Bundesamt für Sicherheit in der Informationstechnik

M 4.500 Sicherer Einsatz von Systemen für Identitäts- und Berechtigungsmanagement

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Leiter IT

Systeme für Identitäts- und Berechtigungsmanagement sind integrierte IT -Systeme, mit denen planmäßig und zielgerichtet die digitalen Identitäten für alle Systeme in einer IT -Infrastruktur weitgehend automatisiert werden können. Ein solches System sollte prozessual alle Vorgänge abdecken, die mit dem Anlegen, dem Löschen und dem Ändern von Berechtigungen und Benutzerkennungen zu tun haben. Dazu gehören:

  • Identitätsverwaltung
  • Rollenverwaltung
  • Verwaltung und Pflege von Benutzerkennungen und -berechtigungen: anlegen, ändern und löschen
  • Richtlinienverwaltung

Technisch gesehen besteht ein Identitäts- und Berechtigungsmanagement-System aus einer Datenhaltungskomponente (Datenbank), einem Workflow (Berechtigungsfreigabe etc. ) und einer Schnittstellenlösung (Verzeichnisdienste etc. ), um Berechtigungen einzustellen. Die einzelnen Komponenten müssen ausreichend abgesichert sein, siehe hierzu die spezifischen Bausteine, z. B. B 1.15 Löschen und Vernichten von Daten ).

Ein Identitäts- und Berechtigungsmanagement-System kann unterschiedlich aufgebaut sein, beispielsweise

  • zentral (alle Identitäten an einem Ort konzentriert)
  • föderativ (dezentrale Verteilung von Identitäten über die Grenzen der Institution hinaus)

Um den Administrations- und Pflegeaufwand zu reduzieren, sind geeignete Benutzer- und Rechtemanagement-Werkzeuge hilfreich. Zudem sind für die Einrichtung von Berechtigungen automatisierte Antrags- und Vergabeverfahren empfehlenswert, da hierbei häufig viele Genehmigungsschritte zu durchlaufen sind, die zusammengetragen und verfolgt werden müssen.

Zentrale Werkzeuge zum Identitäts- und Berechtigungsmanagement sind ein beliebtes Angriffsziel, da durch eine Manipulation hier der Zugriff auf viele Systeme und Informationen möglich wäre. Oft sind Werkzeuge zum Identitäts- und Berechtigungsmanagement auch so komplex, dass ein erfolgreicher Angriff nur schwer entdeckt werden kann. Daher ist es wichtig Regeln festzulegen, nach denen bei einem echten oder vermuteten Angriff zu verfahren ist (siehe hierzu B 1.8 Behandlung von Sicherheitsvorfällen ). Bei zentralen Identitäts- und Berechtigungsmanagement-Systemen, bei denen ein permanenter Zugriff für die Berechtigungsprüfung notwendig ist, sind außerdem Maßnahmen zum Notfallmanagement zu ergreifen (siehe M 6.166 Notfallvorsorge beim Identitäts- und Berechtigungsmanagement-System ).

Prüffragen:

  • Sind geeignete Werkzeuge für das Identitäts- und Berechtigungsmanagement-System vorhanden?

  • Ist das Identitäts- und Berechtigungsmanagement-System ausreichend vor Angriffen geschützt?

Stand: 15. EL Stand 2016