BSI IT-Grundschutz: M 2.30 Regelung für die Einrichtung von Benutzern / Benutzergruppen

In unserem letzten Beitrag aus der Reihe “BSI IT-Grundschutz, Maßnahmen zu Berechtigungen und Zugriffsrechten” haben wir die Maßnahme M 2.8 “Vergabe von Zugriffsrechten” für Sie zusammengefasst und auf die Umsetzbarkeit in tenfold überprüft. Heute widmen wir uns der Maßnahme M 2.30 “Regelung für die Einrichtung von Benutzern bzw. Benutzergruppen”

Einrichtung von Benutzern und Benutzergruppen

In M 2.30 werden Regeln für eine angemessene Vergabe von Zugriffsrechten festgehalten. Bevor ein User angelegt wird, sollen alle relevanten Daten des Mitarbeiters im Rahmen eines Formblatts abgefragt werden. Diese Angaben geben Aufschluss darüber, welche Berechtigungen für den Benutzer erforderlich sind.

Lösung in tenfold

Mitarbeiter werden in tenfold erfasst. Der Datensatz für einen Mitarbeiter umfasst einen konfigurierbaren Umfang an Attributen. Darüber hinaus kann tenfold diese Attribute auch automatisch aus anderen Systemen, zum Beispiel der Personalmanagement-Software, übernehmen.

Bei der Anlage eines Benutzers soll drauf geachtet werden, dass er einem oder mehreren Benutzerprofilen zugeordnet ist. Dadurch erhält er alle Berechtigungen automatisch, die er für seine Tätigkeit benötigt. Die Maßnahme M 2.30 sieht darüber hinaus vor, dass Zugriffsberechtigungen, die über diesen Standard hinausgehen, in jedem Fall begründet werden müssen.

Lösung in tenfold

In tenfold können Profile erstellt werden, die systemübergreifende Berechtigungen enthalten. Die Zuordnung der Profile zu Benutzern erfolgt auf Wunsch automatisch über deren Organisationseinheit. Zusätzliche Berechtigungen können über Self-Service angefordert und müssen in einem Workflow vom Verantwortlichen genehmigt werden.

Leider berücksichtigt M 2.30 nicht die notwendige Anpassung von Berechtigungen im Falle einer organisatorischen Änderung, zum Beispiel bei einem Abteilungswechsel. Dieser Vorgang ist in der Praxis deutlich komplexer als die initiale Einrichtung eines Benutzers. Es muss geprüft werden, welche Berechtigungen sofort eingestellt werden sollen, welche mit einer Übergangsfrist entzogen werden müssen und welche neuen Berechtigungen zuzuordnen sind. Alle diese Anpassungen müssen zeitlich geplant, umgesetzt und überprüft werden.

Berechtigungen mit einer Übergangsfrist führen leider häufig zu “überberechtigten” Benutzern, denn oft wird vergessen die Rechte wie geplant zu entziehen. Als Resultat „sammelt“ der Benutzer die Berechtigungen aus allen Abteilungen, Teams, Projekten und Standorten an denen er beteiligt war. Besonders intensiv bemerkbar macht sich dieses Phänomen bei Auszubildenden (beziehungsweise Lehrlingen), welche in kurzer Zeit eine große Anzahl von Abteilungen durchlaufen.

Lösung in tenfold

Berechtigungen, die der Benutzer über Standardprofile erhalten hat, werden beim Abteilungswechsel mit Übergangsfristen entfernt, die definiert werden. Ebenso werden neue Berechtigungen über entsprechende Profile automatisch zugeordnet. Zusätzlich vergebene Berechtigungen werden im Rahmen der regelmäßigen Rezertifizierung kontrolliert und bei Bedarf entfernt

Melden Sie sich auch zu unserem Webinar an!

“Top 5 Gefahren im Access Management” –
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden

Melden Sie sich auch zu unserem Webinar an!

“Top 5 Gefahren im Access Management” –
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden
By |2019-06-27T14:37:53+00:0013 / 05 / 2019|Allgemein|

About the Author:

Helmut Semmelmayer
Helmut Semmelmayer ist seit 2012 als Senior Manager Channel Sales beim Software-Hersteller tenfold tätig. Er ist damit für den Partnervertrieb und das Produktmarketing verantwortlich und schreibt in diesem Blog regelmäßig themenbezogene Beiträge aus dem Bereich Identity & Access Management.