesamt für Sicherheit in der Informationstechnik

G 2.214 Fehlende oder unzureichende Konzeption des Identitäts- und Berechtigungsmanagements

Voraussetzung für einen sicheren Einsatz eines Identitäts- und Berechtigungsmanagements ist eine umfassende Planung und Konzeption, wie Benutzerkennungen und deren Berechtigungen anzulegen, zu ändern und zu löschen sind.

Dazu ist der Lebenszyklus einer Identität zu organisieren und konzeptionell sicherzustellen, dass nur zugelassene Berechtigungen der Identität zugeordnet werden. Darüber hinaus müssen die Zuständigkeiten, Aufgaben und Informationswege als Prozesse definiert sein.

Dass Defizite bei einer fehlenden oder unzureichenden Konzeption zu Schäden führen können, machen folgende Beispiele deutlich:

  • Bei einer fehlenden oder unzureichenden Konzeption der Prozesse beim Identitäts- und Berechtigungsmanagement kann es passieren, dass der zuständige Administrator keine Informationen über personelle Veränderungen erhält. So kann es passieren, dass ein Benutzerkonto eines ausgeschiedenen Mitarbeiters nicht gelöscht wird.
  • Auch besteht die Gefahr, dass Mitarbeiter, die in eine neue Abteilung versetzt werden, ihre alten und nun nicht mehr benötigten Berechtigungen behalten und dadurch mit der Zeit umfangreiche Gesamt-Berechtigungen ansammeln.

Stand: 15. EL Stand 2016