BSI IT Grundschutz: Pflichten für Behörden & Unternehmen
Dass der BSI IT Grundschutz nicht nur für Behörden, sondern auch für Unternehmen essenziell ist, um in der digitalisierten Welt zu überleben, wissen wir nicht erst seit dem Solarwinds-Hack und dem Kaseya-Angriff. Das Problem ist nur, dass viele IT-Sicherheitsbeauftragte das IT-Grundschutz-Kompendium als Buch mit sieben Siegeln betrachten. Dabei ist der BSI IT Grundschutz absichtlich so gestaltet, dass sogar technisch weniger versierte Personen die benötigten Maßnahmen identifizieren und umsetzen können.
In diesem Beitrag schauen wir uns an, wie der BSI IT Grundschutz aufgebaut ist, welche Teilbereiche zur Sicherheit in der Informationstechnik gehören, welche Pflichten Unternehmen und Behörden im Rahmen der Zertifizierung haben, und wie das aktuelle IT-Grundschutz-Kompendium (Edition 2023) aussieht.
BSI IT Grundschutz – was ist das?
Der BSI IT Grundschutz ist zunächst einmal eine Sammlung von Standards und Katalogen, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bereitgestellt wird. Ziel des IT-Grundschutzes ist es, Unternehmen, Behörden und anderen Institutionen eine pauschalisierte Vorgehensweise für den Schutz ihrer Informationstechnik an die Hand zu geben.
Dabei beschreiben die BSI-Standards die Grundlagen für die Erstellung eines Informationssicherheitsmanagementsystems (ISMS) und die Kataloge (seit 2017 im IT-Grundschutz-Kompendium zusammengefasst) enthalten die konkreten Anforderungen.
IT Grundschutz 2023: Wann erscheint die neue Version?
Das BSI überarbeitet und aktualisiert das IT-Grundschutz-Kompendium und die darin enthaltenen Bausteine jährlich und veröffentlicht jeweils im Februar eine neue Edition. Zurzeit ist also das IT Grundschutz Kompendium (Edition 2023) die aktuellste Version des Standards. Die nächste Aktualisierung erfolgt im Februar 2024. Darüber hinaus stellt die Behörde mit jedem Update auch eine Übersicht der Änderungen zur Verfügung.
Zu den Änderungen der Edition 2023 zählen zehn neue Bausteine wie Geheimschutz, Client-Virtualisierung und Network Access Control, sowie größere Überarbeitungen in 21 Kapiteln. Dazu gehören etwa die Bereiche Organisation, Datenschutz, Ordnungsgemäße IT-Administration und Verzeichnisdienste.
Warum gibt es einen BSI IT Grundschutz?
Das BSI hat mit dem IT Grundschutz die Mammutaufgabe auf sich genommen, den Schutzbedarf von IT-Anwendungen und -Systemen zu beschreiben und Best-Practice-Beispiele zu ihrer Umsetzung zu liefern. Der Vorteil für den Anwender liegt darin, dass das BSI Standardmethoden und -maßnahmen bereitstellt.
Das bedeutet, dass Behörden und Unternehmen für den normalen Schutzbedarf ihrer Anwendungen und Systeme keine individuellen Analysen und Sicherheitskonzepte mehr benötigen.
Achtung, Ausnahme! Für IT-Objekte mit erhöhtem Schutzbedarf, die in den Katalogen bzw. im Kompendium nicht gelistet sind, sind nach wie vor individuelle Analysen erforderlich, die in das BSI-Gesamtkonzept integriert werden sollten.
Ist der IT Grundschutz verpflichtend?
Nein, grundsätzlich ist die Umsetzung der IT-Grundschutz-Maßnahmen nicht verpflichtend. Die Standards und das Kompendium stellen viel mehr eine Art Hilfe zur Selbsthilfe dar.
Das BSI will Unternehmen durch die standardisierten Prozesse und Maßnahmenempfehlungen in die Lage versetzen, den Herausforderungen von Digitalisierung und steigender Cyber-Kriminalität souverän zu begegnen. Der BSI-IT-Grundschutz ist ein Angebot, keine Pflicht.
Welche Institutionen sollten BSI IT Grundschutz umsetzen?
