Bundesamt für Sicherheit in der Informationstechnik

M 2.585 Konzeption eines Identitäts- und Berechtigungsmanagements

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Diese Maßnahme beschreibt, welche grundsätzlichen Schritte im Rahmen eines Identitäts- und Berechtigungsmanagements durchgeführt werden müssen.

Um die Geschäftsprozesse, Informationen und IT -Systeme einer Institution angemessen schützen zu können, ist ein zweckmäßiges und passendes Identitäts- und Berechtigungsmanagement erforderlich. Als Grundlage hierfür müssen die rechtlichen, organisatorischen und technischen Rahmenbedingungen in der jeweiligen Institution geklärt werden. Darauf aufbauend muss eine generelle Vorgehensweise für den generellen Umgang mit Identitäten und Berechtigungen in den verschiedenen Bereichen der Institution festgelegt werden.

Immer wieder kommt es zu gravierenden Problemen, weil einzelne Benutzer unnötige Privilegien angehäuft haben oder oder ungenutzte Benutzerkennungen nicht gelöscht wurden, beispielsweise nach dem Weggang von Mitarbeitern. Um dies zu vermeiden, muss es daher oberstes Ziel des Identitäts- und Berechtigungsmanagements sein, allen legitimen Benutzern zu jeder Zeit genau die Rechte zuzuteilen, die für die Erfüllung ihrer jeweiligen Aufgaben notwendig sind (Prinzipien Need-to-Know und Least Privileges). Hierfür sind klar geregelte Verfahren und Sicherheitsvorgaben erforderlich. In einer Behörde oder einem Unternehmen gibt es normalerweise eine Vielzahl zu verwaltender Objekte und Benutzer. Es ist daher sinnvoll, das Identitäts- und Berechtigungsmanagement zentral zu regeln.

Das Berechtigungsmanagement sollte alle Arten und Varianten von Berechtigungen umfassen, die in der Institution relevant sind, also sowohl Zutritts-, Zugangs- und Zugriffsberechtigungen. Die Struktur der Berechtigungen sollte für alle Geschäftsprozesse und auf allen Systemen möglichst einheitlich sein, gleiche Rollen sollten auch mit den gleichen Namen bezeichnet werden. Ebenso muss festgelegt werden, in welcher Form und Struktur Informationen zu Identitäten erfasst werden.

Als einer der wichtigsten Punkte muss festgelegt werden, wer welche Aufgaben und Zuständigkeiten im Rahmen des Identitäts- und Berechtigungsmanagement hat. Häufig kümmert sich die Personalabteilung um die Aufgaben im Rahmen des Identitätsmanagements und der IT -Betrieb um das Berechtigungsmanagement.

Es sollte ein übergreifendes Konzept für das Identitäts- und Berechtigungsmanagement für die gesamte Institution geben, aus dem (wenn notwendig) für einzelne Bereiche oder Systeme angepasste Regelungen abgeleitet werden können. Das Konzept sollte die einzelnen Aufgaben und Prozessschritte für das Identitäts- und Berechtigungsmanagement beschreiben, die dann auf die einzelnen Bereiche angepasst werden müssen. Dazu gehören:

  • Erstellung eines Überblicks über Gruppen und Arten von Identitäten und Berechtigungen, die typischerweise in den verschiedenen Bereichen einer Institution verwaltet werden,
  • Vorgaben zur Verwaltung von Identitäten, Benutzerkennungen und Berechtigungen,
  • Umgang mit den Benutzerkennungen, Berechtigungen und Authentisierungsmitteln durch die Benutzer,
  • Vorgaben zum Umgang mit Kennungen von Administratoren, Notfallbenutzern und anderen priviligierten Benutzern sowie Vorgaben der Gewährung von zeitlich eingeschränktem Zugriff auf erweiterte Berechtigungen,
  • Festlegung von Berechtigungsstrukturen, Dokumentation und Genehmigungsverfahren für die Vergabe von Berechtigungen,
  • Festlegen und Einhalten von Administrationsprozessen,
  • Vorgaben zur Erstellung und restriktiven Zuweisung von Berechtigungen auf den Zielsystemen
  • regelmäßige Überprüfung der Berechtigungen darauf, ob
    • alle Personen und Prozesse die notwendigen Berechtigungen haben, also weder zuviel noch zu wenig (Need-to-Know und Least Privileges),
    • alle Berechtigungen aktuell sind, es also z. B. keine Benutzerkennungen gibt, die nicht mehr aktiv sind, aber nicht gelöscht wurden,
    • Berechtigungen Benutzern unter Umgehung des Identitäts- und Berechtigungsmanagements direkt auf den Zielsystemen zugewiesen wurden.

