Bundesamt für Sicherheit in der Informationstechnik

M 2.26 Ernennung eines Administrators und eines Vertreters

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT, Leiter Personal

Verantwortlich für Umsetzung: Leiter IT, Leiter Personal

Um einen geordneten Betrieb von IT-Systemen zu ermöglichen, sind für alle IT-Systeme und Netze Administratoren zu bestimmen. Ihnen obliegt neben allgemeinen Administrationsarbeiten insbesondere die Benutzerverwaltung einschließlich der Verwaltung der Zugriffsrechte. Zusätzlich sind sie für die Sicherheitsbelange aller von ihnen betreuten IT-Systeme zuständig.

Bei größeren Behörden bzw. Unternehmen mit einer Vielzahl verschiedener IT-Systeme und Teilnetzen muss außerdem sichergestellt sein, dass die Aufgaben zwischen den verschiedenen Administratoren so verteilt sind, dass es zu keinen Zuständigkeitsproblemen kommt, also weder zu Überschneidungen noch zu Lücken in der Aufgabenverteilung. Darüber hinaus sollte die Kommunikation zwischen den verschiedenen Administratoren möglichst reibungslos ablaufen. Hierzu können z. B. regelmäßige Administratoren-Treffen durchgeführt werden, bei denen typische Probleme und Lösungsmöglichkeiten bei der täglichen Arbeit thematisiert werden.

Beim Einsatz von Protokollierung sollte auf die Rollentrennung von Administration und Revision geachtet werden. Hier ist zu überprüfen, inwieweit die IT-Systeme dies unterstützen.

Um bei Verhinderung eines Administrators die Funktionen weiter aufrechtzuerhalten, ist ein Vertreter zu benennen. Hierbei ist darauf zu achten, dass dieser eine eigene Administratorkennung erhält (siehe auch M 2.38 Aufteilung der Administrationstätigkeiten ). Auf keinen Fall darf aus Bequemlichkeit im Vertretungsfall einfach das Passwort weitergegeben werden.

Für die Übernahme von Administrationsaufgaben muss gewährleistet sein, dass jedem Administrator und ebenso den Vertretern für eine sorgfältige Aufgabenerfüllung auch die hierfür erforderliche Zeit zur Verfügung steht. Hierbei muss auch berücksichtigt werden, dass Aus- und Fortbildungsmaßnahmen erforderlich sind.

Die spezifischen Administrationstätigkeiten beim Einsatz von z/OS-Systemen werden in M 2.295 Systemverwaltung von z/OS-Systemen erläutert.

Prüffragen:

  • Wurden für alle IT -Systeme und Netze entsprechende Administratoren sowie deren Stellvertreter bestimmt?

  • Wurde die Aufgabenteilung zwischen den einzelnen Administratoren so vorgenommen, dass einerseits Überschneidungen in den Zuständigkeiten vermieden werden und andererseits keine Administrationslücken entstehen?

  • Haben die Administratoren und deren Vertreter ausreichend Zeit zur sorgfältigen Erfüllung ihrer Aufgaben?

  • Bei Einsatz von Protokollierung: Wird die Rollentrennung von Administration und Revision - soweit technisch möglich - berücksichtigt?

  • Haben alle Administratoren und deren Vertreter ausreichend Möglichkeiten zur Fortbildung?

  • Hat jeder Administrator und jeder Vertreter eines Administrators eine eigene, eindeutige Administratorkennung?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK