Bundesamt für Sicherheit in der Informationstechnik

M 2.586 Einrichtung, Änderung und Entzug von Berechtigungen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

In einer Institution müssen eine Vielzahl verschiedener Berechtigungen pro Benutzer vergeben und verwaltet werden (siehe M 2.6 Vergabe von Zutrittsberechtigungen , M 2.7 Vergabe von Zugangsberechtigungen , M 2.8 Vergabe von Zugriffsrechten ).

Für die Zuweisung und Verwaltung von aufgabenspezifischen Berechtigungen ist die Entwicklung eines Rollenmodells für die jeweilige Anwendung bzw. für das jeweilige System empfehlenswert. Dies macht die Verwaltung übersichtlicher und einfacher.

Benutzerkennungen und Berechtigungen unterliegen einem Lebenszyklus, sie werden angelegt, geändert und gelöscht. Berechtigungen sollten zentral verwaltet werden, hilfreich sind dabei angemessene Benutzer- und Rechtemanagement-Werkzeuge, um den Administrations- und Pflegeaufwand zu reduzieren.

Einrichtung und Änderungen von Berechtigungen

Bei der Einrichtung von Benutzerkennungen und Berechtigungen sind häufig Vielzahl von Genehmigungsschritten erforderlich, die zusammengetragen und verfolgt werden müssen. Daher ist es empfehlenswert, hierfür ein standardisiertes und möglichst automatisiertes Antrags- und Vergabeverfahren zu nutzen.

Beim Identitäts- und Berechtigungsmanagement können folgende generische Rollen betrachtet werden:

  • Benutzer: Dies ist die Einzelperson, die auf die Informationen, Anwendungen oder IT -Systeme unter der Benutzerkennung zugreift. Mit Ausnahme von Gruppenkennungen ist der Benutzer normalerweise identisch mit dem Besitzer.
  • Genehmigende: Dies ist die Person, die die Vergabe von Zugangs-, Zugriffs oder Zutrittsrechten genehmigt, typischerweise die Fachverantwortlichen. Ein Genehmigender sollte keine Rechte für sich selbst genehmigen dürfen.
  • Fachverantwortliche: Die Fachverantwortlichen sind die "Eigentümer" von Informationen, Anwendungen, Fachverfahren, Geschäftsprozessen oder Systemen. Diese haben das letzte Wort zu allen Fragen im Zusammenhang mit Inhalten und Verwendung sowie Anforderungen der jeweiligen Informationen, Anwendungen oder Systeme.
  • IT -Betrieb: Die Mitarbeiter des IT -Betriebs haben die Aufgabe, die genehmigten Berechtigungen technisch einzurichten.

Generell sollten Benutzerkennungen und Berechtigungen immer nur sollten auf der Grundlage eines legitimen Bedarfs zur Erfüllung zugewiesener Tätigkeiten vergeben werden, also so, wie es für die Aufgabenwahrnehmung notwendig ist (Prinzip Need-to-know. Berechtigungen sollten außerdem immer restriktiv vergeben vergeben. Es dürfen immer nur so viele Rechte vergeben werden, wie im aktuellen Kontext zur Durchführung der fachlichen Aufgabe benötigt werden (Prinzip der geringsten Berechtigungen, englisch Least Privileges).

Bevor neue Benutzerkennungen eingerichtet oder Berechtigungen vergeben werden, ist Folgendes zu beachten:·

