Bundesamt für Sicherheit in der Informationstechnik

M 2.65 Kontrolle der Wirksamkeit der Benutzer-Trennung am IT-System

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Revisor

Mittels Protokollauswertung oder durch Stichproben ist in angemessenen Zeitabständen zu überprüfen, ob die Benutzer von IT -Systemen sich regelmäßig nach Aufgabenerfüllung abmelden oder ob mehrere Benutzer unter einer Kennung arbeiten.

Sollte festgestellt werden, dass tatsächlich mehrere Benutzer unter einer Kennung arbeiten, sind sie auf die Verpflichtung zum Abmelden nach Aufgabenerfüllung hinzuweisen. Gleichzeitig sollte der Sinn dieser Maßnahme erläutert werden, die im Interesse desr einzelnen Benutzer liegt.

Stellt sich heraus, dass die An- und Abmeldevorgänge zu zeitintensiv sind und trotz Aufforderung nicht akzeptiert werden, sollten alternative Maßnahmen diskutiert werden wie zum Beispiel:

  • Das IT -System kann für bestimmte Zeitintervalle einem Benutzer zugeordnet werden, so dass in dieser Zeit andere Benutzer das IT -System nicht nutzen dürfen. Dies setzt voraus, dass der Arbeitsprozess dementsprechend zeitlich variabel ist.
  • Es können zusätzliche IT -Systeme angeschafft werden, mit denen die quasiparallele Arbeit an einem IT -System vermieden werden kann. Wenn diese Geräte weggeschlossen werden, wenn sie benutzt werden, kann auch auf eine An- und Abmeldung für die Nutzungsintervalle verzichtet werden.
  • Statt zeitaufwendigen mehrstufigen Authentisierungsverfahren könnten automatisierte Authentisierungsverfahren wie beispielsweise über RFID -basierte Token oder biometrische Verfahren eingesetzt werden.
  • Wenn sich die Datenbestände der einzelnen Benutzer separieren lassen (beispielsweise Benutzer A bearbeitet die Daten A-L, Benutzer B die Daten M-Z), so sollten dafür unterschiedliche Zugriffsrechte eingeräumt werden.

Prüffragen:

  • Wird regelmäßig überprüft, ob alle Benutzer ausschließlich unter ihrer eigenen Kennung arbeiten?

  • Sofern Akzeptanzproblemen bezüglich des ordnungsgemäßen Benutzerwechsels bestehen: Werden alternative Maßnahmen untersucht?

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK