Benutzerkennungen u. Rechteprofile dokumentieren nach BSI: ORP 4. A3

Die Pflicht zur Dokumentation ist Baustein ORP 4, in der MaรŸnahme ORP 4. A3 des BSI-IT-Grundschutzes festgeschrieben. Wir schauen uns an, was das Bundesamt fรผr Sicherheit in der Informationstechnik in Bezug auf die Dokumentation der Benutzerkennungen und Rechteprofile (ORP 4. A3) empfiehlt, und wie Sie diese Anforderungen mit tenfold umsetzen kรถnnen.

Dokumentation von Benutzerkennungen u. Rechteprofilen โ€“ ORP 4. A3

Die MaรŸnahmenempfehlung ORP 4. A3 (Dokumentation der Benutzerkennungen und Rechteprofile) lรถst die MaรŸnahme M. 2.31 der vorherigen Version des BSI-Grundschutz-Kompendiums ab. Die MaรŸnahme ORP. 4 A3 ist Teil des zweiten Themenbereichs (ORP: Organisation und Personal) des BSI-Kompendiums 2022 und befindet sich in Baustein ORP. 4 (Identitรคts- und Berechtigungsmanagement).

Der BSI-IT-Grundschutz ist eine Sammlung von Standards fรผr das IT-Sicherheitsmanagement in Unternehmen und รถffentlichen Einrichtungen. Der umfangreiche MaรŸnahmenkatalog umfasst technische, infrastrukturelle, organisatorische und personelle Empfehlungen.

Wir haben alle MaรŸnahmen, die den Bereich Identitรคts- und Berechtigungsmanagement (ORP. 4) betreffen, fรผr Sie zusammengefasst und auf ihre Umsetzbarkeit in tenfold geprรผft.

Pflicht zur Dokumentation nach BSI (ORP 4. A3)

Die MaรŸnahme ORP 4. A3 des BSI-Grundschutz-Kompendiums besagt folgendes:

โ€œEs MUSS dokumentiert werden, welche Benutzerkennungen, angelegte Benutzergruppen und Rechteprofile zugelassen und angelegt wurden. Die Dokumentation der zugelassenen Benutzer,
angelegten Benutzergruppen und Rechteprofile MUSS regelmรครŸig daraufhin รผberprรผft werden, ob sie den tatsรคchlichen Stand der Rechtevergabe widerspiegelt und ob die Rechtevergabe noch denSicherheitsanforderungen und den aktuellen Aufgaben der Benutzer entspricht.

Die Dokumentation MUSS vor unberechtigtem Zugriff geschรผtzt werden. Sofern sie in elektronischer Form erfolgt, SOLLTE sie in das Datensicherungsverfahren einbezogen werden.โ€

Was bedeutet das?

Laut BSI kann die Dokumentation der Zugriffsrechte in Papierform oder รผber die Speicherung individueller Dateien, die vom Administrator verwaltet werden, erfolgen. Die Aufzeichnungen sollen unter anderem dazu genutzt werden, die zugeordneten Berechtigungsprofile und Spezialberechtigungen regelmรครŸig kontrollieren zu kรถnnen. Diese Formulierung umschreibt einen Vorgang, der รผblicherweise als Rezertifizierung bezeichnet wird.

Darรผber hinaus weist das BSI darauf hin, dass die Dokumentation zuverlรคssig vor unberechtigten Zugriffen zu schรผtzen und gegen Verlust zu sichern ist.

Lรถsung inย tenfold

tenfold speichert jede ร„nderung an Benutzern und Berechtigungen, sodass sรคmtliche Vorgรคnge jederzeit lรผckenlos nachvollzogen werden kรถnnen. Durch die regelmรครŸige Synchronisierung zwischen tenfold und allen angebundenen Systemen werden sogar jene ร„nderungen gespeichert, die extern, d.h. nicht in tenfold selbst durchgefรผhrt wurden.

Die Reporting-Funktion schlieรŸt eine nachtrรคgliche Manipulation von Daten zuverlรคssig aus. Das Reporting setzt sich zusammen aus dem tenfold Auditor, dem tenfold Pathfinder und diversen Reports in unterschiedlichen Formaten (online, PDF, Excel).

Warum tenfold?

Was macht tenfold zur besten IAM Software fรผr mittelstรคndische Organisationen?

รœberprรผfung von Berechtigungen

Um zu gewรคhrleisten, dass die Benutzer, angelegten Benutzergruppen und Rechteprofile noch dem tatsรคchlichen Stand der Rechtevergabe entsprechen, gibt es einen Rezertifizierungsprozess: Der jeweilige Dateneigentรผmer wird in regelmรครŸigen Abstรคnden automatisch dazu aufgefordert, sรคmtliche Berechtigungen, die in seinen Verantwortungsbereich fallen, zu kontrollieren. Er muss sie entweder bestรคtigen oder umgehend entfernen.

Dieser Prozess erfolgt in tenfold automatisiert รผber einen sogenannten Genehmigungsworkflow. Die entsprechende ร„nderung (z.B. die Vergabe einer zusรคtzlichen Berechtigung) setzt die Software automatisch im jeweiligen Zielsystem um.

Berechtigungsmanagement im BSI-Grundschutz

Einrichtung und Lรถschung von Benutzern und Benutzergruppen (ORP 4. A1)

Einrichtung, ร„nderung und Entzug von Berechtigungen (ORP 4. A2)

Vergabe von Zugriffsrechten (ORP 4. A7)

Richtlinien fรผr die Zugriffs- und Zugangskontrolle (ORP 4. A16)

Geeignete Auswahl von Identitรคts- und Berechtigungsmanagement-Systemen (ORP 4. A17)

Geregelte Verfahrensweise beim Weggang von Mitarbeitern (ORP 2. A2)

Festlegung von Regelungen fรผr den Einsatz von Fremdpersonal (ORP 2. A4)

Verfasst von: Helmut Semmelmayer

Helmut Semmelmayer ist seit 2012 als VP Revenue Operations beim Software-Hersteller tenfold tรคtig. Er ist damit fรผr den Partnervertrieb und das Produktmarketing verantwortlich und schreibt in diesem Blog regelmรครŸig themenbezogene Beitrรคge aus dem Bereich Identity & Access Management.