Bundesamt für Sicherheit in der Informationstechnik

M 2.587 Vorgehensweise und Konzeption der Prozesse beim Identitäts- und Berechtigungsmanagement

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Leiter IT, IT-Sicherheitsbeauftragter

Die Verwaltung von Identitäten und Berechtigungen wird mit steigender Benutzerzahl immer aufwendiger. Je mehr manuelle Aktivitäten erforderlich sind, um so mehr Fehler und Sicherheitsprobleme können entstehen.

Daher ist es zu empfehlen, dass auch kleinere Institutionen ein Identitäts- und Berechtigungsmanagement aufbauen und betreiben. Im Folgenden werden generische Prozesse für das Identitäts- und Berechtigungsmanagement beschrieben, die aufzeigen, wie die erforderlichen Aufgaben und Anforderungen erfüllt werden können.

Ein Identitäts- und Berechtigungsmanagement besteht aus folgenden generischen Prozessen:

Abgeleitet aus dem Sicherheitskonzept einer Institution sollten die Vorgaben mit Bezug auf das Identitäts- und Berechtigungsmanagement in einer Richtlinie beschrieben werden. Die Richtlinie sollte mindestens die umfassen, wie Identitäten, Benutzerkennungen und Berechtigungen angelegt, verändert, gelöscht und kontrolliert werden.

In jeder Institution muss es eine geeignete Vorgehensweise für den Umgang mit Identitäten und Berechtigungen geben. Es wird daher empfohlen, die Aufgaben aus den generischen Prozesse der folgend beschriebenen Maßnahmen für ein effizientes Identitäts- und Berechtigungsmanagement in der Institution sinngemäß einzurichten.

Prozess Richtlinien verwalten

Im Rahmen des Prozesses Richtlinien verwalten werden Richtlinien für die Beantragung, Veränderung und dem Entzug von Rollen und (Einzel-)Berechtigungen und die Verwaltung von Identitäten und Benutzerkonten innerhalb von IT -Systemen erstellt, überprüft und fortgeschrieben.

In der Richtlinie zum Identitäts- und Berechtigungsmanagement werden die Vorgehensweisen zu den folgenden Teilprozessen beschrieben und wie diese zusammenspielen sollten:

  • Identitätsprofile verwalten,
  • Berechtigungsprofile verwalten,
  • Benutzerkennungen verwalten,
  • Rollen verwalten,
  • Analyse von Identitäten und Berechtigungen und
  • Konten verwalten.

Vergabe, Änderungen und Löschungen von Berechtigungen müssen protokolliert und für eine zu definierende Zeit (z. B. 10 Jahre) aufbewahrt werden. Die Richtlinien sollen bei wesentlichen Änderungen oder zeitlich gesteuert einem Review unterzogen werden.

Prozess Identitätsprofile verwalten

Der Prozess Identitätsprofile verwalten umfasst die Erfassung, Veränderung und das Löschen von Identitätsprofilen. Identitätsprofile sind beispielsweise Stammdaten von Mitarbeitern einer Institution. Typische Eigenschaften, die verarbeitet werden, sind u.a.:

  • Name
  • Organisationseinheit
  • Aufgabenbeschreibung

Die Verarbeitung der Informationen im Prozess Identitätsprofile verwalten wird in Form von Anträgen (siehe M 2.30 Regelung für die Einrichtung von Benutzern / Benutzergruppen ) initiiert. Die Anträge enthalten die wichtigen Informationen zu einem Mitarbeiter (gilt auch für IT -Systeme) als auch die entsprechende Aufgabenbeschreibung. Die Anträge können z. B. aus den Prozessen der Mitarbeitereinstellung oder der Veränderung von Aufgabenbeschreibungen ( z. B. Mitarbeiter übernimmt eine andere Aufgabe) ausgelöst werden. Die Änderungen werden in einem Identitätsprofil dokumentiert.

Das Ergebnis aus dem Prozess Identitätsprofile verwalten ist die Komplettierung eines Identitätsprofils mit Stammdaten und einer konkreten Aufgabenbeschreibung. Es muss geregelt sein, wer die Berechtigungsvergabe initiiert und der Vorgang als Ganzes muss dokumentiert werden.