Grundsätzlich richten sich der BSI IT Grundschutz und die in den Sicherheitsstandards und Bausteinen des Grundschutz-Kataloges beschriebenen Maßnahmen an Institutionen aller Größen und Arten, “die eine […] zielführende Methode zum Aufbau und zur Umsetzung der für sie angemessenen Informationssicherheit benötigen”. (Wortlaut aus dem BSI-IT-Grundschutz-Standard 1 übernommen)
Eine besondere Bedeutung kommt dem BSI IT Grundschutz im Rahmen der Zertifizierung nach ISO 27001 zu. Da es sich bei ISO/IEC 27001 um eine internationale Norm handelt, besteht für die ISO-Zertifizierung zwar keine Pflicht zur Implementierung des BSI-Grundschutzes.
Aber viele Unternehmen, Behörden und andere Institutionen verwenden das Grundschutz-Kompendium als Referenz, um ein ISO-27001-konformes Sicherheitsmanagement aufzubauen. Mehr Informationen hierzu finden Sie weiter unten.
BSI IT-Grundschutz und Kritisverordnung
Der IT-Grundschutz und die KRITIS-Verordnung werden häufig verwechselt, weil sie naturgemäß ähnliche Themen behandeln. Der Unterschied besteht darin, dass der Bund mit dem Grundschutz-Kompendium eine pauschalisierte Vorgehensweise für den Schutz der Informationstechnik von Unternehmen, Behörden und anderen Institutionen aller Größen geschaffen hat, deren Umsetzung jedoch nicht verpflichtend ist.
Die BSI-Kritisverordnung hingegen bezieht sich ausschließlich auf die Kritischen Infrastrukturen (KRITIS). Als solche bezeichnet das Bundesministerium des Inneren (BMI) jene Organisationen und Einrichtungen, deren ernsthafte Beeinträchtigung oder Ausfall dramatische Folgen für das staatliche Gemeinwohl hätte. Die Umsetzung der Verordnung ist für Unternehmen, die die jeweiligen Schwellenwerte erreichen, verpflichtend.
Unter diesem Link erfahren Sie, welche Einrichtungen zu den KRITIS zählen, welche Vorschriften es durch das IT-Sicherheitsgesetz zu beachten gilt, und welche Rolle eine IAM Software im Rahmen einer Zertifizierung gemäß BSI-Kritisverordnung spielen kann.
KRITIS-Verordnung mithilfe des IT-Grundschutzes erfüllen
Der Bund und die Verordnung zum Schutz Kritischer Infrastrukturen stellen es den Betreibern frei, auf welche Art und Weise die notwendigen Bedingungen geschaffen werden. Neben den sog. branchenspezifischen Sicherheitsstandards kann selbstverständlich auch der BSI-IT-Grundschutz KRITIS-Betreibern als Leitfaden für die Implementierung eines geeigneten Informationssichermanagements dienen.
BSI IT-Grundschutz und Datenschutz
Es ist wichtig zu wissen, dass der IT-Grundschutz KEINE Methodik für den Datenschutz bereitstellt. Es gibt zwar einen Baustein, der sich mit der Notwendigkeit des Datenschutzes in Unternehmen, Behörden und anderen Institutionen auseinandersetzt (CON.2: Datenschutz), aber der Baustein beschreibt lediglich die Anforderungen an ein Datenschutz-Management und enthält keine Anleitung dafür, wie man ein solches Management etabliert.
BSI Standards im Überblick
Es gibt vier BSI-Standards, wobei der letzte (BSI-Standard 200-4) sich aktuell noch in der Kommentierungsphase befindet. Die vier Standards enthalten Empfehlungen zu Methoden, Prozessen und Verfahren zu unterschiedlichen Aspekten der Informationssicherheit.
Konkret betroffen sind die Bereiche Personal, Gebäude, Soft- und Hardware, Organisation und Kommunikationsnetze. Das BSI überarbeitet und aktualisiert die vier Standards regelmäßig und gleicht sie mit geltenden internationalen Normen ab. Ausführliche Informationen über die vier BSI Standards finden Sie hier, die Kurzfassung folgt jetzt.
