BSI IT-Grundschutz: M 4.499 Geeignete Auswahl von Identitäts- und Berechtigungsmanagement-Systemen

In den vergangenen Wochen haben wir uns im Rahmen unserer Blog-Reihe “BSI IT-Grundschutz, Maßnahmen zu Berechtigungen und Zugriffsrechten” mit der Relevanz der Anforderungen für das Thema Berechtigungsmanagement beschäftigt und die Umsetzbarkeit in tenfold geprüft.

In diesem letzten Beitrag betrachten wir die Maßnahme 4.449 “Geeignete Auswahl von Identitäts- und Berechtigungsmanagement-Systemen”. Diese bietet Organisationen Anhaltspunkte für die Auswahl eines IAM-Systems. Die konkreten Anforderungen sind aus einer Reihe anderer Maßnahmen abzuleiten. Genannt werden:
M 4.133 Geeignete Auswahl von Authentikationsmechanism
M 4.500 Sicherer Einsatz von Systemen für Identitäts- und Berechtigungsmanagement
M 2.555 Entwicklung eines Authentisierungskonzeptes für Anwendungen
M 4.498 Sicherer Einsatz von Single-Sign-On

Nachfolgend wird eine Reihe von Anforderungen aus dem IT-Grundschutz aufgezählt und in Bezug auf ihre Umsetzbarkeit mit tenfold geprüft. Selbstverständlich lassen die Maßnahmen einen großen Interpretationsspielraum zu. Insbesondere deshalb sollte jede Organisation ihre eigenen Anforderungen an ein Identity and Access Management System zusammenfassen und mit dem potenziellen Anbieter klären.

Anforderung Umsetzbarkeit in tenfold
Kann der Grundsatz der Funktionstrennung realisiert werden (M 2.5 Aufgabenverteilung und Funktionstrennung)? Ja
Interoperabilität: Ist das Identitäts- und BerechtigungsmanagementSystem in der Lage, die unterschiedliche Berechtigungsverwaltung heterogener Anwendungen zentral zu integrieren? Ja, über die tenfold Plugins
Unterstützt die Anwendung den Einsatz der geplanten Authentisierungsfaktoren Wissen, Besitz bzw. Biometrie? Nein, tenfold bildet Authentisierung (SSO / „Single Sign On“) nicht ab.
Ist eine Skalierung der Authentisierungsanforderungen je nach Schutzbedarf möglich? Nein, tenfold bildet Authentisierung (SSO / „Single Sign On“) nicht ab.
Sind durchgängige Rechteänderungen bis hin zum Rechteentzug kurzfristig möglich, wenn dies akut benötigt wird? Ja
Werden Authentisierungsdaten bei Speicherung und Verarbeitung ausreichend geschützt (nicht als Klartext, sondern stets verschlüsselt gespeichert bzw. übertragen)? Ja, die Übertragung erfolgt immer verschlüsselt, sofern Zielsystem und Protokoll dies unterstützen (LDAPS, SSH, etc.). Benötigte Passworte werden die in der Datenbank mittels AES verschlüsselt.
Entsprechen die im Identitäts- und Berechtigungsmanagement-System vorhandenen kryptographischen Funktionen dem Schutzbedarf und besitzen sie eine ausreichende Mechanismenstärke (siehe auch M 2.164 Auswahl eines geeigneten kryptographischen Verfahrens) Ja
Werden die Authentisierungsdaten sicher verwaltet? Ist sichergestellt, dass beispielsweise Passwörter nie unverschlüsselt auf den entsprechenden IT-Systemen gespeichert werden? Ja
Wie schnell können die Identitäten, Berechtigungen oder Passwörter geändert werden, z. B. bei Verdacht auf Kompromittierung? On demand
Kann die Reaktion auf fehlerhafte Authentisierungsversuche entsprechend der Sicherheitsvorgaben eingerichtet werden? Ja, sofern das jeweilige Zielsystem dies unterstützt.
Lassen sich die sicherheitskritischen Parameter wie Authentisierungsanforderungen entsprechend der Sicherheitsvorgaben konfigurieren? Ja
Lassen sich auf dem Identitäts- und Berechtigungsmanagement-System differenzierte Rechtestrukturen in zugewiesenen Bereichen für das Verwaltungspersonal einrichten (lesen, schreiben, ausführen, ändern)? Ja
Werden die für die Rechteverwaltung relevanten Daten manipulationssicher vom Produkt gespeichert? Ja, dies erfolgt in der SQL-Datenbank
Verfügt das Identitäts- und Berechtigungsmanagement-System über eine angemessene Protokollierung Ja, jede Operation wird im Rahmen eines Antrags dokumentiert.
Ist sichergestellt, dass die Protokollierung von Unberechtigten nicht deaktiviert werden kann? Ja, denn eine Deaktivierung ist grundsätzlich nicht möglich.
Sind die Protokolle selbst für Unberechtigte weder lesbar noch modifizierbar? Ist die Protokollierung übersichtlich, vollständig und korrekt? Ja
Verfügt das Identitäts- und Berechtigungsmanagement-System über eine übersichtliche und einfach nutzbare Protokollauswertung? Ja

Melden Sie sich auch zu unserem Webinar an!

“Top 5 Gefahren im Access Management” –
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden

Melden Sie sich auch zu unserem Webinar an!

“Top 5 Gefahren im Access Management” –
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden
By |2019-05-14T09:08:39+00:0013 / 05 / 2019|Allgemein|

About the Author:

Helmut Semmelmayer
Helmut Semmelmayer ist seit 2012 als Senior Manager Channel Sales beim Software-Hersteller tenfold tätig. Er ist damit für den Partnervertrieb und das Produktmarketing verantwortlich und schreibt in diesem Blog regelmäßig themenbezogene Beiträge aus dem Bereich Identity & Access Management.
📢 Melden Sie sich jetzt zu unserem kostenlosen Webinar "TOP 5 Gefahren im Access Management" an! 🔔🔔Jetzt anmelden!
+