Einrichten der Zugriffsrechte nach BSI: ORP 4. A16

Der BSI-IT-Grundschutz beschreibt Maßnahmenempfehlungen im Umgang mit Zugriffsberechtigungen, die Unternehmen für den normalen Schutzbedarf ihrer Anwendungen und Systeme einhalten sollten. Wir schauen uns an, welche Maßnahmen das Bundesamt für Sicherheit in der Informationstechnik in Bezug auf das Einrichten der Zugriffsrechte (ORP 4. A16) empfiehlt, und wie Sie diese Empfehlungen mit tenfold umsetzen können.

Die Maßnahmenempfehlung ORP 4. A16 (Einrichten von Zugriffsrechten) löst die Maßnahme M. 2.63 der vorherigen Version des BSI-Grundschutz-Kompendiums ab. Die Maßnahme ORP. 4 A16 ist Teil des zweiten Themenbereichs (ORP: Organisation und Personal) des BSI-Kompendiums 2022 und befindet sich in Baustein ORP. 4 (Identitäts- und Berechtigungsmanagement).

Der BSI-IT-Grundschutz ist eine Sammlung von Standards für das IT-Sicherheitsmanagement in Unternehmen und öffentlichen Einrichtungen. Der umfangreiche Maßnahmenkatalog umfasst technische, infrastrukturelle, organisatorische und personelle Empfehlungen.

Die Maßnahme ORP 4. A16 des BSI-Grundschutz-Kompendiums besagt folgendes:

“Es SOLLTE eine Richtlinie für die Zugriffs- und Zugangskontrolle von IT-Systemen, IT-Komponenten und Datennetzen erstellt werden. Es SOLLTEN Standard-Rechteprofile benutzt werden, die den Funktionen und Aufgaben der Mitarbeiter entsprechen. Für jedes IT-System und jede IT-Anwendung SOLLTE eine schriftliche Zugriffsregelung existieren.”

Zunächst einmal besagt die Maßnahmenempfehlung ORP 4. A16, dass die Zugriffs- und Zugangskontrolle von IT-Systemen, IT-Komponenten und Datennetzen in Unternehmen und öffentlichen Einrichtungen einer (vom Unternehmen selbst gewählten) Richtlinie unterliegen sollte, und dass die Zugriffsrechte schriftlich dokumentiert werden sollte.

Das dahinterstehende Prinzip ist auch als Least Privilege Prinzip bzw. POLP oder Need-to-know-Prinzip bekannt und findet sich in den BSI-Maßnahmenempfehlungen im Bereich Identitäts- und Berechtigungsmanagement an verschiedenen Stellen in variierender Formulierung.

Die “Standard-Rechteprofile”, die das BSI als Grundlage der Berechtigungserteilung empfiehlt, heißen in tenfold Rollen. Wenn die Software erstmals in Betrieb genommen wird, setzt der tenfold–Profilassistent sämtliche Benutzer und Ressourcen über statistische Berechnungen ins Verhältnis zu Ihrer Organisationsstruktur und leitet daraus die optimalen Rollen ab (Role Mining).

Anhand dieser Rollen teilt die Software die Standardrechte automatisch zu und entfernt sie automatisch, wenn bestimmte Merkmale eines Mitarbeiters (z.B. die Abteilungszugehörigkeit) sich ändern (User Lifecycle Management).

Um zu garantieren, dass die erteilten Zugangsberechtigungen zu jeder Zeit den tatsächlichen Aufgaben und Funktionen der Mitarbeiter entsprechen, gibt es zusätzlich einen sogenannten Rezertifizierungsprozess.

tenfold führt jede Änderung an Zugangs- oder Zugriffsberechtigungen im Rahmen eines Requests (Antrags) durch. Diese Requests unterliegen entsprechenden Genehmigungsworkflows. Das bedeutet, dass der Verantwortliche aus dem Fachbereich (Data Owner) einer Änderung erst zustimmen muss, bevor diese tatsächlich im IT-System aktiv wird.

Es ist nicht möglich, Änderungen durchzuführen, ohne dabei einen Request zu erstellen. Alle wichtigen Vorgänge im Zusammenhang mit einem Request werden zuverlässig dokumentiert.

Einrichtung und Löschung von Benutzern und Benutzergruppen (ORP 4. A1)

Einrichtung, Änderung und Entzug von Berechtigungen (ORP 4. A2)

Dokumentation der Benutzerkennungen und Rechteprofile (ORP 4. A3)

Vergabe von Zugriffsrechten (ORP 4. A7)

Geeignete Auswahl von Identitäts- und Berechtigungsmanagement-Systemen (ORP 4. A17)

Geregelte Verfahrensweise beim Weggang von Mitarbeitern (ORP 2. A2)

Festlegung von Regelungen für den Einsatz von Fremdpersonal (ORP 2. A4)