Managementsysteme für Informationssicherheit (BSI-Standard 200-1)
Der BSI-Standard 200-1 beschreibt die allgemeinen Anforderungen an ein ISMS. Ein ISMS ist ein Managementsystem für Informationssicherheit. Es sorgt dafür, dass die IT-Sicherheit in einem Unternehmen geplant, implementiert, überwacht, geprüft und laufend verbessert wird. Mehr Informationen über den BSI-Standard 200-1.
IT-Grundschutz-Methodik (BSI-Standard 200-2)
Der BSI-Standard 200-2 beschreibt die exakte Methodik, mithilfe derer Unternehmen das ISMS ausbauen können bzw. sollten. Der Standard schlägt drei unterschiedliche Vorgehensweisen zur Umsetzung vor: Basis-, Standard- und Kern-Absicherung. Mehr Informationen über den BSI-Standard 200-2.
Risikomanagement (BSI-Standard 200-3)
Der BSI-Standard 200-3 fasst sämtliche risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes zusammen. Die Arbeit mit diesem Standard bietet sich v.a. dann an, wenn ein Unternehmen, eine Behörde oder eine andere Institution die IT-Grundschutz-Methodik (200-2) bereits eingeführt hat und die Risikoanalyse direkt anschließen will. Mehr Informationen über den BSI-Standard 200-3.
Business Continuity Management (BSI-Standard 200-4)
Der BSI-Standard 200-4 liefert eine praxisnahe Anleitung dafür, wie Verantwortliche ein Business Continuity Management System (BCMS) in ihrer Institution etablieren und aufbauen können. Ein BCMS, auch betriebliches Kontinuitätsmanagement genannt, bündelt Methoden, Verfahren und Regeln zur Sicherstellung der Fortführung kritischer Geschäftsprozesse im Not- und Schadensfall.
Der Standard 200-4 löst den BSI-Standard 100-4 (Notfallmanagement) ab. Dieser bleibt aber noch so lange gültig, bis die finale Version des BSI-Standards 200-4 veröffentlicht wird.
BSI IT-Grundschutz Zertifizierung
Die Zertifizierung auf Basis des BSI-IT-Grundschutzes bietet Unternehmen, Behörden und anderen Institutionen die Möglichkeit, die Sicherheit eines Informationsverbundes oder einzelner Bestandteile (z.B. eines Rechenzentrums) offiziell nachzuweisen.
Die Zertifizierung schafft Vertrauen nach innen und außen und bedeutet für viele Unternehmen einen Wettbewerbsvorteil gegenüber nicht zertifizierten Anbietern. Das Bundesamt für Sicherheit in der Informationstechnik bietet verschiedene Möglichkeiten der Zertifizierung:
Basis-Absicherung (= grundlegende Absicherung der Geschäftsprozesse; gilt als Einstieg in den IT-Grundschutz)
Kern-Absicherung (= Zielt auf die vertiefte Absicherung der absolut kritischsten Bereiche, also der wichtigsten Geschäftsprozesse und Assets, ab.)
Standard-Absicherung (= belegt die Implementierung eines ISMS mit umfassendem Schutz für alle Prozesse und Bereiche der Institution)
Basis-, Kern- und Standard-Absicherung zertifiziert das Bundesamt für Sicherheit in der Informationstechnik mittels entsprechenden Testaten. Die Standard- und die Kern-Absicherung können zusätzlich nach ISO 27001 zertifiziert werden.
ISO 27001 Zertifizierung
Bei der ISO-27001 handelt es sich um eine Norm der International Organization for Standardization (ISO). Die ISO/IEC-27001-Norm spezifiziert die Anforderungen für die Herstellung, Einführung, den Betrieb, die Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheitsmanagementsystems (ISMS).
Organisationen, die sich nach ISO 27001 zertifizieren lassen, erbringen damit den dokumentierten Nachweis, dass ihr ISMS mit den Anforderungen der ISO/IEC-27001-Norm konform ist.
Zur Zertifizierung nach ISO 27001 besteht grundsätzlich zwar keine Pflicht, aber häufig gehen Unternehmen, Behörden und andere Organisationen diesen Weg, um ihre IT-Sicherheit Kunden oder Kooperationspartnern gegenüber nachzuweisen. In manchen Fällen werden Betriebe auch von ihrem Verband zur Zertifizierung aufgefordert.
Wie läuft die Zertifizierung ab?
Die ISO-27001-Zertifizierung startet mit einer freiwilligen Selbsteinschätzung (Voraudit). Es folgen zwei weitere Zertifizierungsstufen durch einen vom BSI lizenzierten Auditor (die Abnahme durch das BSI gilt natürlich nur für Deutschland). Stellt dieser Nichtkonformitäten mit der ISO 27001 fest, hat das Unternehmen anschließend die Möglichkeit, entsprechende Korrekturmaßnahmen umzusetzen. Die Zertifizierung nach ISO 27001 ist drei Jahre gültig. Weitere Informationen über den Ablauf der ISO 27001 Zertifizierung.
ISO 27001: Anforderungen an das Access Management
In unserem Whitepaper erfahren Sie alles über die ISO Vorbereitung, wichtige Dokumente und die Vorgaben an das Identity und Access Management.
ISO 27001 Zertifizierung Kosten
Die Kosten der Zertifizierung nach ISO 27001 hängen, genau wie die Kosten der Zertifizierungsmöglichkeiten im Rahmen des BSI-Grundschutzes, von der aktuellen Situation des Unternehmens ab. Im Wesentlichen setzen die Kosten sich aus folgenden Posten zusammen:
Verbesserung der IT-Infrastruktur nach Vorgaben des BSI-IT-Grundschutz-Kompendiums
ggf. externe Unterstützung für ISO 27001 -und ISMS-Consulting
interner Aufwand für die Einführung des ISMS und die Vorbereitung auf die Zertifizierung
Kosten für die Durchführung des Prüfprozesses, etwaige Nachbesserungen und die Ausstellung des Zertifikats
BSI-IT-Grundschutz vs. ISO 27001
BSI IT Grundschutz und ISO 27001 haben zwar einen ähnlichen Ansatz, da sich mit beiden Standards Risiken aus dem Bereich der Informationstechnik ermitteln und durch entsprechende Maßnahmen auf ein akzeptables Maß reduzieren lassen, aber sie sind nicht deckungsgleich. ISO 27001 Management Consulting informiert auf ihrer Webseite über die genauen Unterschiede zwischen BSI-IT-Grundschutz und ISO-27001-Zertifizierung.
Der Grund dafür, dass der BSI IT Grundschutz häufig in einem Atemzug mit der ISO 27001 Zertifizierung genannt wird, ist die Priorisierung des geeigneten ISMS, die sich in beiden Standards findet.
Der BSI-Standard-1 sowie der erste Baustein des BSI-Grundschutz-Kompendiums (ISMS.1 Sicherheitsmanagement) beschäftigen sich ausführlich mit den Anforderungen an und der Einführung eines geeigneten Informationssichermanagements.
Da die Einführung und laufende Verbesserung eines geeigneten ISMS auch das Ziel der ISO 27001 ist, nutzen viele Anwender (in Deutschland) die Maßnahmenempfehlungen des BSI als Richtwerte oder eine Art Kompass, um das ISMS in der eigenen Organisation zu verbessern bzw. um sich auf die Zertifizierung nach ISO vorzubereiten.
Was ist der IT-Grundschutz Check?
Bevor Sie die Zertifizierung durch einen vom BSI lizensierten Auditor ins Auge fassen, sollten Sie einen IT-Grundschutz-Check durchführen. Dabei handelt es sich um eine umfangreiche Anleitung bzw. einen ausführlichen Fragebogen, mit dessen Hilfe Sie feststellen können, ob die bereits umgesetzten Sicherheitsmaßnahmen mit den Anforderungen des zuvor (auf der Grundlage des IT-Grundschutz-Kompendiums) entwickelten IT-Grundschutz-Modells übereinstimmen.
Mit Hilfe des IT-Grundschutz-Checks können Sie einordnen, welches Sicherheitsniveau Ihr Unternehmen aktuell aufweist, und welche Verbesserungsmöglichkeiten es gibt. Weitere Informationen zum IT-Grundschutz-Check des Bundesamtes für Sicherheit in der Informationstechnik finden Sie hier.
