Bundesamt für Sicherheit in der Informationstechnik

M 3.10 Auswahl eines vertrauenswürdigen Administrators und Vertreters

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT, Leiter Personal

Verantwortlich für Umsetzung: Leiter IT, Leiter Personal

Den IT -System- oder TK -Anlagen-Administratoren und deren Vertretern muss vom Betreiber großes Vertrauen entgegengebracht werden können. Sie haben - in Abhängigkeit vom eingesetzten System - weitgehende und oftmals alle Befugnisse. Administratoren und ihre Vertreter sind in der Lage, auf alle gespeicherten Daten zuzugreifen, gegebenenfalls zu verändern und Berechtigungen so zu vergeben, dass erheblicher Missbrauch möglich wäre.

Administratoren für IT-Systeme und deren Vertreter müssen sorgfältig ausgewählt werden. Sie müssen regelmäßig darüber belehrt werden, dass die Befugnisse nur für die erforderlichen Administrationsaufgaben verwendet werden dürfen.

Da der Administrator hinsichtlich der Funktionsfähigkeit der eingesetzten Hard- und Software eine Schlüsselrolle inne hat, muss auch bei seinem Ausfall die Weiterführung seiner Tätigkeiten gewährleistet sein. Hierzu müssen die benannten Vertreter über den aktuellen Stand der Systemkonfiguration verfügen sowie Zugriff auf die für die Administration benötigten Passwörter, Schlüssel und Sicherheitstoken haben.

Hat ein Unternehmen oder eine Behörde mehrere Administratoren mit vergleichbaren IT-Systemkenntnissen, so können sich diese auch wechselseitig vertreten, wenn diese dafür noch freie Kapazitäten haben. In allen Bereichen, in denen nur ein Administrator hauptverantwortlich IT-Systeme betreut, sollten zwei Stellvertreter eingearbeitet werden, da bei längerer Abwesenheit des Administrators erfahrungsgemäß auch der Stellvertreter zeitweise nicht für Administrationsaufgaben zur Verfügung steht.

Um die Funktionsfähigkeit des IT-Betriebs zu gewährleisten, muss insbesondere bei bevorstehenden Personalveränderungen oder Veränderungen der Organisationsstruktur geprüft werden, ob die erforderlichen Administrationstätigkeiten auch durch die benannten Administratoren und deren Vertreter bewältigt werden können.

Insbesondere bei bevorstehenden Umzügen kann es durch Administrationsaufgaben an einem weiteren Standort zu einem erheblichen höheren Arbeitsaufkommen des Administrators kommen. Auch in solchen Fällen muss sichergestellt sein, dass der Produktionsbetrieb am bisherigen Standort bis zum Zeitpunkt des Umzugs nicht beeinträchtigt wird.

Prüffragen:

  • Werden Administratoren für IT -Systeme und deren Vertreter sorgfältig ausgewählt?

  • Haben die Vertreter die notwendigen Kenntnisse für die Administration der IT -Systeme?

  • Bei bevorstehenden Veränderungen: Wird geprüft, ob ausreichende Ressourcen für die erforderlichen Administrationstätigkeiten bereitstehen?

Stand: 13. EL Stand 2013