Bundesamt für Sicherheit in der Informationstechnik

M 2.371 Geregelte Deaktivierung und Löschung ungenutzter Konten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Personalabteilung, Leiter IT

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche

Soll ein Benutzerkonto deaktiviert oder gelöscht werden, muss anhand der Dokumentation der Zugriffsberechtigungen überprüft werden, welche Berechtigungen das Konto in der IT-Umgebung hat und für welche Authentisierungsvorgänge es benötigt wird.

Konten deaktivieren

Ungenutzte Benutzerkonten können ein Sicherheitsrisiko darstellen. Aus diesem Grunde ist eine Empfehlung, die Angriffsoberfläche zu reduzieren und diese ungenutzten Konten zu deaktivieren. Dies ist umso wichtiger, je höher die Privilegien dieser Konten sind (administrative Konten). Aus diesem Grunde ist die Infrastruktur regelmäßig auf aktive Benutzer- und administrative Konten zu untersuchen, die nicht mehr verwendet werden. Es ist ebenfalls wichtig, dass solche Konten nicht von verschiedenen Personen verwendet werden. Es muss immer nachvollziehbar sein, wer wann welches Konto verwendet hat.

Konten löschen

Muss ein Benutzerkonto gelöscht werden, ist anhand der Dokumentation zu überprüfen, welche Zugriffsrechte das Benutzerkonto hat. Vor dem Löschen des Kontos muss geprüft werden, auf welche Objekte (zum Beispiel Dateifreigaben) die Berechtigungen gesetzt sind. Nach dem Löschen ist sicherzustellen, dass die Konten bzw. deren Sicherheitskennung aus den Zugriffsberechtigungslisten (Access Control List, ACL) entfernt worden sind.

Dabei darf Windows Server 2003 in seiner Lauffähigkeit nicht eingeschränkt werden, z. B. durch gelöschte Dienstkonten. Bei der Löschung administrativer Konten sollte eine Stellvertreterregelung greifen, sofern die administrativen Aufgaben bestehen bleiben. Hierfür muss bereits vor der Löschung ein entsprechendes Ersatzkonto existieren und in Betrieb genommen worden sein. Wird hierbei nicht sorgfältig vorgegangen, dann kann es sehr schwierig werden, die Administrierbarkeit einer Ressource bzw. den Zugriff auf Ressourcen wiederherzustellen. Daher kann es sich als notwendig erweisen, das Konto zunächst zu deaktivieren und erst nach einem Test zu löschen. Beim Löschen von Benutzerkonten sollte vorher ein Verfahren definiert sein, das den Verbleib und gegebenenfalls die Weiterverwendung der vom Benutzer erzeugten Daten regelt. Ansonsten können die Daten unter Umständen nur mit erhöhtem Aufwand (Objektbesitz übernehmen durch Administratoren) oder gar nicht mehr lesbar gemacht werden. Dies gilt in besonderem Maße für hochvertrauliche bzw. verschlüsselte Daten (siehe Maßnahme M 4.278 Sichere Nutzung von EFS unter Windows Server 2003 ). Es sollte dementsprechend vor der Löschung auch ermittelt werden, in welchen Gruppen der Benutzer Mitglied war, um zu prüfen, ob er möglicherweise bislang das einzige Mitglied einer Gruppe mit administrativen Rechten oder Ressourcenberechtigungen war.

Die genannten Schritte stellen auch eine Herausforderung an die zugrunde liegenden organisatorischen Prozesse dar. Dies ist unter anderem in der Maßnahme M 3.10 Auswahl eines vertrauenswürdigen Administrators und Vertreters beschrieben.

Die geregelte Deaktivierung oder Löschung von Benutzerkonten sowie damit verbundene Fristen sollte in einer Sicherheitsrichtlinie für den IT-Verbund dokumentieren werden.

Prüffragen:

  • Werden Windows-Systeme regelmäßig auf ungenutzte administrative und Benutzerkonten überprüft?

  • Werden bei Windows-Systemen ungenutzte Benutzerkonten sofort deaktiviert?

  • Wird bei Windows-Systemen vor dem Löschen von Benutzerkonten überprüft, auf welche Objekte die Berechtigungen gesetzt sind?

  • Existieren für Windows-Systeme Verfahren für den Verbleib bzw. die Weiterverwendung von Daten nach der Löschung von Benutzerkonten?

  • Bestehen bei Windows-Systemen administrative Ersatzkonten?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK