Home Blog Compliance

BSI Berechtigungskonzept: Baustein ORP 4. A2

Helmut Semmelmayer · 26.04.2021

Das BSI Berechtigungskonzept ist im Baustein ORP 4, in der Maßnahme ORP 4. A2 des BSI-IT-Grundschutzes festgeschrieben. Wir schauen uns an, was das Bundesamt für Sicherheit in der Informationstechnik in Bezug auf das Einrichten, Ändern und Entziehen von Berechtigungen (ORP 4. A2) empfiehlt, und wie Sie diese Empfehlungen mit tenfold umsetzen können.

Einrichtung, Änderung und Entzug von Berechtigungen – ORP 4. A2

Die Maßnahmenempfehlung ORP 4. A2 (Einrichten, Ändern und Entziehen von Berechtigungen) löst die Maßnahme M. 2.586 der vorherigen Version des BSI-Grundschutz-Kompendiums ab. Die Maßnahme ORP. 4 A2 ist Teil des zweiten Themenbereichs (ORP: Organisation und Personal) des BSI-Kompendiums 2022 und befindet sich in Baustein ORP. 4 (Identitäts- und Berechtigungsmanagement).

Es handelt sich um die umfangreichste Empfehlung des BSI für die operative Umsetzung der Benutzerverwaltung in Unternehmen und Behörden. Ziel ist es, den Schutz Ihrer unternehmensinternen Daten zu verbessern und geregelte Prozesse zu erstellen, die Ihre Mitarbeiter von administrativen Tätigkeiten im Zusammenhang mit der Berechtigungsvergabe entlasten.

Berechtigungskonzept nach BSI IT Grundschutz

Der BSI-IT-Grundschutz ist eine Sammlung von Standards für das IT-Sicherheitsmanagement in Unternehmen und öffentlichen Einrichtungen. Der umfangreiche Maßnahmenkatalog umfasst technische, infrastrukturelle, organisatorische und personelle Empfehlungen.

Wir haben alle Maßnahmen, die den Bereich Identitäts- und Berechtigungsmanagement (ORP. 4) betreffen, für Sie zusammengefasst und auf ihre Umsetzbarkeit in tenfold geprüft.

BSI Berechtigungskonzept (ORP 4. A2)

Die Maßnahme ORP 4. A2 des BSI-Grundschutz-Kompendiums besagt folgendes:

“Benutzerkennungen und Berechtigungen DÜRFEN NUR aufgrund des tatsächlichen Bedarfs und der Notwendigkeit zur Aufgabenerfüllung vergeben werden (Prinzip der geringsten Berechtigungen, engl. Least Privileges). Bei personellen Veränderungen MÜSSEN die nicht mehr benötigten Benutzerkennungen und Berechtigungen entfernt werden.

Beantragen Mitarbeiter Berechtigungen, die über den Standard hinausgehen, DÜRFEN diese NUR nach zusätzlicher Begründung und Prüfung vergeben werden. Zugriffsberechtigungen auf
Systemverzeichnisse und -dateien SOLLTEN restriktiv eingeschränkt werden. Alle Berechtigungen MÜSSEN über separate administrative Rollen eingerichtet werden.”

Was sieht das BSI Berechtigungskonzept vor?

  • Antragstellung: Der Antrag sollte als Formular (z.B. als Web-Formular) gestaltet sein und alle notwendigen Inhalte als Pflichtangaben fordern.Der Benutzer ist ein gewöhnlicher IT-Benutzer. Er darf Anträge auf Berechtigungen stellen.

  • Der/die Genehmigende(n) ist eine Person bzw. Personen aus dem Fachbereich, die Anträge auf Berechtigungen für Daten aus dem jeweiligen Fachbereich genehmigen dürfen. Explizit ausgenommen sind Genehmigungen für sich selbst.

  • Fachverantwortliche sind definiert als Eigentümer bestimmter Informationen, Anwendungen oder Fachverfahren (Dateneigentümer oder Data Owner). Normalerweise sind die Fachverantwortlichen diejenigen, die die Anträge genehmigen.

  • Der IT-Betrieb hat die Verantwortung, die genehmigten Berechtigungen technisch einzurichten.