Im Folgenden werden Stellen einer Institution aufgelistet, wo eine Neueinrichtung bzw. eine Veränderung von Identitätsprofilen erfolgen kann:

  • Personalzu- oder -abgänge von Mitarbeitern oder Externen, Aufgabenänderungen (Personalabteilung, Verwaltung, Fachabteilung)
  • Externe Mitarbeiter / Zu- und Abgang, Änderung (Einkauf, Beschaffung)
  • Berechtigte Dritte, z.B. Kunden / Zu- und Abgang, Änderung (Vertrieb, Support u.a.)

Der Prozess Analyse von Identitäten und Berechtigungen untersucht die Identitäten gemäß dem Antrag auf den Bedarf an Sicherheit. Der Prozess Richtlinie verwalten regelt die Rahmenbedingung für das Einrichten und Verändern von Identitäten. Mit den Ergebnissen aus den Prozessen Analyse von Identitäten und Berechtigungen und Richtlinie verwalten können die Informationen gemäß dem Antrag eingerichtet, verändert oder gelöscht werden. Die Informationen der erstellten bzw. überarbeiteten Identitätsprofile werden mittels dem Antrag dem Prozess Benutzerprofil verwalten zur weiteren Verarbeitung übertragen.

Prozess Berechtigungsprofil verwalten

Der Prozess Berechtigungsprofil verwalten beschreibt das Verfahren für einen Abgleich zwischen der Aufgabenbeschreibung, welche in dem Prozess Identitätsprofile verwalten verfasst wurden, und den dazugehörigen Rollen und Einzelberechtigungen für einen Mitarbeiter.

Für das Verfahren Abgleich benötigt der Prozess Berechtigungsprofil verwalten diverse Informationen über die Identitätsprofile aus verschiedenen Quellen, z. B. aus der Personalverwaltung Stammdaten der Mitarbeiter oder aus den Fachabteilungen über deren Fachaufgaben. Dazu gehören auch vergleichbare Informationen zu externen Mitarbeitern sowie zu technischen Berechtigungen von IT -Systemen .

In einem Mitarbeiter-Berechtigungsprofil werden alle Rollen und Einzelberechtigungen verwaltet, die diesem zugeordnet sind. Das Verhältnis zwischen rollenbasierten Berechtigungen und Einzelberechtigungen ist qualitativ und damit mittelbar auch für die IT -Sicherheit relevant. Erfahrungen haben gezeigt, dass reine rollenbasierte Berechtigungsvergaben zu starr sind und daher nicht funktionieren. Hingegen erfordert ein zu hoher Anteil von Einzelberechtigungen einen zu großen Wartungsaufwand. Daher wird aus der Praxis ein Richtwert von 80:20 für das Verhältnis zwischen rollenbasierten Berechtigungen und Einzelberechtigungen empfohlen.

Untersucht werden muss, ob Aufgaben und die dazugehörigen Berechtigungen miteinander vereinbar sind (Prozess Analyse von Identitäten und Berechtigungen) oder unter Umständen neu verteilt werden müssen (siehe M 2.5 Aufgabenverteilung und Funktionstrennung ).

Prozess Rollen verwalten

Im Prozess Rollen verwalten werden Berechtigungsprofile für einzelne Rollen angelegt. In Rollen werden Aufgaben, Verantwortlichkeiten und damit zusammenhängende Berechtigungen gebündelt, um die Benutzerverwaltung zu erleichtern. Ein Rollen-Berechtigungsprofil kann als für die gleiche Tätigkeit mehrerer Mitarbeiter verwendet werden. Dazu werden der Rolle die Zugangsberechtigungen zugeordnet, die für die Aufgabenerfüllung notwendig ist. Rollen sollten modular und in sich geschlossen definiert werden, so dass sie beliebig kombinierbar sind. Der Rollenzuschnitt muss auf Ebene der Fachverantwortlichen abgestimmt werden.

Im Grunde besteht der Prozess Rollen verwalten aus zwei Ebenen. Die Ebene der Fachverantwortlichen definiert die Rollen und die administrative Ebene legt Berechtigungsprofile für diese Rollen an, ändert und löscht sie.