BSI-Grundschutz-Katalog bzw. BSI-Kompendium 2023
Die BSI-Kataloge enthalten die konkreten Beschreibungen der verschiedenen Gefährdungen für IT-Systeme und -Anwendungen sowie die geeigneten Maßnahmen zur Sicherstellung der IT-Sicherheit. Sie können sich die IT-Grundschutz-Kataloge wie das Praxishandbuch zu den IT-Standards vorstellen. Sie sind nach dem Baukasten-Prinzip aufgebaut und enthalten sowohl Beispiele als auch Kontrollfragen, mit deren Hilfe Sicherheitsverantwortliche Schwachstellen ihrer IT-Systeme identifizieren können.
Im Zuge der Modernisierung des IT-Grundschutzes hat das BSI die Grundschutz-Kataloge 2017 zum IT-Grundschutz-Kompendium zusammengefasst. Das IT-Grundschutz-Kompendium 2023 finden Sie hier.
IT-Grundschutz Bausteine
Die IT-Grundschutz-Bausteine sind das Herzstück des Grundschutz-Kompendiums. Aktuell sind die IT-Grundschutz-Bausteine in zehn thematische Bereiche unterteilt, die von Anwendungen (APP) über die Industrielle IT (IND) bis zu Sicherheitsmanagement (ISMS) reichen. Jeder Baustein besteht aus einem oder mehreren Teilbereichen und beschreibt eingangs die mögliche Gefährdungslage und anschließend die jeweiligen Sicherheitsanforderungen, die notwendig sind, um diesen Gefährdungen angemessen zu begegnen.
Benutzerdefinierte Bausteine
Als Anwender des IT-Grundschutzes haben Sie die Möglichkeit, Ihre Erfahrung und Expertise in Form eines benutzerdefinierten Bausteins einzubringen. Dies bietet sich beispielsweise an, wenn Sie den IT-Schutz Ihres Unternehmens in einem Teilbereich optimieren, für den es bisher noch keinen Standard-Baustein gibt.
Sie können Ihre Erkenntnisse und Arbeitsergebnisse auf der IT-Grundschutz-Website als benutzerdefinierten Baustein anlegen, damit andere Unternehmen von Ihrem Know-How profitieren können. Bei hoher Nachfrage behält sich das BSI vor, benutzerdefinierte Bausteine weiter auszubauen und in das Kompendium aufzunehmen. Mehr Informationen über benutzerdefinierte Bausteine.
BSI IT-Grundschutz umsetzen
Das Bundesamt für Sicherheit in der Informationstechnik gibt Anwendern explizite Umsetzungshinweise an die Hand, die nicht Teil des Grundschutz-Kompendiums sind, sondern separat heruntergeladen werden können. Die Umsetzungshinweise des BSI sind jedoch, genau wie das gesamte Grundschutz-Kompendium, nicht verpflichtend.
Wie jede Sicherheitszertifizierung gibt auch der BSI-IT-Grundschutz nämlich keine konkreten Maßnahmen, sondern Ziele vor. Auf welche Art und Weise diese Ziele erreicht werden, ist nicht maßgeblich.
Wichtig ist aber, dass Sie an der Basis starten. Sie können kein ausgereiftes Konzept für Informationssicherheit und Risikomanagement umsetzen, solange Sicherheitslücken in den alltäglichen Arbeitsabläufen bestehen. Aus diesem Grund entscheiden sich viele Unternehmen dafür, als ersten Schritt auf dem Weg zu einem effektiven ISMS eine professionelle Benutzerverwaltung zu implementieren.
Basis schaffen mit tenfold
IAM-Software wie tenfold hilft Unternehmen dabei, ihre IT-Zugriffsrechte optimal einzustellen und die Vergabe von Berechtigungen gemäß geltender Compliance-Richtlinien zu organisieren und zu dokumentieren. tenfold gehört mit 1000+ aktiven Installationen zu den führenden Anbietern im DACH-Gebiet. Zu den Märkten zählen außerdem Großbritannien und Nordamerika.