  • Es muss ein Antrag gestellt werden, aus dem die Rolle, Funktionsbreite und auch zeitliche Begrenzungen der Aufgaben des Antragsstellers erkennbar sind. Es empfiehlt sich, die Form der Anträge vorzugeben, damit alle erforderlichen Informationen erfasst werden (siehe M 2.30 Regelung für die Einrichtung von Benutzern / Benutzergruppen ). Hierfür können Formblätter, Webformulare oder E-Mails verwendet werden. Anträge sollten einfach zu stellen und zu bearbeiten sein, aber auch alle erforderlichen Informationen enthalten.
  • Dieser Antrag muss durch die entsprechend der Art der Berechtigung zuständige Rolle genehmigt werden. Privilegierte Benutzerkennungen müssen zusätzlich vom Fachverantwortlichen der jeweiligen Ressource genehmigt werden.
  • Alle Vergaben, Änderungen und Löschungen von Berechtigungen müssen dokumentiert aufbewahrt werden.
  • Jede Benutzerkennung muss eindeutig einem registrierten Benutzer zugeordnet werden können. Ebenso muss für jede Gruppenkennung eindeutig nachweisbar sein, welche Personen dieser Gruppe zugehören. Für jede Gruppenkennung muss eine einzelne Person bzw. ein Rolleninhaber als für die Nutzung der Kennung verantwortlich benannt sein.
  • Bevor einer Person eine Benutzerkennung oder ein Authentisierungsmittel wie ein Passwort zugeteilt wird, muss diese auf die Einhaltung aller Sicherheitsvorgaben und regelungen verpflichtet werden.
  • Passwörter für Erst-Anmeldungen müssen bei der ersten Anmeldung des Benutzers geändert werden (siehe M 2.11 Regelung des Passwortgebrauchs ).
  • Es muss sichergestellt sein, dass nur die berechtigten Benutzer die Zurücksetzung eines Passwortes oder Anpassung eines Authentikationsmittels anfordern können.
  • Es sollte nach Möglichkeit vermieden werden, Gruppenkennungen einzurichten, wenn dies die Zuordnung zu handelnden Personen erschwert. Dies gilt vor allem für administrative Kennungen und sicherheitsrelevante Bereiche.

Wird ein Zugriff auf Daten benötigt, ohne dass der Besitzer der Kennung zugestimmt hat, muss dieser Zugriff sowohl von einem autorisierten Genehmigenden als auch vom IT -Sicherheitsbeauftragten genehmigt werden. Ein solcher Zugriff ist zu dokumentieren und dem Besitzer mitzuteilen.

Entzug von Berechtigungen

Wenn Mitarbeiter die Institution verlassen oder die Position wechseln, müssen die nicht mehr benötigten Benutzerkennungen und Berechtigungen innerhalb einer definierten Zeit gesperrt und nach einer definierten Wartezeit vollständig gelöscht werden. Dabei kann es sinnvoll sein, zwar die Berechtigungen zu löschen, aber in den Unterlagen zu dokumentieren, von wann bis wann die Benutzerkennung welche Berechtigungen hatte, um auch Aktionen nach dem Weggang von Mitarbeitern nachvollziehbar zu halten. Wichtig ist, dass die Berechtigungen durchgängig geändert bzw. entfernt werden.

Zum Entzug bzw. zur Sperrung von Benutzerkennungen und Authentikationsmitteln gehört beispielsweise, dass Benutzerkennungen deaktiviert, Passwörter geändert und Mitarbeiterausweise eingezogen werden. Außerdem muss die Benutzerkennung in Rollenzuweisungen und Gruppen entfernt werden. Voraussetzung dafür ist, dass die für das Berechtigungsmanagement zuständige Stelle zeitnah informiert wird, wenn Mitarbeiter ausscheiden. Gegebenenfalls ist ein entsprechender Punkt in eine einschlägige Checkliste der Personalabteilung aufzunehmen.

Es wird empfohlen, Benutzerkennungen zunächst lediglich zu deaktivieren (beispielsweise für 30 Tage), damit sie im Fehlerfall leicht wieder eingerichtet werden können. Alle Benutzerkennungen und damit verbundene Daten müssen jedoch mittelfristig, z. B. innerhalb von 90 Tagen, nach Weggang des Mitarbeiters von den Produktivsystemen entfernt werden. Um die dort gespeicherten Informationen und die Nachvollziehbarkeit von Tätigkeiten für einen längeren Zeitraum sicherzustellen, sollten die Daten in einen anderen Bereich, also z. B. ein Archivsystem, mit geeignetem Besitzer (z. B. Audit) kopiert werden.

Prüffragen:

  • Werden alle Benutzerkennungen und Berechtigungen ausschließlich auf Basis des tatsächlichen Bedarfs vergeben?

  • Werden bei personellen Veränderungen die nicht mehr benötigten Benutzerkennungen und Berechtigungen unbrauchbar gemacht?

  • Werden die vorgenommenen Berechtigungsänderungen dokumentiert?

Stand: 15. EL Stand 2016