Der Prozess Richtlinien verwalten gibt Regeln für die Rollenbildung vor. Zwischen dem Prozess Identitätsprofile verwalten und dem Prozess Rollen verwalten erfolgt der Vergleich der Aufgabenprofile von Mitarbeitern und den tatsächlich zugeordneten Rollen (Soll-Ist-Abgleich). Im Prozess Benutzer verwalten wird die Zuordnung von Rollen zu Mitarbeitern angelegt, gelöscht oder geändert. Im Prozess Rollen verwalten werden Einzelberechtigungen zu einem Berechtigungsprofil für ein Benutzerkonto in der Kontenverwaltung zusammengefasst. Der Prozess Sicherheit der Profile analysieren untersucht die Rollen und klassifiziert den jeweiligen Bedarf an Sicherheit.

Eine Rolle kann wie folgt aufgebaut sein:

Prozess Benutzerkennungen verwalten

Der Prozess Benutzerkennungen verwalten beschreibt den operativen Anteil der Prozesse innerhalb des Identitäts- und Berechtigungsmanagements und umfasst das Anlegen, das Löschen und das Ändern von Benutzerkennungen, Initialpasswörtern und Berechtigungen. Generische Vorgänge sind z. B.:

  • Neue Mitarbeiter,
  • Anlage neuer Benutzerkennungen,
  • Weggang von Mitarbeitern,
  • Veränderung von Aufgaben,
  • Kennungen bei längeren Abwesenheiten sperren,
  • Löschen der Benutzerkennung.

Im Rahmen des Vorgangs "Neue Mitarbeiter" muss eine Benutzerkennung erstellt werden, ein Initialpasswort vergeben werden, Mitarbeiterstammdaten erfasst, die Zuordnung zur Organisationseinheit erfolgen sowie Rollen und Berechtigungen zugewiesen werden. Eine Neuanlage erfolgt auch zur Schaffung zusätzlicher Benutzerkennungen.

Der Vorgang "Weggang von Mitarbeitern" umfasst das vollständige Löschen aller Rollenzuordnungen und Berechtigungen für den jeweiligen Mitarbeiter sowie, falls erforderlich, die Rückgabe von Authentisierungstoken.

Der Vorgang "Veränderung von Aufgaben" umfasst den Wechsel einer Organisationseinheit, den Ein- und Austritt in Projekten und andere Aufgabenänderungen mit dem jeweiligen Datum. Es kann erforderlich sein, dass einige Berechtigungen vor oder nach der erfolgten Aufgabenänderung zugewiesen werden.

Der Vorgang "Kennungen sperren bei längeren Abwesenheiten" erfolgt bei längerer Abwesenheit von Mitarbeitern, z. B. bei Erziehungsurlaub oder Reha-Maßnahmen. Die Berechtigungen bleiben während des Zeitraums erhalten.

Der Vorgang "Löschen der Benutzerkennung" enthält das vollständige Löschen der Benutzerkennung einschließlich aller Stammdaten und Berechtigungen.

Jede Benutzerkennung muss eindeutig einem Mitarbeiter als Besitzer zugeordnet sein. Bei Gruppen- und Systemkennungen muss mindestens eine Person als verantwortlich benannt werden.

Mitarbeiter können mehrere Benutzerkennungen haben. Es ist zu klären, ob

  • die Benutzerkennungen getrennt geführt werden,
  • die Benutzerkennungen getrennt geführt, aber verkettet werden, oder
  • die Benutzerkennungen zusammengeführt werden sollen.

Auf jeden Fall ist es zweckmäßig, automatisch zu prüfen, ob es Doppeleinträge (Dubletten) gibt. Solche Einträge führen zu Intransparenz im Identitäts- und Berechtigungsmanagement.

Die folgende Abbildung zeigt den Prozess Benutzerkennungen verwalten mit den entsprechenden Schnittstellen.

Im Prozess Benutzerprofile verwalten erfolgt das Mapping zwischen den Aufgaben eines Mitarbeiters und den entsprechenden Rollen und Berechtigungen. Der Prozess Benutzerkennungen verwalten führt die logische Zuordnung der Berechtigungen zu einer Aufgabe innerhalb der IT -Systeme durch. Der Prozess Richtlinien verwalten gibt die Rahmenbedingungen vor, wie die Zuordnung der Berechtigungen in den IT -Systemen erfolgt. Zum Abschluss des Prozesses Benutzerkennungen verwalten liegt eine eingerichtete oder veränderte Benutzerkennung inklusive der entsprechenden Berechtigungen vor.

