Bundesamt für Sicherheit in der Informationstechnik

M 2.549 Erstellung eines Mandantenkonzeptes

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Fachverantwortliche, IT-Sicherheitsbeauftragter, Leiter IT

Häufig werden von mehreren Institutionen zentrale IT-Infrastrukturen oder Dienste eines Dienstleisters gemeinsam genutzt. Hierbei können auch Anwendungen gemeinsam betrieben und genutzt werden, wobei Datenhaltung und Datenverarbeitung z. B. infolge rechtlicher Anforderungen oder aufgrund von Betriebs- und Geschäftsgeheimnissen getrennt erfolgen müssen. In diesen Fällen wird häufig von mandantenfähigen Anwendungen gesprochen, wobei jeder nutzenden Institution ein Mandantenbereich, kurz Mandant, zugeordnet wird.

Ein Beispiel hierfür sind in der öffentlichen Verwaltung Registeranwendungen wie das ePersonenstandsregister, in denen mehrere Kommunen als eigenständige datenverarbeitende Stellen ihre Personenstandsdaten ablegen und verwalten. Cloud-basierende Anwendungen (auch als "Software as a Service", SaaS bezeichnet) sind ein weiteres Beispiel.

In jedem dieser Fälle ist durch ein geeignetes Mandantenkonzept sicherzustellen, dass die Anwendungen mandantenfähig betrieben werden. Dazu gehört, dass jede datenverarbeitende Stelle innerhalb ihres Bereichs, also ihres Mandantensystems, die fachlichen Vorgaben (z. B. bezogen auf Protokollierungsumfang und Speicherfristen) umsetzen sowie ihren Kontrollpflichten nachkommen kann. Das Mandantenkonzept ist durch den Betreiber der mandantenfähigen Anwendung zu erstellen und den nutzenden Institutionen zur Verfügung zu stellen. Diese müssen sich überzeugen, dass das Mandantenkonzept für ihren Schutzbedarf eine angemessene Sicherheit bietet, bevor sie solche Systeme oder Dienste gemeinsam mit weiteren Anwendern nutzen. Das Mandantenkonzept ist somit Bestandteil des Sicherheitskonzeptes, das für ein Outsourcingvorhaben zu stellen ist (siehe B 1.11 Outsourcing , insbesondere M 2.254 Erstellung eines Sicherheitskonzepts für das Outsourcing-Vorhaben ).

Auch unter datenschutzrechtlichen Gesichtspunkten sind Anforderungen an die Trennung von Mandanten zu beachten. Hinweise dazu gibt die "Orientierungshilfe Mandantenfähigkeit" des Arbeitskreises Technik der Datenschutzbeauftragten des Bundes und der Länder.

Wenn eine Anwendung neu beschafft, erstellt oder wesentlich geändert wird, muss außerdem zunächst grundsätzlich sichergestellt sein, dass diese Anwendung Mandanten sauber trennen kann (siehe M 2.552 Erstellung eines Pflichtenheftes ).

Ein Mandantenkonzept sollte mindestens folgende Punkte berücksichtigen:

  • Geeignete Rechtsgrundlagen: Rechtliche Vorgaben dürfen einem gemeinsamen, mandantenfähigen Verfahrensbetrieb nicht entgegenstehen. Ferner muss sichergestellt werden, dass die technische Ausgestaltung der Mandantentrennung dem Schutzbedarf der Daten in den jeweiligen Mandanten entspricht.
  • Die Abgeschlossenheit von Transaktionen: Datenverarbeitungsschritte, die in einem Mandanten durchgeführt werden, dürfen nicht dazu führen, dass die Daten in anderen Mandanten verändert werden oder lesend auf sie zugegriffen werden kann.
  • Konfigurative Unabhängigkeit der Mandanten untereinander: Es sollten mindestens zwei administrative Ebenen vorhanden sein. Die erste Ebene dient der Mandantenadministration: Hier werden Mandantensysteme eingerichtet und gelöscht, mandantenübergreifende konfigurative Einstellungen durchgeführt, die Rollen der Mandantenadministratoren zugewiesen, die mandantenübergreifende Protokollierung angestoßen und deren Revision durchgeführt. Die zweite Ebene dient der Administration eines Mandantensystems: Hier werden die Berechtigungen im Mandantensystem vergeben, mandanteninterne Konfigurationen durchgeführt, die mandanteninterne Protokollierung konfiguriert und die Protokollrevision durchgeführt.
  • Trennung von Berechtigungskontexten: Jeder Mandant hat seinen eigenen, abgeschlossenen Berechtigungskontext. Die Berechtigungen in einem Mandantensystem dürfen sich nicht in anderen Mandantensystemen auswirken. Die Vergabe oder Veränderung von Berechtigungen durch die Administratoren der jeweiligen Mandanten darf sich nicht auf Berechtigungen in anderen Mandanten auswirken.
  • Es muss eine administrative Ebene zur Mandantenadministration seitens des Betreibers geben, die aber keine Berechtigung zur Verarbeitung von Daten innerhalb eines Mandanten besitzen sollte.
  • Trennung von Protokollierungskontexten: Protokollrevisoren eines Mandatensystems dürfen keinen Zugriff auf Protokolldaten anderer Mandantensysteme haben. Beispielsweise können Mandanten eigene Log-Dateien haben. Eine andere Lösung könnte sein, dass eine Institution über vom Dienstleister entsprechend eingerichtete Filter oder Report-Generatoren auf die Protokolldaten ihres Mandanten zugreifen kann.
  • Beschränkung der mandantenübergreifenden Datenverarbeitung: Die Ebene der Mandantenadministration sollte grundsätzlich keine Verarbeitung von Daten innerhalb eines Mandanten außerhalb der Mandantenadministration zulassen. Der Datenaustausch zwischen Mandanten sollte über definierte und geeignet abgesicherte Schnittstellen erfolgen (siehe Schnittstellenkonzept).

Die Umsetzung dieser Anforderungen kann auf vielfältige Weise erfolgen. Eine herausragende Rolle spielt dabei ein geeignetes Rollen- und Berechtigungskonzept innerhalb von Anwendungen. Darüber hinaus können auf der Infrastruktur- und Diensteebene hierzu z. B. Virtualisierungstechniken eingesetzt werden wie:

  • Einsatz verschiedener Datenbanken (auch Instanzen genannt) in einem gemeinsamen Datenbankmanagementsystem (DBMS)
  • VPD (Virtual Private Database) auf der Diensteebene bei Datenbanken
  • Speicherung von mit einem Mandantenattribut versehenen Datensätzen in einer gemeinsamen Datenbank und gemeinsamen Tabellen, sodass die Mandantentrennung durch die Anwendung erfolgt.
  • Virtuelle Maschinen auf der Systemebene
  • VLAN (Virtual LAN), VRF (Virtual Routing and Forwarding), VPN (Virtual Private Network) in der Netzinfrastruktur (siehe auch M 5.62 Geeignete logische Segmentierung )

Der Auftraggeber sollte prüfen, ob die vom Dienstleister gewählte Lösung zur Mandantentrennung effektiv ist.

Prüffragen:

  • Wurde konzeptionell berücksichtigt, dass Anwendungs- und Datenkontexte unterschiedlicher nutzender Institutionen sauber getrennt sind?

  • Sind die benötigten Mechanismen zur Mandantentrennung beim Dienstleister ausreichend umgesetzt?

  • Liegt ein geeignetes Sicherheitskonzept für das Outsourcing-Vorhaben vor?

Stand: 14. EL Stand 2014