Bundesamt für Sicherheit in der Informationstechnik

M 3.63 Schulung der Benutzer zur Authentisierung mit Hilfe von Verzeichnisdiensten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Leiter IT, Vorgesetzte

Die Authentisierung ist ein wesentlicher Aspekt beim sicheren Betrieb von Verzeichnisdiensten. Dabei sollte sich sowohl der Client gegenüber dem Verzeichnisdienst-System authentisieren, als auch der Benutzer gegenüber dem Client. In manchen Einsatzszenarien für Verzeichnisdienste sollten sich auch der Client gegenüber dem Benutzer und der Server gegenüber dem Client authentisieren, um eine gemeinsame Vertrauensstellung zu gewährleisten. War die Authentisierung erfolgreich, so erhält der Benutzer einen automatisierten Zugriff auf sämtliche für ihn zugängliche Objekte und Services (so genannte Background Authentication). Auf diese Weise wird beispielsweise ein Single Sign-On realisiert.

Da Single-Sign-On (SSO) auf Basis eines Verzeichnisdienstes überwiegend in Verbindung mit Token, Chipkarten, Magnetstreifenkarten oder Systemen zur Fingerabdruck-, Iris- oder Gesichtserkennung realisiert werden, sollen nachfolgende Stichpunkte einen Überblick über notwendige Schulungsinhalte aufzeigen.

Nachfolgende Stichpunkte fassen notwendige Schulungsinhalte für Benutzer zusammen, welche in Hinblick auf einer sicheren Authentisierung mit Hilfe von Verzeichnisdiensten adressiert werden sollten:

  • Einführung in die Sicherheitsthematik "Identifizierung und Authentisierung ", Erläuterungen von Begriffsdefinition wie Wissen, Besitz und Eigenschaft
  • Sensibilisierung der Benutzer zum Umgang mit Authentisierungsmerkmalen, z. B. Passwörtern und PINs
  • Korrekter Einsatz eventuell anderer vorhandener Möglichkeiten zur Authentisierung wie Token, Chipkarten, Magnetstreifenkarten oder biometrischer Verfahren zur Authentisierung wie Fingerabdruckerkennung, Iriserkennung, Gesichtserkennung, etc.
  • Umgang mit den Lese- oder Erkennungsgeräten, z. B. Erkennen von sicherheitstechnischen Veränderungen an einem Chipkarten-Lesegerät
  • Allgemeine Aspekte und Hinweise zum Berechtigungsmanagement
  • Übersicht möglicher Endanwender-Privilegien
  • Allgemeine datenschutzrechtliche Aspekte beim Einsatz von Verzeichnisdiensten (z. B. Problemdarstellung Datenschutz, Veröffentlichung von Klarnamen, Rechtliche Einordnung von Verzeichnisdiensten, Beschäftigtendaten in Verzeichnisdiensten)
  • Anforderungen an die Einsatzumgebung des eingesetzten Verzeichnisdienst-Produktes, wie beispielsweise die Benutzer- Arbeitsplätze
  • Übersicht der Sicherheitsfunktionalitäten des eingesetzten Verzeichnisdienst-Produktes
  • Übersicht zu Benutzerverantwortlichkeiten, welche für den sicheren Betrieb eines Verzeichnisdienst-Produktes erforderlich sind
  • Übersicht möglicher Fehlermeldungen, welche für den Endanwender von Bedeutung sind

Dabei sollten auch die Ansprechpartner zu Fragen rund um Verzeichnisdienste in der Institution vorgestellt werden. Die Benutzer sollten außerdem über die Möglichkeiten zur Einsichtnahme und Korrektur eines Verzeichnisdiensteintrages informiert werden.

Prüffragen:

  • Wurde eine Benutzerschulung zum Verzeichnisdienst durchgeführt?

Stand: 13. EL Stand 2013