Unterstützende Prozesse

Der Prozess Benutzerkennungen verwalten beschreibt die unterstützenden Abläufe zur Durchführung des Prozesses Benutzerkennungen verwalten. Damit werden insbesondere die IT -nahen Aktivitäten erfasst.

Der Prozess Benutzerkennungen verwalten umfasst die folgende Subprozesse:

  • Dokumentation Benutzerkennungen anlegen, ändern, sperren und löschen,
  • Passwörter zurücksetzen, Benutzerkennungen entsperren,
  • Benutzerkennungen /Protokoll-Dateien auditieren.

Dokumentation Benutzerkennungen anlegen, ändern, sperren und löschen:

Einzelberechtigungen und Benutzerkennungen dürfen nur angelegt, gelöscht und geändert werden, wenn es dazu einen legitimierten Antrag gibt. Dies ist zu dokumentieren.

Bei einer manuellen Administration sollen mindestens zwei Verantwortliche die Aufgaben innerhalb des Prozesses durchführen können und sich damit gegenseitig unterstützen und kontrollieren.

Passwörter zurücksetzen, Benutzerkennungen entsperren:

Dieser Subprozess umfasst die Tätigkeiten Passwort zurücksetzen, Benutzerkennungen entsperren sowie die vertrauliche Übermittlung des Benutzernamens und des Passwortes an den Benutzer. Es muss sichergestellt sein, dass nur die berechtigten Benutzer ihre Passwörter zurücksetzen oder die Anpassung eines Authentikationsmittels anfordern können.

Benutzerkennungen prüfen / Protokolldateien auditieren:

Die Zulässigkeit von Berechtigungen einzelner Benutzerkennungen sollte regelmäßig überprüft werden, der begleitende Subprozess Dokumentation Benutzerkennungen anlegen, ändern, sperren und löschen bietet die notwendigen Informationen.

Es gehört zu einem sicheren Identitäts- und Berechtigungsmanagement, die Zugriffsprotokolle regelmäßig auszuwerten. Es ist zu untersuchen, ob nur zugelassene Kennungen in einem System aktiv sind. Helfen können dabei automatische Vergleiche zwischen den aktiven Benutzerkennungen und den genehmigten Benutzerkennungen. Bei Bedarf können weitere Aspekte analysiert werden. Bei Verdacht auf einen Sicherheitsvorfall ist eine systematische Auswertung erforderlich.

Sofern Mitarbeiter berechtigt sind, Stammdaten und Passwörter eigenständig zu bearbeiten, muss sichergestellt werden, dass sie nur auf die eigenen Daten zugreifen können.

Prozess Analyse von Identitäten und Berechtigungen

Für Neueinrichtungen oder Änderungen von Identitäten, Benutzerprofilen und Rollen muss das angestrebte Sicherheitsniveau berücksichtigt werden. Es sollte eine festgelegte Vorgehensweise für Neueinrichtungen, Veränderungen und Rücknahme von Identitäten, Berechtigungsprofilen und Rollen geben, die auf den Sicherheitsbedarf der Informationen ausgerichtet ist. Je größer eine Institution ist, desto mehr Identitäten, Benutzerprofile und Rollen sind zu verwalten und desto wichtiger ist eine nachvollziehbare, formale Vorgehensweise.

Im Prozess werden folgende Informationsquellen untersucht:

  • Rollen aus dem Prozess Rollen verwalten
  • Berechtigungsprofile aus dem Prozess Berechtigungsprofile verwalten
  • Identitätsprofile aus dem Prozess Identitätsprofile verwalten

Die Ergebnisse werden den Quellprozessen zur Weiterverarbeitung übergeben.

Als Ergebnis des Prozesses Analyse von Identitäten und Berechtigungen wird geregelt, wer welche Informationen und IT -Anwendungen in welchem Umfang nutzen darf, z. B. können Berechtigungen auf mehrere Benutzerkennungen verteilt werden (siehe hierzu M 2.5 Aufgabenverteilung und Funktionstrennung ). Um entscheiden zu können, ob die vorgefundenen oder zu vergebenden Berechtigungen für das angestrebte Sicherheitsniveau angemessen sind, müssen alle Informationen, IT -Systeme und Dienstleistungen entsprechend von den Fachverantwortlichen analysiert werden (siehe M 2.217 Sorgfältige Einstufung und Umgang mit Informationen, Anwendungen und Systemen ).

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK