Bundesamt für Sicherheit in der Informationstechnik

M 4.499 Geeignete Auswahl von Identitäts- und Berechtigungsmanagement-Systemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Leiter IT, IT-Sicherheitsbeauftragter, Beschaffungsstelle

Bei der Auswahl geeigneter Lösungen für das Identitäts- und Berechtigungsmanagement spielen nicht nur technische Fragen eine Rolle. In der Praxis hat sich gezeigt, dass hierbei organisatorische Aspekte wesentliche Erfolgsfaktoren sind. Ein Identitäts- und Berechtigungsmanagement-System muss in erster Linie auf die Institution und deren jeweilige Geschäftsprozesse, Organisationsstrukturen und Abläufe sowie deren Schutzbedarf passen und erst in zweiter Linie in die vorhandene Infrastruktur eingebunden werden. Es muss die in der Institution vorhandenen Vorgaben zum Umgang mit Identitäten und Berechtigungen abbilden können. Dazu gehören beispielsweise die Anforderungen aus M 2.220 Richtlinien für die Zugriffs- bzw. Zugangskontrolle .

Identitäts- und Berechtigungsmanagement-Systeme sind komplexe Systeme, deren Einführung sehr viel Wissen über Technik, Geschäftsprozesse und Berechtigungsmodelle benötigt, so dass es häufig erforderlich ist, mit externen Beratern zusammenzuarbeiten. Die Anbindung der verschiedenen IT -Systeme kann durch unterschiedliche technische Ansätze erfolgen, z. B. mit Verzeichnisdiensten. Eine technologische Anforderung ist es, die unterschiedliche Berechtigungsverwaltung heterogener Anwendungen zentral zu integrieren.

Zu klären sind u.a. folgende Punkte:

  • Soll eine zentrale oder dezentrale Lösung eingesetzt werden?
  • Soll ein Single-Sign-On-Verfahren genutzt werden?
  • Soll die Authentikation über Besitz, Wissen und/oder biometrische Eigenschaften erfolgen?
  • Soll bei einer zentralen Lösung (Reduced Sign-On) die Anwendung auf Synchronisation oder einem zentralem Datenbank-Abgleich basieren?
  • Welche Schnittstellen zur Anbindung von IT -Systemen mit dem Identitäts- und Berechtigungsmanagement-System werden benötigt?

Mit einer Einführung eines Identitäts- und Berechtigungsmanagement-Systems entsteht schnell der Wunsch, dass sich Benutzer nicht an jedem IT -System mit einem anderen Passwort anmelden müssen. Vielmehr möchten sich die Benutzer auch bei großen heterogen Netzen nur am ersten benutzten IT -System authentisieren müssen. Ein solches Verfahren, dass "Single-Sign-On" genannt wird, reicht die Authentisierungsinformationen dann an alle weiteren IT -Systeme weiter.

Aus der Praxis hat es sich bewährt, zunächst einmal ein Reduced-Sign-On anzustreben, also die Anzahl der Anmeldevorgänge je Benutzer zu reduzieren. Bereits dadurch können Benutzer, aber auch die Administratoren deutlich entlastet werden.

Es gibt eine Vielzahl verschiedener Mechanismen zur Identifikation ebenso wie zur Authentikation. Bei der Auswahl geeigneter Mechanismen sollte der Schutzbedarf der damit geschützten Informationen und Geschäftsprozesse im Vordergrund stehen (siehe auch M 4.133 Geeignete Auswahl von Authentikationsmechanismen).

Für eine geeignete Auswahl eines Identitäts- und Berechtigungsmanagement-Systems sind aus den konkreten Anforderungen der Institution Auswahlkriterien abzuleiten (siehe hierzu auch die Maßnahmen M 4.133 Geeignete Auswahl von Authentikationsmechanismen , M 4.500 Sicherer Einsatz von Systemen für Identitäts- und Berechtigungsmanagement , M 2.555 Entwicklung eines Authentisierungskonzeptes für Anwendungen und M 4.498 Sicherer Einsatz von Single-Sign-On Sicherer Einsatz von Single-Sign-On).

Im Folgenden sind einige Auswahlkriterien für ein Identitäts- und Berechtigungsmanagement-System beispielhaft aufgelistet:

  • Kann der Grundsatz der Funktionstrennung realisiert werden (M 2.5 Aufgabenverteilung und Funktionstrennung )?
  • Interoperabilität: Ist das Identitäts- und Berechtigungsmanagement-System in der Lage, die unterschiedliche Berechtigungsverwaltung heterogener Anwendungen zentral zu integrieren?
  • Unterstützt die Anwendung den Einsatz der geplanten Authentisierungsfaktoren Wissen, Besitz bzw. Biometrie?
  • Ist eine Skalierung der Authentisierungsanforderungen je nach Schutzbedarf möglich?
  • Sind durchgängige Rechteänderungen bis hin zum Rechteentzug kurzfristig möglich, wenn diese akut benötigt wird (z. B. Mitarbeiter wird fristlos freigesetzt)?
  • Werden Authentisierungsdaten bei Speicherung und Verarbeitung ausreichend geschützt (nicht als Klartext, sondern stets verschlüsselt gespeichert bzw. übertragen)?
  • Entsprechen die im Identitäts- und Berechtigungsmanagement-System vorhandenen kryptographischen Funktionen dem Schutzbedarf und besitzen sie eine ausreichende Mechanismenstärke (siehe auch M 2.164 Auswahl eines geeigneten kryptographischen Verfahrens )?
  • Werden die Authentisierungsdaten sicher verwaltet? Ist sichergestellt, dass beispielsweise Passwörter nie unverschlüsselt auf den entsprechenden IT -Systemen gespeichert werden?
  • Wie schnell können die Identitäten, Berechtigungen oder Passwörter geändert werden, z. B. bei Verdacht auf Kompromittierung?
  • Kann die Reaktion auf fehlerhafte Authentisierungsversuche entsprechend der Sicherheitsvorgaben eingerichtet werden?
  • Lassen sich die sicherheitskritischen Parameter wie Authentisierungsanforderungen entsprechend der Sicherheitsvorgaben konfigurieren?
  • Lassen sich auf dem Identitäts- und Berechtigungsmanagement-System differenzierte Rechtestrukturen in zugewiesenen Bereichen für das Verwaltungspersonal einrichten (lesen, schreiben, ausführen, ändern)? Werden die für die Rechteverwaltung relevanten Daten manipulationssicher vom Produkt gespeichert?
  • Verfügt das Identitäts- und Berechtigungsmanagement-System über eine angemessene Protokollierung? Ist sichergestellt, dass die Protokollierung von Unberechtigten nicht deaktiviert werden kann? Sind die Protokolle selbst für Unberechtigte weder lesbar noch modifizierbar? Ist die Protokollierung übersichtlich, vollständig und korrekt?
  • Verfügt das Identitäts- und Berechtigungsmanagement-System über eine übersichtliche und einfach nutzbare Protokollauswertung?

Prüffragen:

  • Ist das ausgewählte Identitäts- und Berechtigungsmanagement-System geeignet, den Grundsatz der Funktionstrennung zu realisieren?

  • Werden die Anforderungen aus der Kriterienliste durch das ausgewählte Identitäts- und Berechtigungsmanagement-System abgedeckt?

Stand: 15. EL Stand 2016