Einrichtung und Lรถschung von Benutzern & Benutzergruppen: ORP 4. A1

Der BSI-IT-Grundschutz beschreibt MaรŸnahmenempfehlungen im Umgang mit Zugriffsberechtigungen, die Unternehmen einhalten sollten, um den normalen Schutzbedarf ihrer Anwendungen und Systeme zu gewรคhrleisten. Mit der MaรŸnahme ORP 4. A7, der Vergabe von Zugriffsrechten, haben wir uns bereits an anderer Stelle beschรคftigt.

Heute schauen wir uns an, welche MaรŸnahmen das Bundesamt fรผr Sicherheit in der Informationstechnik in Bezug auf die Regelung fรผr die Einrichtung und Lรถschung von Benutzern bzw. Benutzergruppen (ORP 4. A1) empfiehlt, und wie Sie diese Empfehlungen mit tenfold umsetzen kรถnnen.

Einrichten & Lรถschen von Benutzern u. Benutzergruppen โ€“ ORP 4. A1

Die MaรŸnahmenempfehlung ORP 4. A1 (Regelung fรผr die Einrichtung und Lรถschung von Benutzern und Benutzergruppen) lรถst die MaรŸnahme M. 2.30 der vorherigen Version des BSI-Grundschutz-Kompendiums ab. Die MaรŸnahme ORP. 4 A1 ist Teil des zweiten Themenbereichs (ORP: Organisation und Personal) des BSI-Kompendiums 2022 und befindet sich in Baustein ORP. 4 (Identitรคts- und Berechtigungsmanagement).

Der BSI-IT-Grundschutz ist eine Sammlung von Standards fรผr das IT-Sicherheitsmanagement in Unternehmen und รถffentlichen Einrichtungen. Der umfangreiche MaรŸnahmenkatalog umfasst technische, infrastrukturelle, organisatorische und personelle Empfehlungen.

Wir haben alle MaรŸnahmen, die den Bereich Identitรคts- und Berechtigungsmanagement (ORP. 4) betreffen, fรผr Sie zusammengefasst und auf ihre Umsetzbarkeit in tenfold geprรผft.

Benutzer/Benutzergruppen Einrichten u. Lรถschen nach BSI

Die MaรŸnahme ORP 4. A1 des BSI-Grundschutz-Kompendiums besagt folgendes:

โ€œEs MUSS geregelt werden, wie Benutzerkennungen und Benutzergruppen einzurichten und zu lรถschen sind. Jede Benutzerkennung MUSS eindeutig einem Benutzer zugeordnet werden kรถnnen. Benutzerkennungen, die lรคngere Zeit inaktiv sind, SOLLTEN deaktiviert werden.

Alle Benutzer und Benutzergruppen DรœRFEN NUR รผber separate administrative Rollen eingerichtet und gelรถscht werden. Nicht benรถtigte Benutzerkennungen, wie z.B. standardmรครŸig eingerichtete Gastkonten oder Standard-Administratorkennungen, MรœSSEN geeignet deaktiviert oder gelรถscht werden.โ€

Was bedeutet das?

Die MaรŸnahme ORP 4. A1 beschreibt, dass das Einrichten und das Lรถschen von Benutzern und Benutzergruppen einer geregelten Verfahrensweise folgen muss. Darรผber hinaus ist bei der Anlage darauf zu achten, dass:

  • der Benutzerย eindeutig zu identifizierenย ist,

  • dass er einem oder mehrerenย Benutzerprofilenย zugeordnet ist, und dass

  • Benutzer und Benutzergruppen รผberย separate administrative Rollenย eingerichtet (und gelรถscht) werden.

Darรผber hinaus empfiehlt das BSI, Benutzererkennungen sowie Gastkonten oder Standard-Administratorkennungen, die รผber lรคngere Zeit inaktiv sind oder nicht mehr benรถtigt werden, zu deaktivieren oder zu lรถschen.

Lรถsung in tenfold

Mitarbeiter werden in tenfold erfasst und รผber ihr tenfold-Benutzerkonto eindeutig identifiziert. Der Datensatz fรผr einen Mitarbeiter umfasst einen konfigurierbaren Umfang an Attributen. Darรผber hinaus kann tenfold diese Attribute auch automatisch aus anderen Systemen รผbernehmen (z.B. aus der HR-Software).

tenfold arbeitet mit rollenbasierter Berechtigungsvergabe. Das bedeutet, dass wir die Zuordnung der Profile (= Rollen) auf Wunsch automatisch รผber die Organisationseinheit der Mitarbeiter abbilden kรถnnen.

Warum tenfold?

Was macht tenfold zur besten IAM Software fรผr mittelstรคndische Organisationen?

Automatisierte Berechtigungsvergabe

Diese Art derย Benutzerverwaltungย ist sowohlย zeitsparendย als auchย effizient, weil sie es der Software ermรถglicht,ย Standardrechteย automatisch auf Basis der jeweiligen Rolleย zuzuteilen.ย Berechtigungen, dieย nichtย zum rollenbasierten Standard-Setย gehรถren, kรถnnen Mitarbeiter รผberย Self-Service anfordern. Diese werden anschlieรŸend in einemย Genehmigungsworkflowย vom zustรคndigen Dateneigentรผmerย freigegeben.

Das tenfold User Lifeycycle Management sorgt dafรผr, dass nicht mehr benรถtigte Benutzerkonten automatisch deaktiviert bzw. gelรถscht werden.

Berechtigungsmanagement im BSI-Grundschutz

Einrichtung, ร„nderung und Entzug von Berechtigungen (ORP 4. A2)

Dokumentation der Benutzerkennungen und Rechteprofile (ORP 4. A3)

Vergabe von Zugriffsrechten (ORP 4. A7)

Richtlinien fรผr die Zugriffs- und Zugangskontrolle (ORP 4. A16)

Geeignete Auswahl von Identitรคts- und Berechtigungsmanagement-Systemen (ORP 4. A17)

Geregelte Verfahrensweise beim Weggang von Mitarbeitern (ORP 2. A2)

Festlegung von Regelungen fรผr den Einsatz von Fremdpersonal (ORP 2. A4)

Verfasst von: Helmut Semmelmayer

Helmut Semmelmayer ist seit 2012 als VP Revenue Operations beim Software-Hersteller tenfold tรคtig. Er ist damit fรผr den Partnervertrieb und das Produktmarketing verantwortlich und schreibt in diesem Blog regelmรครŸig themenbezogene Beitrรคge aus dem Bereich Identity & Access Management.