Bundesamt für Sicherheit in der Informationstechnik

M 2.30 Regelung für die Einrichtung von Benutzern / Benutzergruppen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Regelungen für die Einrichtung von Benutzern / Benutzergruppen bilden die Voraussetzung für eine angemessene Vergabe von Zugriffsrechten und für die Sicherstellung eines geordneten und überwachbaren Betriebsablaufs.

Es sollte ein Formblatt existieren, um von jedem Benutzer bzw. für jede Benutzergruppe zunächst die erforderlichen Daten abzufragen:

  • Name, Vorname,
  • Vorschlag für die Benutzer- bzw. Gruppenkennung, wenn diese nicht durch Konventionen vorgegeben sind,
  • Organisationseinheit,
  • Erreichbarkeit (z. B. Telefon, Raum),
  • ggf. Projekt,
  • ggf. Angaben über die geplante Tätigkeit im System und die dazu erforderlichen Rechte sowie die Dauer der Tätigkeit,
  • ggf. Restriktionen auf Zeiten, Endgeräte, Plattenvolumen, Zugriffsberechtigungen (für bestimmte Verzeichnisse, Remote-Zugriffe, etc.), eingeschränkte Benutzerumgebung,
  • ggf. Zustimmung von Vorgesetzten.

Falls Zugriffsberechtigungen vergeben werden, die über den Standard hinausgehen, sollte dies begründet werden. Dieses kann auch in elektronischer Form erfolgen durch ein spezielles Login, dessen Name und Passwort den einzurichtenden Benutzern bekanntgegeben wird. Dort wird ein entsprechendes Programm durchlaufen, das mit einem Logout endet. Die erfassten Daten können zur Vorlage beim Vorgesetzten ausgedruckt werden. Ein Passwort, das einem neuen Benutzer für die erstmalige Systemnutzung mitgeteilt wird, muss danach gewechselt werden. Dies sollte vom System initiiert werden.

Es sollte eine begrenzte Anzahl von Rechteprofilen festgelegt werden. Ein neuer Benutzer wird dann einem solchen Profil zugeordnet und erhält damit genau die für seine Tätigkeit erforderlichen Rechte. Dabei sind die systemspezifischen Möglichkeiten bei der Einrichtung von Benutzern und Gruppen zu beachten. Es ist sinnvoll, Namenskonventionen für die Benutzer- und Gruppennamen festzulegen (z. B. Benutzer-ID = Kürzel Organisationseinheit || lfd. Nummer).

Die Zugriffsberechtigung für Dateien ist auf Benutzer bzw. Gruppen mit berechtigtem Interesse zu beschränken. Wenn mehrere Personen auf eine Datei zugreifen müssen, soll für diese eine Gruppe eingerichtet werden. In der Regel muss jedem Benutzer eine eigene Benutzer-Kennung zugeordnet sein, es dürfen nicht mehrere Benutzer unter derselben Kennung arbeiten. Für jeden Benutzer muss ein eindeutiges Heimatverzeichnis angelegt werden.

Für die Einrichtungsarbeiten im System sollte eine administrative Rolle geschaffen werden: Die Einrichtung sollte mit Hilfe eines speziellen Logins, unter dem ein entsprechendes Programm oder Shellskript gestartet wird, erfolgen. Die zuständigen Administratoren können Benutzer bzw. Benutzergruppen somit nur auf definierte Weise einrichten, und es ist nicht erforderlich, ihnen Rechte für andere Administrationsaufgaben zu geben.

Diese Maßnahme wird unter Unix ergänzt durch folgende Maßnahmen:

Diese Maßnahme wird unter z/OS ergänzt durch folgende Maßnahmen:

Bei anderen Betriebssystemen sind die dort beschriebenen Hinweise in ähnlicher Weise umzusetzen (siehe dazu auch die betriebssystemspezifischen Bausteine).

Prüffragen:

  • Bei zusätzlichen Zugriffsberechtigungen, die über das Standardprofil hinausgehen: Werden diese nur nach zusätzlicher Begründung vergeben?

  • Gibt es eine geregelte Vorgehensweise zur Einrichtung von Benutzern und Benutzergruppen?

  • Existiert eine separate administrative Rolle für das Einrichten von Rechten bzw. Rechteprofilen?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK