Geeignete Auswahl von Identitäts- und Berechtigungsmanagement-Systemen: ORP 4. A17
Das BSI gibt in Baustein ORP 4. des BSI-IT-Grundschutzes, konkret in der Maßnahme ORP 4. A17, detaillierte Hinweise zur Auswahl eines geeigneten Identitäts- und Berechtigungsmanagement-Systems. Wir schauen uns, was das Bundesamt für Sicherheit in der Informationstechnik empfiehlt, und welche Aspekte unsere IAM Software tenfold abdeckt.
IAM-System auswählen nach BSI: ORP 4. A17
Die Maßnahmenempfehlung ORP 4. A17 (Geeignete Auswahl von Identitäts- und Berechtigungsmanagement-Systemen) löst die Maßnahme M. 4.499 der vorherigen Version des BSI-Grundschutz-Kompendiums ab. Die Maßnahme ORP. 4 A17 ist Teil des zweiten Themenbereichs (ORP: Organisation und Personal) des BSI-Kompendiums 2022 und befindet sich in Baustein ORP. 4 (Identitäts- und Berechtigungsmanagement).
Der BSI-IT-Grundschutz ist eine Sammlung von Standards für das IT-Sicherheitsmanagement in Unternehmen und öffentlichen Einrichtungen. Der umfangreiche Maßnahmenkatalog umfasst technische, infrastrukturelle, organisatorische und personelle Empfehlungen.
Wir haben alle Maßnahmen, die den Bereich Identitäts- und Berechtigungsmanagement (ORP. 4) betreffen, für Sie zusammengefasst und auf ihre Umsetzbarkeit in tenfold geprüft.
IAM-System auswählen nach BSI-Kriterien
Der BSI-IT-Grundschutz weist in Maßnahme ORP 4. A17 ausdrücklich darauf hin, dass eine Software für Identity und Access Management in erster Linie “auf die Institution und deren jeweilige Geschäftsprozesse, Organisationsstrukturen und Abläufe sowie deren Schutzbedarf” zugeschnitten sein sollte.
Laut BSI ist es unerlässlich, dass eine geeignete Software für Berechtigungsmanagement in der Lage ist, die “in der Institution vorhandenen Vorgaben zum Umgang mit Identitäten und Berechtigungen abbilden” zu können.
Was macht tenfold zur besten IAM Software für mittelständische Organisationen?
Was besagt Maßnahme ORP 4. A17?
Die Maßnahme ORP 4. A17 des BSI-Grundschutz-Kompendiums besagt folgendes:
“Beim Einsatz eines Identitäts- und Berechtigungsmanagement-Systems SOLLTE dieses für die Institution und deren jeweilige Geschäftsprozesse, Organisationsstrukturen und Abläufe sowie deren Schutzbedarf geeignet sein.
Das Identitäts- und Berechtigungsmanagement-System SOLLTE die in der Institution vorhandenen Vorgaben zum Umgang mit Identitäten und Berechtigungen abbilden können. Das ausgewählte Identitäts- und Berechtigungsmanagement-System SOLLTE den Grundsatz der Funktionstrennung unterstützen. Das Identitäts- und Berechtigungsmanagement-System SOLLTE angemessen vor Angriffen geschützt werden.”
Lösung in tenfold
Die Maßnahme ORP 4. A17 bietet Unternehmen, Behörden und anderen Organisationen Anhaltspunkte für die Auswahl eines geeigneten IAM-Systems. Die konkreten Anforderungen finden Sie u.a. in den Umsetzungshinweisen zu Baustein ORP. 4. Nachfolgend stellen wir Ihnen eine Reihe von Anforderungen vor, die der IT-Grundschutz für die Auswahl eines geeigneten IAM-Systems nennt, und schauen uns an, welche der Anforderungen tenfold abdeckt.
| Anforderung nach BSI IT-Grundschutz | Umsetzbarkeit in tenfold |
|---|---|
| Kann der Grundsatz der Funktionstrennung realisiert werden (ORP.4.M4 Aufgabenverteilung und Funktionstrennung)? | Ja |
| Interoperabilität: Ist das Identitäts- und Berechtigungsmanagement-System in der Lage, die unterschiedliche Berechtigungsverwaltung heterogener Anwendungen zentral zu integrieren? | Ja, über die tenfold Schnittstellen. |
| Unterstützt die Anwendung den Einsatz der geplanten Authentisierungsfaktoren Wissen, Besitz bzw. Biometrie? | Ja, tenfold unterstützt den Einsatz der beiden Authentisierungsfaktoren Wissen und Besitz. Die Authentisierung über Biometrie ist in tenfold allerdings nicht möglich. |
| Ist eine Skalierung der Authentisierungsanforderungen je nach Schutzbedarf möglich? | Ja. In tenfold können Sie einstellen, wer (Funktion) sich für welche Ressourcen auf welche Weise authentisieren muss. |
| Sind durchgängige Rechteänderungen bis hin zum Rechteentzug kurzfristig möglich, wenn dies akut benötigt wird (z.B. bei fristloser Kündigung)? | Ja |
| Werden Authentisierungsdaten bei Speicherung und Verarbeitung ausreichend geschützt (nicht als Klartext, sondern stets verschlüsselt gespeichert bzw. übertragen)? | Ja, die Übertragung erfolgt grundsätzlich verschlüsselt, sofern Zielsystem und Protokoll dies unterstützen (LDAPS, SSH, etc.). Benötigte Passworte werden die in der Datenbank mittels AES verschlüsselt. |
| Entsprechen die im Identitäts- und Berechtigungsmanagement-System vorhandenen kryptographischen Funktionen dem Schutzbedarf und besitzen sie eine ausreichende Stärke im Prozess? | Ja |
| Werden die Authentisierungsdaten sicher verwaltet? Ist sichergestellt, dass beispielsweise Passwörter nie unverschlüsselt auf den entsprechenden IT-Systemen gespeichert werden? | Ja |
| Wie schnell können die Identitäten, Berechtigungen oder Passwörter geändert werden, z. B. bei Verdacht auf Kompromittierung? | on Demand |
| Kann die Reaktion auf fehlerhafte Authentisierungsversuche entsprechend der Sicherheitsvorgaben eingerichtet werden? | Ja, sofern das jeweilige Zielsystem dies unterstützt. |
| Lassen sich die sicherheitskritischen Parameter, wie Authentisierungsanforderungen, entsprechend der Sicherheitsvorgaben konfigurieren? | Ja |
| Lassen sich auf dem Identitäts- und Berechtigungsmanagement-System differenzierte Rechtestrukturen in zugewiesenen Bereichen für das Verwaltungspersonal einrichten (lesen, schreiben, ausführen, ändern)? | Ja |
| Werden die für die Rechteverwaltung relevanten Daten manipulationssicher vom Produkt gespeichert? | Ja |
| Verfügt das Identitäts- und Berechtigungsmanagement-System über eine angemessene Protokollierung? | Ja |
| Sind die Protokolle selbst für Unberechtigte weder lesbar noch modifizierbar? Ist die Protokollierung übersichtlich, vollständig und korrekt? | Ja |
| Ist sichergestellt, dass die Protokollierung von Unberechtigten nicht deaktiviert werden kann? | Ja, denn eine Deaktivierung ist grundsätzlich nicht möglich. |
| Verfügt das Identitäts- und Berechtigungsmanagement-System über eine übersichtliche und einfach nutzbare Protokollauswertung? | Ja |
Berechtigungsmanagement im BSI-Grundschutz
Einrichtung und Löschung von Benutzern und Benutzergruppen (ORP 4. A1)
Einrichtung, Änderung und Entzug von Berechtigungen (ORP 4. A2)
Dokumentation der Benutzerkennungen und Rechteprofile (ORP 4. A3)
Vergabe von Zugriffsrechten (ORP 4. A7)
Richtlinien für die Zugriffs- und Zugangskontrolle (ORP 4. A16)
Geregelte Verfahrensweise beim Weggang von Mitarbeitern (ORP 2. A2)
Festlegung von Regelungen für den Einsatz von Fremdpersonal (ORP 2. A4)