Bundesamt für Sicherheit in der Informationstechnik

M 2.38 Aufteilung der Administrationstätigkeiten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Viele Netzbetriebssysteme bieten die Möglichkeit, die Administratorrolle aufzuteilen und Administrationstätigkeiten an verschiedene Benutzer zu verteilen.

So können zum Beispiel unter Novell Netware 3.11 die folgenden Administratorrollen eingerichtet werden: Workgroup Manager, User Account Manager, File Server Console Operator, Print Server Operator, Print Queue Operator.

Unter Windows NT können durch die gezielte Vergabe von Benutzerrechten an einzelne Benutzer oder besser an Gruppen definierte Administratorrollen geschaffen werden. Neben der Gruppe der Administratoren sind hier die Gruppen Hauptbenutzer ( d. h. Administratoren mit eingeschränkten Rechten), Sicherungs-Operatoren, Druck-Operatoren, Server-Operatoren sowie Reproduktions-Operatoren zu nennen. Darüber hinaus können weitere Rollen durch explizite Zuweisung von Benutzerrechten definiert werden (siehe auch M 4.418 Planung des Einsatzes von Windows Server 2008 ).

Wenn es Administratorrollen für Spezialaufgaben gibt, sollte davon Gebrauch gemacht werden. Insbesondere, wenn in großen Systemen mehrere Personen mit Administrationsaufgaben betraut werden müssen, kann das Risiko der übergroßen Machtbefugnis der Administratorrollen durch eine entsprechende Aufgabenteilung vermindert werden, so dass Administratoren nicht unkontrolliert unautorisierte oder unbeabsichtigte Veränderungen am System vornehmen können.

Trotz des Aufteilens von Administrationstätigkeiten legt das System meist noch automatisch einen Account für einen Administrator an, der keinen Beschränkungen unterliegt, den Supervisor. Das Supervisor-Passwort sollte, wenn überhaupt, nur einem kleinen Personenkreis bekannt sein. Es darf keinem der Subadministratoren bekannt sein, damit diese nicht auf diese Weise ihre Rechte erweitern können. Das Passwort ist gesichert zu hinterlegen (siehe M 2.22 Hinterlegen des Passwortes ). Das Supervisor-Login kann durch Anwendung des Vier-Augen-Prinzips zusätzlich geschützt werden, z. B. durch organisatorische Maßnahmen wie ein geteiltes Passwort. Dabei muss das Passwort eine erhöhte Mindestlänge (12 oder mehr Zeichen) haben. Hierbei muss darauf geachtet werden, dass das Passwort in voller Mindestlänge vom System überprüft wird.

Prüffragen:

  • Existieren unterschiedliche Administratorrollen für Teilaufgaben?

  • Bei vorhandenem Supervisor-Account: Ist das Supervisor-Passwort nur einem minimalen Personenkreis bekannt?

  • Bei vorhandenem Supervisor-Account: Ist das Supervisor-Passwort gesichert hinterlegt?

Stand: 13. EL Stand 2013