Da die Umsetzung der BSI-IT-Grundschutz-Anforderungen mit der Implementierung eines ISMS (Informationssicherheitsmanagementsystem) steht und fällt, ist Identity and Access Management natürlich auch im IT-Grundschutz-Kompendium 2023 ein wichtiges Thema.
Was leistet tenfold?
tenfold bringt Ordnung ins Chaos, indem die Software Prozesse, die bisher manuell abliefen, standardisiert und anschließend in Workflows automatisiert. Selbstverständlich reicht es für eine vollständige Zertifizierung nach BSI-IT-Grundschutz NICHT aus, tenfold zu implementieren. Sie schaffen hiermit jedoch eine stabile Basis, auf der Sie aufbauen können.
Die Software schließt vorrangig jene Sicherheitslücken, die durch die manuelle Berechtigungsvergabe und durch die Arbeit mit verschiedenen, nicht zentralisierten Systemen, Programmen und Anwendungen entstehen. Im Folgenden schauen wir uns an, welche Anforderungen aus dem BSI-IT-Grundschutz-Kompendium 2023 tenfold konkret erfüllt.
IAM im BSI IT Grundschutz
Die Handhabung von Zugriffsberechtigungen wird im zweiten Themenbereich (ORP: Organisation und Personal) des BSI-Kompendiums behandelt. Den Baustein ORP. 4: Identitäts- und Berechtigungsmanagement können Sie hier downloaden. Neben dem Baustein ORP. 4 deckt tenfold auch Teilbereiche der Bausteine ORP. 2 (Personal), OPS. 1.1.2 (Ordnungsgemäße IT-Administration) und OPS 2.2. (Cloud-Nutzung) ab:
Regelung für die Einrichtung und Löschung von Benutzern und Benutzergruppen
“Es MUSS geregelt werden, wie Benutzerkennungen und Benutzergruppen einzurichten und zu löschen sind. Jede Benutzerkennung MUSS eindeutig einem Benutzer zugeordnet werden können. […] Nicht benötigte Benutzerkenngen, wie z.B. standardmäßig eingerichtete Gastkonten oder Standard-Administratorkennungen, MÜSSEN geeignet deaktiviert oder gelöscht werden.”
Lösung in tenfold
Mitarbeiter werden in tenfold erfasst und über ihr tenfold-Benutzerkonto eindeutig identifiziert. Der Datensatz für einen Mitarbeiter umfasst einen konfigurierbaren Umfang an Attributen. Darüber hinaus kann tenfold diese Attribute auch automatisch aus anderen Systemen übernehmen (z.B. aus der HR-Software).
tenfold arbeitet mit rollenbasierter Berechtigungsvergabe, wodurch wir die Vergabe von Zugriffsrechten mit Ihrer Organisationsstruktur verknüpfen. Diese Art der Benutzerverwaltung ist sowohl zeitsparend als auch effizient, weil sie es der Software ermöglicht, Standardrechte automatisch zuzuteilen, aber auch automatisch zu entfernen, wenn bestimmte Merkmale eines Mitarbeiters (z.B. die Abteilungszugehörigkeit) sich ändern.
Das tenfold User Lifeycycle Management sorgt dafür, dass nicht mehr benötigte Benutzerkonten automatisch deaktiviert bzw. gelöscht werden.
Detaillierte Informationen über die Umsetzung des Bausteins ORP 4.A1 in tenfold
Einrichtung, Änderung und Entzug von Berechtigungen
“Benutzerkennungen und Berechtigungen DÜRFEN NUR aufgrund des tatsächlichen Bedarfs und der Notwendigkeit zur Aufgabenerfüllung vergeben werden (engl. Least Privilege Principle). Bei personellen Veränderungen MÜSSEN die nicht mehr benötigten Benutzerkennungen und Berechtigungen entfernt werden. Beantragen Mitarbeiter Berechtigungen, die über den Standard hinausgehen, DÜRFEN diese NUR nach zusätzlicher Begründung und Prüfung vergeben werden. […].”
Lösung in tenfold
tenfold ist perfekt an die Erfordernisse in Microsoft-Umgebungen angepasst und baut die Berechtigungsstrukturen von Anfang an nach Best Practices und dem Least-Privilege-Prinzip auf. Auf diese Weise erhalten Mitarbeiter ausschließlich jene Rechte, die sie wirklich brauchen.
Das tenfold User Lifeycycle Management sorgt dafür, dass die Zugriffsrechte bei personellen Veränderungen (z.B. bei Abteilunsgwechseln) automatisch angepasst und bei Bedarf (z.B. Im Falle eines Austritts) entfernt werden.
Mitarbeiter können Berechtigungen, die über die nach Rollen zugeteilten Standardberechtigungen hinausgehen, über die Self-Service-Oberfläche in tenfold beantragen. Die Freigabe kann ausschließlich durch den in tenfold hinterlegten Data Owner (Dateneigentümer) erfolgen. Dieser muss die Genehmigung in einem automatisierten Workflow erteilen.
Um zu garantieren, dass auch jene Sonderberechtigungen, die nicht Teil des Standard-Sets sind und daher nicht dem User Lifecycle Management unterliegen, stets dem aktuellen Stand entsprechend, gibt es in tenfold einen Rezertifizierungsprozess: Der jeweilige Dateneigentümer wird in regelmäßigen Abständen automatisch dazu aufgefordert, sämtliche Berechtigungen, die in seinen Verantwortungsbereich fallen, zu kontrollieren. Er muss sie entweder bestätigen oder umgehend entfernen.
Detaillierte Informationen über die Umsetzung des Bausteins ORP 4.A2 in tenfold
Dokumentation der Benutzerkennungen und Rechteprofile
“Es MUSS dokumentiert werden, welche Benutzerkennungen, angelegte Benutzergruppen und Rechteprofile zugelassen und angelegt wurden. Die Dokumentation der zugelassenen Benutzer, angelegten Benutzergruppen und Rechteprofile MUSS regelmäßig daraufhin überprüft werden, ob sie den tatsächlichen Stand der Rechtevergabe widerspiegelt und ob die Rechtevergabe noch den Sicherheitsanforderungen und den aktuellen Aufgaben der Benutzer entspricht. Die Dokumentation MUSS vor unberechtigtem Zugriff geschützt werden. [….]”
Lösung in tenfold
tenfold speichert jede Änderung an Benutzern und Berechtigungen, sodass sämtliche Vorgänge jederzeit lückenlos nachvollzogen werden können. Die Reporting-Funktion schließt eine nachträgliche Manipulation von Daten zuverlässig aus. Das Reporting setzt sich zusammen aus dem tenfold Auditor, dem tenfold Pathfinder und diversen Reports in unterschiedlichen Formaten (online, PDF, Excel).
Um zu gewährleisten, dass die Benutzer, angelegten Benutzergruppen und Rechteprofile noch dem tatsächlichen Stand der Rechtevergabe entsprechen, gibt es einen Rezertifizierungsprozess: Der jeweilige Dateneigentümer wird in regelmäßigen Abständen automatisch dazu aufgefordert, sämtliche Berechtigungen, die in seinen Verantwortungsbereich fallen, zu kontrollieren. Er muss sie entweder bestätigen oder umgehend entfernen.
Detaillierte Informationen über die Umsetzung des Bausteins ORP 4.A3 in tenfold
Vergabe von Zugriffsrechten
“Es MUSS festgelegt werden, welche Zugriffsrechte an welche Personen im Rahmen ihrer Funktion vergeben bzw. ihnen entzogen werden. Werden im Rahmen der Zugriffskontrolle Chipkarten oder Token verwendet, so MUSS die Ausgabe bzw. der Entzug dokumentiert werden. Die Anwender SOLLTEN für den korrekten Umgang mit Chipkarten oder Token geschult werden. Bei längeren Abwesenheiten SOLLTEN berechtigte Personen vorübergehend gesperrt werden.”
Lösung in tenfold
tenfold arbeitet mit Role-Based Access Control (RBAC). Das bedeutet, dass die Software die Ressourcen und Berechtigungen aus unterschiedlichen Zielsystemen gruppiert und mit der jeweiligen Organisationseinheit verknüpft. Aus dieser Verknüpfung entstehen verschiedene Rollen (allgemein als Geschäftsrollen bezeichnet) mit ihren jeweiligen Standardberechtigungen. Die Rollen, die einem Mitarbeiter zugeordnet sind, dienen als Kontrollmechanismus für den Zugriff auf sämtliche Ressourcen im Unternehmen (Access Control).
