Bundesamt für Sicherheit in der Informationstechnik

M 2.220 Richtlinien für die Zugriffs- bzw. Zugangskontrolle

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche

Um IT-Systeme bzw. System-Komponenten und Netze nutzen zu können bzw. um dort gespeicherte Informationen abrufen zu können, muss die Zugriffs- bzw. Zugangskontrolle geregelt sein. Neben den an den einzelnen IT-Komponenten einzurichtenden Zugriffs- bzw. Zugangskontrollen sollte eine übergreifende Richtlinie hierzu existieren, in der die Grundsatzfragen geregelt sind. Die Regelungen zur Zugriffs- bzw. Zugangskontrolle müssen den Schutzbedarf der Behörde bzw. des Unternehmens widerspiegeln. Insbesondere ist hier auf die Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen, also z. B. Datenschutz- und Urheberrechtsgesetze bzw. Lizenzregelungen, zu verweisen.

Es empfiehlt sich, dabei Standard-Rechteprofile für nutzungsberechtigte Personen aufgrund ihrer Funktionen und Aufgaben festzulegen (siehe auch M 2.8 Vergabe von Zugriffsrechten ). Die Benutzerrechte für Zugriffe auf Dateien und Programme müssen abhängig von der jeweiligen Rolle, dem Need-to-Know und der Sensitivität der Daten definiert sein. Falls Rechte vergeben werden, die über den Standard hinausgehen, sollte dies begründet werden.

Die Richtlinien für die Zugriffs- bzw. Zugangskontrolle sollte allen Verantwortlichen für IT-Anwendungen vorliegen. Darauf aufbauend können dann Zugriffsregelungen für die einzelnen IT-Systeme abgeleitet und eingerichtet werden.

Für jedes einzelne IT-Systeme und jede IT-Anwendung sollten schriftliche Zugriffsregelungen und die Dokumentation der Einrichtung von Benutzern und der Rechtevergabe vorhanden sein (siehe M 2.30 Regelung für die Einrichtung von Benutzern / Benutzergruppen ). Hierbei müssen die system- bzw. anwendungsspezifischen Besonderheiten und Sicherheitsanforderungen berücksichtigt werden. Verantwortlich für die Erstellung und Aktualisierung der system- bzw. anwendungsspezifischen Vorgaben sind die IT-Verantwortlichen.

Werden an Mitarbeiter besonders weitgehende Rechte vergeben (z. B. an Administratoren), so sollte dies möglichst restriktiv erfolgen. Hierbei sollte zum einem der Kreis der privilegierten Benutzer möglichst eingeschränkt werden und zum anderen nur die für die Durchführung der Arbeit benötigten Rechte vergeben werden (siehe auch M 2.38 Aufteilung der Administrationstätigkeiten ). Für alle Aufgaben, die ohne erweiterte Rechte durchgeführt werden können, sollten auch privilegierte Benutzer unter Accounts mit Standard-Rechten arbeiten.

Der Zugriff auf alle IT-Systeme oder Dienste muss durch Identifikation und Authentikation des zugreifenden Benutzers oder IT-Systems abgesichert werden. Beim Zugriff aus externen Netzen sollten starke Authentisierungsverfahren eingesetzt werden, also solche die z. B. auf dem Einsatz von Einmalpasswörtern oder dem Besitz von Chipkarten basieren.

Beim Anmeldevorgang sollten keine Informationen über das IT-System oder den Fortschritt der Anmeldeprozedur angezeigt werden, bis dieser erfolgreich abgeschlossen ist. Es sollte dabei darauf hingewiesen werden, dass der Zugriff nur autorisierten Benutzern gestattet ist. Die Authentikationsdaten dürfen erst dann überprüft werden, wenn sie vollständig eingegeben wurden. Weitere Anforderungen an die Authentikationsmechanismen finden sich in M 4.133 Geeignete Auswahl von Authentikationsmechanismen .

Prüffragen:

  • Existieren dem Schutzbedarf der Organisation angemessene Regelungen zur Zugangs- und Zugriffskontrolle?

  • Existieren Standard-Rechteprofile, die den Funktionen und Aufgaben der Nutzer entsprechen?

  • Existieren schriftliche Zugriffsregelungen sowie eine Dokumentation der Benutzereinrichtung und der Rechtevergabe?

  • Wird der Zugriff auf alle IT -Systeme und Dienste durch Identifikation und Authentikation des zugreifenden Benutzers oder IT -Systems abgesichert?

  • Werden Authentisierungsdaten erst nach vollständiger Eingabe überprüft?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK