Einrichtung und Lรถschung von Benutzern & Benutzergruppen: ORP 4. A1
Der BSI-IT-Grundschutz beschreibt Maรnahmenempfehlungen im Umgang mit Zugriffsberechtigungen, die Unternehmen einhalten sollten, um den normalen Schutzbedarf ihrer Anwendungen und Systeme zu gewรคhrleisten. Mit der Maรnahme ORP 4. A7, der Vergabe von Zugriffsrechten, haben wir uns bereits an anderer Stelle beschรคftigt.
Heute schauen wir uns an, welche Maรnahmen das Bundesamt fรผr Sicherheit in der Informationstechnik in Bezug auf die Regelung fรผr die Einrichtung und Lรถschung von Benutzern bzw. Benutzergruppen (ORP 4. A1) empfiehlt, und wie Sie diese Empfehlungen mit tenfold umsetzen kรถnnen.
Einrichten & Lรถschen von Benutzern u. Benutzergruppen โ ORP 4. A1
Die Maรnahmenempfehlung ORP 4. A1 (Regelung fรผr die Einrichtung und Lรถschung von Benutzern und Benutzergruppen) lรถst die Maรnahme M. 2.30 der vorherigen Version des BSI-Grundschutz-Kompendiums ab. Die Maรnahme ORP. 4 A1 ist Teil des zweiten Themenbereichs (ORP: Organisation und Personal) des BSI-Kompendiums 2022 und befindet sich in Baustein ORP. 4 (Identitรคts- und Berechtigungsmanagement).
Der BSI-IT-Grundschutz ist eine Sammlung von Standards fรผr das IT-Sicherheitsmanagement in Unternehmen und รถffentlichen Einrichtungen. Der umfangreiche Maรnahmenkatalog umfasst technische, infrastrukturelle, organisatorische und personelle Empfehlungen.
Wir haben alle Maรnahmen, die den Bereich Identitรคts- und Berechtigungsmanagement (ORP. 4) betreffen, fรผr Sie zusammengefasst und auf ihre Umsetzbarkeit in tenfold geprรผft.
Benutzer/Benutzergruppen Einrichten u. Lรถschen nach BSI
Die Maรnahme ORP 4. A1 des BSI-Grundschutz-Kompendiums besagt folgendes:
โEs MUSS geregelt werden, wie Benutzerkennungen und Benutzergruppen einzurichten und zu lรถschen sind. Jede Benutzerkennung MUSS eindeutig einem Benutzer zugeordnet werden kรถnnen. Benutzerkennungen, die lรคngere Zeit inaktiv sind, SOLLTEN deaktiviert werden.
Alle Benutzer und Benutzergruppen DรRFEN NUR รผber separate administrative Rollen eingerichtet und gelรถscht werden. Nicht benรถtigte Benutzerkennungen, wie z.B. standardmรครig eingerichtete Gastkonten oder Standard-Administratorkennungen, MรSSEN geeignet deaktiviert oder gelรถscht werden.โ
Was bedeutet das?
Die Maรnahme ORP 4. A1 beschreibt, dass das Einrichten und das Lรถschen von Benutzern und Benutzergruppen einer geregelten Verfahrensweise folgen muss. Darรผber hinaus ist bei der Anlage darauf zu achten, dass:
der Benutzerย eindeutig zu identifizierenย ist,
dass er einem oder mehrerenย Benutzerprofilenย zugeordnet ist, und dass
Benutzer und Benutzergruppen รผberย separate administrative Rollenย eingerichtet (und gelรถscht) werden.
Darรผber hinaus empfiehlt das BSI, Benutzererkennungen sowie Gastkonten oder Standard-Administratorkennungen, die รผber lรคngere Zeit inaktiv sind oder nicht mehr benรถtigt werden, zu deaktivieren oder zu lรถschen.
Lรถsung in tenfold
Mitarbeiter werden in tenfold erfasst und รผber ihr tenfold-Benutzerkonto eindeutig identifiziert. Der Datensatz fรผr einen Mitarbeiter umfasst einen konfigurierbaren Umfang an Attributen. Darรผber hinaus kann tenfold diese Attribute auch automatisch aus anderen Systemen รผbernehmen (z.B. aus der HR-Software).
tenfold arbeitet mit rollenbasierter Berechtigungsvergabe. Das bedeutet, dass wir die Zuordnung der Profile (= Rollen) auf Wunsch automatisch รผber die Organisationseinheit der Mitarbeiter abbilden kรถnnen.
Was macht tenfold zur besten IAM Software fรผr mittelstรคndische Organisationen?
Automatisierte Berechtigungsvergabe
Diese Art derย Benutzerverwaltungย ist sowohlย zeitsparendย als auchย effizient, weil sie es der Software ermรถglicht,ย Standardrechteย automatisch auf Basis der jeweiligen Rolleย zuzuteilen.ย Berechtigungen, dieย nichtย zum rollenbasierten Standard-Setย gehรถren, kรถnnen Mitarbeiter รผberย Self-Service anfordern. Diese werden anschlieรend in einemย Genehmigungsworkflowย vom zustรคndigen Dateneigentรผmerย freigegeben.
Das tenfold User Lifeycycle Management sorgt dafรผr, dass nicht mehr benรถtigte Benutzerkonten automatisch deaktiviert bzw. gelรถscht werden.
Berechtigungsmanagement im BSI-Grundschutz
Einrichtung, รnderung und Entzug von Berechtigungen (ORP 4. A2)
Dokumentation der Benutzerkennungen und Rechteprofile (ORP 4. A3)
Vergabe von Zugriffsrechten (ORP 4. A7)
Richtlinien fรผr die Zugriffs- und Zugangskontrolle (ORP 4. A16)
Geeignete Auswahl von Identitรคts- und Berechtigungsmanagement-Systemen (ORP 4. A17)
Geregelte Verfahrensweise beim Weggang von Mitarbeitern (ORP 2. A2)
Festlegung von Regelungen fรผr den Einsatz von Fremdpersonal (ORP 2. A4)