BSI IT-Grundschutz: M 2.586 Einrichtung, Änderung und Entzug von Berechtigungen

In den vergangenen Wochen haben wir uns im tenfold Blog dem Thema IT-Grundschutz des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) im Bezug auf Access Management gewidmet. Heute betrachten wir die Maßnahme M 2.586, die am umfangreichsten für die operative Umsetzung der Berechtigungsverwaltung ist. Sie setzt folgende generische Rollen voraus:

  • Benutzer: Dies ist ein gewöhnlicher IT-Benutzer, darf Anträge auf Berechtigungen stellen.
  • Genehmigende: Personen aus dem Fachbereich, die Anträge auf Berechtigungen für Daten aus dem jeweiligen Fachbereich genehmigen dürfen. Explizit ausgenommen sind Genehmigungen für sich selbst.
  • Fachverantwortliche: Diese Personen sind Eigentümer bestimmter Informationen, Anwendungen oder Fachverfahren (werden auch als „Dateneigentümer“ bezeichnet). Üblicherweise sind diese deckungsgleich mit den Genehmigenden.
  • IT-Betrieb: Hat die Verantwortung, die genehmigten Berechtigungen technisch einzurichten.

Darüber hinaus wird der Ablauf für die Einrichtung einer Berechtigung im Detail beschrieben:

  • Es muss ein Antrag mit allen notwendigen Informationen gestellt werden. Der Antrag sollte als Formular (beispielsweise als Web-Formular) gestaltet sein und alle notwendigen Inhalte als Pflichtangaben fordern.
  • Anschließend muss ein Genehmigungsverfahren durchlaufen werden, in welchem der Dateneigentümer (gegebenenfalls unter Miteinbeziehung des Datensicherheitsbeauftragten) den Antrag freigibt.
  • Bevor einer Person ein Benutzerkonto und ein Passwort oder ein anderes Mittel zur Authentifizierung zugeteilt wird, muss die betroffene Person über die IT-Sicherheitsrichtlinien der Organisation unterrichtet sein und diesen zustimmen.
  • Alle Vergaben, Änderungen und Löschungen von Berechtigungen müssen dokumentiert und sicher aufbewahrt werden.

Zusätzlich wird gefordert:

  • Erstpasswörter müssen bei der ersten Anmeldung durch den Benutzer geändert werden.
  • Sammelbenutzer (beispielsweise „schicht-a“) sind zu vermeiden und in sicherheitsrelevanten Bereichen nicht gestattet.

Wenn Berechtigungen aufgrund einer Änderung (Positionswechsel oder Ausscheiden) nicht mehr erforderlich sind, sollen sie nach einer bestimmten Wartefrist gelöscht werden. Die Dokumentation muss auch nach der Löschung aufbewahrt werden, damit Änderungen nachvollziehbar bleiben. Es wird somit nahegelegt, dass eine Berechtigungshistorie für jeden Benutzer anzulegen und zu speichern ist. Zugänge sollen erst für 30 Tage deaktiviert, bevor sie anschließend – nach spätestens 90 Tagen – endgültig gesperrt werden.

In der Maßnahme wird explizit darauf hingewiesen, dass zur Abbildung der Berechtigungsworkflows die Einführung eines Standard-Tools zu empfehlen ist, um den manuellen Aufwand möglichst gering zu halten.

Lösung in tenfold

In tenfold wird das Verfahren zur Einrichtung von Berechtigungen nahezu ident mit den Anforderungen aus der Maßnahme M 2.586 umgesetzt. Anträge können gestellt, über Workflows freigegeben und anschließend aktiviert werden. Die Umsetzung erfolgt bei tenfold jedoch in den meisten Fällen nicht manuell durch den Administrator, sondern automatisiert durch ein entsprechendes Plugin. Die oben angeführten Rollen lassen sich in tenfold über das interne Berechtigungskonzept sehr gut umsetzen. Für IT-Ressourcen und Berechtigungen können Dateneigentümer hinterlegt werden, welche die Rolle der Genehmigenden in den Workflows einnehmen. Auch was die Behandlung der Passwörter angeht, ist tenfold kompatibel zu den Inhalten der Maßnahme.

Melden Sie sich auch zu unserem Webinar an!

“Top 5 Gefahren im Access Management” –
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden

Melden Sie sich auch zu unserem Webinar an!

“Top 5 Gefahren im Access Management” –
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden
By |2019-05-14T08:47:05+00:0013 / 05 / 2019|Allgemein|

About the Author:

Helmut Semmelmayer
Helmut Semmelmayer ist seit 2012 als Senior Manager Channel Sales beim Software-Hersteller tenfold tätig. Er ist damit für den Partnervertrieb und das Produktmarketing verantwortlich und schreibt in diesem Blog regelmäßig themenbezogene Beiträge aus dem Bereich Identity & Access Management.
📢 Melden Sie sich jetzt zu unserem kostenlosen Webinar "TOP 5 Gefahren im Access Management" an! 🔔🔔Jetzt anmelden!
+