Darüber hinaus beschreibt sie den empfohlenen Ablauf für das Einrichten einer Berechtigung:

  • Antragstellung: Der Antrag sollte als Formular (z.B. als Web-Formular) gestaltet sein und alle notwendigen Inhalte als Pflichtangaben fordern.

  • Genehmigungsverfahren: Anträge dürfen ausschließlich bei tatsächlicher Notwendigkeit (Least Privilege) und nach eingehender Prüfung (ggf. unter Einbeziehung des Datensicherheitsbeauftragten) genehmigt werden.

  • Dokumentation: Alle Vergaben, Änderungen und Löschungen von Berechtigungen müssen dokumentiert und sicher aufbewahrt werden.

Darüber hinaus sieht das BSI Berechtigungskonzept vor, dass nicht mehr benötigten Benutzerkennungen und Berechtigungen (z.B. bei Abteilungswechsel oder Weggang eines Mitarbeiters) entfernt werden. Die Dokumentation über diese Vorgänge sollte auch nach der Löschung aufbewahrt werden, damit Änderungen nachvollziehbar bleiben.

BSI Berechtigungskonzept umsetzen mit tenfold

Mit tenfold setzen wir das Verfahren zur Einrichtung von Berechtigungen nahezu identisch mit den Anforderungen aus der Maßnahme ORP 4. A2 um. Die Software ist perfekt an die Erfordernisse in Microsoft-Umgebungen angepasst und baut die Berechtigungsstrukturen von Anfang an nach Best Practices und dem Least-Privilege-Prinzip auf. Auf diese Weise erhalten Mitarbeiter ausschließlich jene Rechte, die sie wirklich brauchen, um ihre Tätigkeit im Unternehmen auszuführen.

Warum tenfold?

Was macht tenfold zur besten IAM Software für mittelständische Organisationen?

Überzeugen Sie sich selbst!

Automatisierter Ablauf die Berechtigungsvergabe

Ihre Mitarbeiter können Anträge auf Berechtigungen, die über die nach Rollen zugeteilten Standardberechtigungen hinausgehen, über eine Self-Service-Oberfläche beantragen. Der Antrag triggert einen automatisierten Genehmigungsworkflow und tenfold fordert den verantwortlichen Data Owner (in der Regel der Fachabteilungsleiter) dazu auf, den Antrag entweder zu genehmigen oder abzulehnen. Nach der Genehmigung erfolgt die Provisionierung automatisch im System.

Änderung und Entzug von Berechtigungen erfolgen automatisch

Das tenfold User Lifeycycle Management sorgt dafür, dass die Zugriffsrechte bei personellen Veränderungen (z.B. bei Abteilunsgwechseln) automatisch angepasst und bei Bedarf (z.B. Im Falle eines Austritts) entfernt werden. Für diesen Vorgang kann tenfold bei Bedarf eine Übergangsfrist setzen, damit Zugriffsberechtigungen beispielsweise erst entzogen werden, nachdem die betreffende Person einen Nachfolger eingearbeitet hat.

Berechtigungsmanagement im BSI-Grundschutz

Einrichtung und Löschung von Benutzern und Benutzergruppen (ORP 4. A1)

Dokumentation der Benutzerkennungen und Rechteprofile (ORP A. A3)

Vergabe von Zugriffsrechten (ORP 4. A7)

Richtlinien für die Zugriffs- und Zugangskontrolle (ORP 4. A16)

Geeignete Auswahl von Identitäts- und Berechtigungsmanagement-Systemen (ORP 4. A17)

Geregelte Verfahrensweise beim Weggang von Mitarbeitern (ORP 2. A2)

Festlegung von Regelungen für den Einsatz von Fremdpersonal (ORP 2. A4)

Verfasst von: Helmut Semmelmayer

Helmut Semmelmayer ist seit 2012 als VP Revenue Operations beim Software-Hersteller tenfold tätig. Er ist damit für den Partnervertrieb und das Produktmarketing verantwortlich und schreibt in diesem Blog regelmäßig themenbezogene Beiträge aus dem Bereich Identity & Access Management.