BSI IT-Grundschutz: M 3.6 Geregelte Verfahrensweise beim Ausscheiden von Mitarbeitern

In unserer Blog-Reihe “BSI IT-Grundschutz, Maßnahmen zu Berechtigungen und Zugriffsrechten” widmen wir uns der Frage, welche Anforderungen aus dem Maßnahmenkatalog für den Bereich des Berechtigungsmanagements relevant sind und ob diese in tenfold umgesetzt werden können. Dieses Mal überprüfen wir Maßnahme M 3.6 “Geregelte Verfahrensweise beim Ausscheiden von Mitarbeitern”.

Verfahrensweise beim Firmenaustritt eines Mitarbeiters

In M 3.6 ist geregelt, dass für einen Mitarbeiter, der aus der Organisation ausscheidet, alle Zugangsberechtigungen und Zugriffrechte zu entziehen bzw. zu löschen sind. Der Peronalverantwortliche oder der Vorgesetzte sind dafür zuständig, den Firmenaustritt an die IT-Abteilung zu melden. Dieser manuelle Prozess funktioniert leider nicht immer zuverlässig, sodass die IT-Abteilung die Information gar nicht oder nicht zeitgerecht erhält. Oft werden derartige „Karteileichen“ nur im Rahmen von sporadischen Überprüfungen entdeckt.

Das Benutzerkonto für zentrale Dienste wie Anmeldung, Fileserver und E-Mail ist in den meisten Fällen im Active Directory zu finden. Eine Sperre des AD-Kontos führt also dazu, dass diese Dienste nicht mehr genutzt werden können.
Darüber hinaus existieren oft zusätzliche, nicht mit Active Directory verknüpfte Systeme und Anwendungen. Diese sind von der Sperre im Active Directory nicht betroffen. Wie der Gefährdungsbaustein G 2.7 treffend formuliert, können Zimmerkollegen das Passwort für solche Anwendungen kennen. Für diese Personen wäre eine unbefugte Nutzung möglich, wenn nicht auch diese Zugänge gesperrt werden. Damit eine Sperre erfolgen kann, muss eine Dokumentation darüber existieren, in welchen Systemen der ausgeschiedene Mitarbeiter angelegt wurde.

Ansonsten führt jedes Ausscheiden zu einer sehr aufwändigen Prüftätigkeit in allen Anwendungen und Systemen, um etwaige Benutzerkonten des Mitarbeiters zu identifizieren.
Relevant ist in diesem Zusammenhang auch die Anforderung, dass etwaige Geräte wie Laptops, Mobiltelefone und Speichermedien zurück zu fordern sind. Ebenso sind Karten oder Schlüssel für den physischen Zutritt entsprechend zu retournieren. Damit dies umsetzbar ist, muss zuerst ein unternehmensweites Verzeichnis gepflegt werden, in dem jede Ausgabe eines der relevanten Gegenstände vermerkt und der Gegenstand damit dem jeweiligen Mitarbeiter zugeordnet wird. Nur so kann beim Ausscheiden lückenlos festgestellt werden, welche Gegenstände überhaupt zu retournieren sind. Häufig fehlt ein derartiges Verzeichnis, was dazu führt, dass nicht alle Gegenstände immer zuverlässig zurückgegeben werden.

Lösung in tenfold

Das Ausscheiden von Personal wird in tenfold im Optimalfall über eine direkte, technische Schnittstelle zur Personalmanagement-Software realisiert. Erhält tenfold über die Schnittstelle – oder durch manuelle Eingabe auf der Oberfläche – die Information, dass ein Mitarbeiter ausscheidet, so werden alle Zugänge des Mitarbeiters gesperrt und Zugriffsrechte entzogen. Sofern die Ausgabe von Gegenständen wie Hardware oder Authentifizierungs-Tokens über Workflows in tenfold abgebildet wurde, generiert tenfold auch automatisch Aufträge für die Rückholung aller dieser Gegenstände.

Melden Sie sich auch zu unserem Webinar an!

“Top 5 Gefahren im Access Management” –
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden

Melden Sie sich auch zu unserem Webinar an!

“Top 5 Gefahren im Access Management” –
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden
By |2019-05-14T08:56:39+00:0013 / 05 / 2019|Allgemein|

About the Author:

Helmut Semmelmayer
Helmut Semmelmayer ist seit 2012 als Senior Manager Channel Sales beim Software-Hersteller tenfold tätig. Er ist damit für den Partnervertrieb und das Produktmarketing verantwortlich und schreibt in diesem Blog regelmäßig themenbezogene Beiträge aus dem Bereich Identity & Access Management.
📢 Melden Sie sich jetzt zu unserem kostenlosen Webinar "TOP 5 Gefahren im Access Management" an! 🔔🔔Jetzt anmelden!
+