Einrichtung und Löschung von Benutzern & Benutzergruppen: ORP 4. A1

Der BSI-IT-Grundschutz beschreibt Maßnahmenempfehlungen im Umgang mit Zugriffsberechtigungen, die Unternehmen einhalten sollten, um den normalen Schutzbedarf ihrer Anwendungen und Systeme zu gewährleisten. Mit der Maßnahme ORP 4. A7, der Vergabe von Zugriffsrechten, haben wir uns bereits an anderer Stelle beschäftigt.

Heute schauen wir uns an, welche Maßnahmen das Bundesamt für Sicherheit in der Informationstechnik in Bezug auf die Regelung für die Einrichtung und Löschung von Benutzern bzw. Benutzergruppen (ORP 4. A1) empfiehlt, und wie Sie diese Empfehlungen mit tenfold umsetzen können.

Einrichten & Löschen von Benutzern u. Benutzergruppen – ORP 4. A1

Die Maßnahmenempfehlung ORP 4. A1 (Regelung für die Einrichtung und Löschung von Benutzern und Benutzergruppen) löst die Maßnahme M. 2.30 der vorherigen Version des BSI-Grundschutz-Kompendiums ab. Die Maßnahme ORP. 4 A1 ist Teil des zweiten Themenbereichs (ORP: Organisation und Personal) des BSI-Kompendiums 2022 und befindet sich in Baustein ORP. 4 (Identitäts- und Berechtigungsmanagement).

Der BSI-IT-Grundschutz ist eine Sammlung von Standards für das IT-Sicherheitsmanagement in Unternehmen und öffentlichen Einrichtungen. Der umfangreiche Maßnahmenkatalog umfasst technische, infrastrukturelle, organisatorische und personelle Empfehlungen.

Wir haben alle Maßnahmen, die den Bereich Identitäts- und Berechtigungsmanagement (ORP. 4) betreffen, für Sie zusammengefasst und auf ihre Umsetzbarkeit in tenfold geprüft.

Benutzer/Benutzergruppen Einrichten u. Löschen nach BSI

Die Maßnahme ORP 4. A1 des BSI-Grundschutz-Kompendiums besagt folgendes:

“Es MUSS geregelt werden, wie Benutzerkennungen und Benutzergruppen einzurichten und zu löschen sind. Jede Benutzerkennung MUSS eindeutig einem Benutzer zugeordnet werden können. Benutzerkennungen, die längere Zeit inaktiv sind, SOLLTEN deaktiviert werden.

Alle Benutzer und Benutzergruppen DÜRFEN NUR über separate administrative Rollen eingerichtet und gelöscht werden. Nicht benötigte Benutzerkennungen, wie z.B. standardmäßig eingerichtete Gastkonten oder Standard-Administratorkennungen, MÜSSEN geeignet deaktiviert oder gelöscht werden.”

Was bedeutet das?

Die Maßnahme ORP 4. A1 beschreibt, dass das Einrichten und das Löschen von Benutzern und Benutzergruppen einer geregelten Verfahrensweise folgen muss. Darüber hinaus ist bei der Anlage darauf zu achten, dass:

  • der Benutzer eindeutig zu identifizieren ist,

  • dass er einem oder mehreren Benutzerprofilen zugeordnet ist, und dass

  • Benutzer und Benutzergruppen über separate administrative Rollen eingerichtet (und gelöscht) werden.

Darüber hinaus empfiehlt das BSI, Benutzererkennungen sowie Gastkonten oder Standard-Administratorkennungen, die über längere Zeit inaktiv sind oder nicht mehr benötigt werden, zu deaktivieren oder zu löschen.

Lösung in tenfold

Mitarbeiter werden in tenfold erfasst und über ihr tenfold-Benutzerkonto eindeutig identifiziert. Der Datensatz für einen Mitarbeiter umfasst einen konfigurierbaren Umfang an Attributen. Darüber hinaus kann tenfold diese Attribute auch automatisch aus anderen Systemen übernehmen (z.B. aus der HR-Software).

tenfold arbeitet mit rollenbasierter Berechtigungsvergabe. Das bedeutet, dass wir die Zuordnung der Profile (= Rollen) auf Wunsch automatisch über die Organisationseinheit der Mitarbeiter abbilden können.

Warum tenfold?

Was macht tenfold zur besten IAM Software für mittelständische Organisationen?

Automatisierte Berechtigungsvergabe

Diese Art der Benutzerverwaltung ist sowohl zeitsparend als auch effizient, weil sie es der Software ermöglicht, Standardrechte automatisch auf Basis der jeweiligen Rolle zuzuteilen. Berechtigungen, die nicht zum rollenbasierten Standard-Set gehören, können Mitarbeiter über Self-Service anfordern. Diese werden anschließend in einem Genehmigungsworkflow vom zuständigen Dateneigentümer freigegeben.

Das tenfold User Lifeycycle Management sorgt dafür, dass nicht mehr benötigte Benutzerkonten automatisch deaktiviert bzw. gelöscht werden.

Berechtigungsmanagement im BSI-Grundschutz

Einrichtung, Änderung und Entzug von Berechtigungen (ORP 4. A2)

Dokumentation der Benutzerkennungen und Rechteprofile (ORP 4. A3)

Vergabe von Zugriffsrechten (ORP 4. A7)

Richtlinien für die Zugriffs- und Zugangskontrolle (ORP 4. A16)

Geeignete Auswahl von Identitäts- und Berechtigungsmanagement-Systemen (ORP 4. A17)

Geregelte Verfahrensweise beim Weggang von Mitarbeitern (ORP 2. A2)

Festlegung von Regelungen für den Einsatz von Fremdpersonal (ORP 2. A4)

Verfasst von: Helmut Semmelmayer

Helmut Semmelmayer ist seit 2012 als VP Revenue Operations beim Software-Hersteller tenfold tätig. Er ist damit für den Partnervertrieb und das Produktmarketing verantwortlich und schreibt in diesem Blog regelmäßig themenbezogene Beiträge aus dem Bereich Identity & Access Management.