Grundsätzlich ist für jeden Bereich zunächst zu klären, welchen Schutzbedarf die zu schützenden Informationen und Geschäftsprozesse haben, welche Gefährdungen relevant sind und welche Sicherheitsmaßnahmen bereits vorhanden sind. Außerdem muss geregelt werden, wer die Informationen und Geschäftsprozesse wie nutzen darf.

Richtlinien erstellen

Es sollten Richtlinien für das Identitäts- und Berechtigungsmanagement geben, in denen spezifisch für den betreffenden Bereich und die Zielgruppe (z. B. Administratoren, Benutzer, Fachverantwortliche) die einzelnen Aufgaben und Prozessschritte beschrieben werden. Dazu gehören die folgenden Punkte:

  • Wer ist zuständig für die Verwaltung von Identitäten, Benutzerkennungen und Berechtigungen?
  • Wer darf Berechtigungen genehmigen?
  • Was müssen die Benutzer wissen über den korrekten Umgang mit den Benutzerkennungen, Berechtigungen und Authentisierungsmitteln?

Außerdem sollte es Vorgaben an Art und Ausgestaltung der jeweiligen Authentisierung geben, z. B. über die Art der Authentisierung über Besitz, Wissen oder biometrische Eigenschaften sowie Mindestanforderungen an Passwörter (siehe M 2.220 Richtlinien für die Zugriffs- bzw. Zugangskontrolle und M 2.11 Regelung des Passwortgebrauchs ).

Zu regeln ist auch, welche Personen auf welche Weise Zugriff auf welche Informationen erhalten, also z. B. nur aus dem Intranet oder von unterwegs und welche IT -Systeme dabei für Zugriffe zugelassen sind.

Dabei müssen die spezifischen Rahmenbedingungen berücksichtigt werden, wie z. B. vorhandene Sicherheitsrichtlinien und gesetzliche Vorgaben. Bereits vorhandene Berechtigungskonzepte müssen konsolidiert und in einem übergreifenden Konzept zusammengeführt werden. Dabei dürfen auch verstreute Anwendungen nicht vergessen werden. Daher ist der Einsatz von Werkzeugen zur Benutzer- und Rechte-Verwaltung meistens sinnvoll.

Funktionen trennen

Ein Identitäts- und Berechtigungsmanagement muss den Ansatz verfolgen, Aufgaben und Funktionen und somit auch Berechtigungen geeignet zu trennen und entsprechend gesetzlicher oder organisatorischer Vorgaben auf verschiedene Mitarbeiter zu verteilen (siehe M 2.5 Aufgabenverteilung und Funktionstrennung ).

Rollen trennen

Personen können verschiedene Rollen wahrnehmen. Dabei müssen diese Rollen aber organisatorisch und technisch klar voneinander getrennt werden, insbesondere bei unterschiedlichen Sicherheitsanforderungen. Die Konzentration mehrerer sicherheitskritischer Rollen auf eine Person sollte verhindert werden (wie Administration und Prüfung, siehe auch M 2.38 Aufteilung der Administrationstätigkeiten ).

Berechtigungen anlegen, ändern und löschen

Im Mittelpunkt des Identitäts- und Berechtigungsmanagement steht, dass Berechtigung angelegt, geändert und gelöscht werden (siehe M 2.586 Einrichtung, Änderung und Entzug von Berechtigungen ).

Mit Passwörtern umgehen

Es muss geregelt werden, wie Authentikationsmechanismen anzuwenden sind. Außerdem müssen die Benutzer darin eingewiesen worden sein (siehe beispielsweise M 4.1 Passwortschutz für IT-Systeme , M 4.7 Änderung voreingestellter Passwörter und M 3.63 Schulung der Benutzer zur Authentisierung mit Hilfe von Verzeichnisdiensten ).

In jeder Institution muss es eine geeignete Vorgehensweise für den Umgang mit Identitäten und Berechtigungen geben. Es wird daher empfohlen, die Aufgaben aus den generischen Prozesse der Maßnahme M 2.587 Vorgehensweise und Konzeption der Prozesse beim Identitäts- und Berechtigungsmanagement in der Institution sinngemäß einzurichten.

Prüffragen:

  • Ist festgelegt worden, wer welche Aufgaben und Zuständigkeiten im Rahmen des Identitäts- und Berechtigungsmanagement hat?

  • Existiert ein Konzept für das Identitäts- und Berechtigungsmanagement?

Stand: 15. EL Stand 2016