Benutzerkennungen u. Rechteprofile dokumentieren nach BSI: ORP 4. A3

Die Pflicht zur Dokumentation ist Baustein ORP 4, in der Maßnahme ORP 4. A3 des BSI-IT-Grundschutzes festgeschrieben. Wir schauen uns an, was das Bundesamt für Sicherheit in der Informationstechnik in Bezug auf die Dokumentation der Benutzerkennungen und Rechteprofile (ORP 4. A3) empfiehlt, und wie Sie diese Anforderungen mit tenfold umsetzen können.

Dokumentation von Benutzerkennungen u. Rechteprofilen – ORP 4. A3

Die Maßnahmenempfehlung ORP 4. A3 (Dokumentation der Benutzerkennungen und Rechteprofile) löst die Maßnahme M. 2.31 der vorherigen Version des BSI-Grundschutz-Kompendiums ab. Die Maßnahme ORP. 4 A3 ist Teil des zweiten Themenbereichs (ORP: Organisation und Personal) des BSI-Kompendiums 2022 und befindet sich in Baustein ORP. 4 (Identitäts- und Berechtigungsmanagement).

Der BSI-IT-Grundschutz ist eine Sammlung von Standards für das IT-Sicherheitsmanagement in Unternehmen und öffentlichen Einrichtungen. Der umfangreiche Maßnahmenkatalog umfasst technische, infrastrukturelle, organisatorische und personelle Empfehlungen.

Wir haben alle Maßnahmen, die den Bereich Identitäts- und Berechtigungsmanagement (ORP. 4) betreffen, für Sie zusammengefasst und auf ihre Umsetzbarkeit in tenfold geprüft.

Pflicht zur Dokumentation nach BSI (ORP 4. A3)

Die Maßnahme ORP 4. A3 des BSI-Grundschutz-Kompendiums besagt folgendes:

“Es MUSS dokumentiert werden, welche Benutzerkennungen, angelegte Benutzergruppen und Rechteprofile zugelassen und angelegt wurden. Die Dokumentation der zugelassenen Benutzer,
angelegten Benutzergruppen und Rechteprofile MUSS regelmäßig daraufhin überprüft werden, ob sie den tatsächlichen Stand der Rechtevergabe widerspiegelt und ob die Rechtevergabe noch denSicherheitsanforderungen und den aktuellen Aufgaben der Benutzer entspricht.

Die Dokumentation MUSS vor unberechtigtem Zugriff geschützt werden. Sofern sie in elektronischer Form erfolgt, SOLLTE sie in das Datensicherungsverfahren einbezogen werden.”

Was bedeutet das?

Laut BSI kann die Dokumentation der Zugriffsrechte in Papierform oder über die Speicherung individueller Dateien, die vom Administrator verwaltet werden, erfolgen. Die Aufzeichnungen sollen unter anderem dazu genutzt werden, die zugeordneten Berechtigungsprofile und Spezialberechtigungen regelmäßig kontrollieren zu können. Diese Formulierung umschreibt einen Vorgang, der üblicherweise als Rezertifizierung bezeichnet wird.

Darüber hinaus weist das BSI darauf hin, dass die Dokumentation zuverlässig vor unberechtigten Zugriffen zu schützen und gegen Verlust zu sichern ist.

Lösung in tenfold

tenfold speichert jede Änderung an Benutzern und Berechtigungen, sodass sämtliche Vorgänge jederzeit lückenlos nachvollzogen werden können. Durch die regelmäßige Synchronisierung zwischen tenfold und allen angebundenen Systemen werden sogar jene Änderungen gespeichert, die extern, d.h. nicht in tenfold selbst durchgeführt wurden.

Die Reporting-Funktion schließt eine nachträgliche Manipulation von Daten zuverlässig aus. Das Reporting setzt sich zusammen aus dem tenfold Auditor, dem tenfold Pathfinder und diversen Reports in unterschiedlichen Formaten (online, PDF, Excel).

Warum tenfold?

Was macht tenfold zur besten IAM Software für mittelständische Organisationen?

Überprüfung von Berechtigungen

Um zu gewährleisten, dass die Benutzer, angelegten Benutzergruppen und Rechteprofile noch dem tatsächlichen Stand der Rechtevergabe entsprechen, gibt es einen Rezertifizierungsprozess: Der jeweilige Dateneigentümer wird in regelmäßigen Abständen automatisch dazu aufgefordert, sämtliche Berechtigungen, die in seinen Verantwortungsbereich fallen, zu kontrollieren. Er muss sie entweder bestätigen oder umgehend entfernen.

Dieser Prozess erfolgt in tenfold automatisiert über einen sogenannten Genehmigungsworkflow. Die entsprechende Änderung (z.B. die Vergabe einer zusätzlichen Berechtigung) setzt die Software automatisch im jeweiligen Zielsystem um.

Berechtigungsmanagement im BSI-Grundschutz

Einrichtung und Löschung von Benutzern und Benutzergruppen (ORP 4. A1)

Einrichtung, Änderung und Entzug von Berechtigungen (ORP 4. A2)

Vergabe von Zugriffsrechten (ORP 4. A7)

Richtlinien für die Zugriffs- und Zugangskontrolle (ORP 4. A16)

Geeignete Auswahl von Identitäts- und Berechtigungsmanagement-Systemen (ORP 4. A17)

Geregelte Verfahrensweise beim Weggang von Mitarbeitern (ORP 2. A2)

Festlegung von Regelungen für den Einsatz von Fremdpersonal (ORP 2. A4)

Verfasst von: Helmut Semmelmayer

Helmut Semmelmayer ist seit 2012 als VP Revenue Operations beim Software-Hersteller tenfold tätig. Er ist damit für den Partnervertrieb und das Produktmarketing verantwortlich und schreibt in diesem Blog regelmäßig themenbezogene Beiträge aus dem Bereich Identity & Access Management.