Das tenfold User Lifeycycle Management sorgt dafür, dass die Zugriffsrechte bei personellen Veränderungen (z.B. bei Abteilunsgwechseln) automatisch angepasst und bei Bedarf (z.B. Im Falle eines Austritts) entfernt werden.
tenfold führt jede Änderung an Zugangs- oder Zugriffsberechtigungen im Rahmen eines Requests (Antrags) durch. Diese Requests unterliegen entsprechenden Genehmigungsworkflows. Das bedeutet, dass der verantwortliche Dateneigentümer aus dem Fachbereich einer Änderung erst zustimmen muss, bevor diese im IT-System aktiv wird. Alle wichtigen Vorgänge im Zusammenhang mit einem Request werden zuverlässig dokumentiert.
Detaillierte Informationen über die Umsetzung des Bausteins ORP 4.A7 in tenfold
Richtlinien für die Zugriffs- und Zugangskontrolle
“Es SOLLTE eine Richtlinie für die Zugriffs- und Zugangskontrolle von IT-Systemen, IT-Komponenten und Datennetzen erstellt werden. Es SOLLTEN Standard-Rechteprofile benutzt werden, die den Funktionen und Aufgaben der Mitarbeiter entsprechen. Für jedes IT-System und jede IT-Anwendung SOLLTE eine schriftliche Zugriffsregelung existieren.”
Lösung in tenfold
Die Zugriffskontrolle ist in tenfold über Rollen geregelt. Wenn die Software erstmals in Betrieb genommen wird, setzt der tenfold–Profilassistent sämtliche Benutzer und Ressourcen über statistische Berechnungen ins Verhältnis zu Ihrer Organisationsstruktur und leitet daraus die optimalen Rollen ab (Role Mining). Anhand dieser Rollen teilt die Software die Standardrechte automatisch zu und entfernt sie automatisch, wenn bestimmte Merkmale eines Mitarbeiters (z.B. die Abteilungszugehörigkeit) sich ändern.
Um zu garantieren, dass die erteilten Zugangsberechtigungen zu jeder Zeit den tatsächlichen Aufgaben und Funktionen der Mitarbeiter entsprechen, gibt es zusätzlich einen sogenannten Rezertifizierungsprozess. tenfold speichert jede an Benutzern und Berechtigungen vorgenommene Änderung lückenlos und auditsicher.
Für das Management des physischen Zutritts gibt es in tenfold direkt keine Funktion. Mithilfe einer Schnittstelle ist es allerdings möglich, physische Zutrittssysteme über Berechtigungsprofile zu steuern. Dadurch wird der physische Zutritt bei einem Abteilungswechsel automatisch angepasst. Aktuell ist es z.B. möglich, tenfold über das PKE SMS Plugin mit dem Schließsystem von PKE zu integrieren, um den physischen Zutritt der Mitarbeiter zu managen.
Detaillierte Informationen über die Umsetzung des Bausteins ORP 4.A16 in tenfold
Geeignete Auswahl von Identitäts- und Berechtigungsmanagement-Systemen
“Beim Einsatz eines Identitäts- und Berechtigungsmanagement-Systems SOLLTE dieses für die Institution und deren jeweilige Geschäftsprozesse, Organisationsstrukturen und Abläufe sowie deren Schutzbedarf geeignet sein. Das Identitäts- und Berechtigungsmanagement-System SOLLTE die in der
Institution vorhandenen Vorgaben zum Umgang mit Identitäten und Berechtigungen abbilden können. […]”
Lösung in tenfold
tenfold ist hervorragend an die Bedürfnisse von mittelständischen Organisationen angepasst und schützt den Zugang zu Ihren sensiblen Daten sowohl on-Premise als auch in der Cloud und in hybriden Netzwerkumgebungen. Mehr Informationen über die Vorteile von tenfold für das Midmarket-Segment finden Sie hier.
Detaillierte Informationen über die Umsetzung des Bausteins ORP 4.A17 in tenfold
Geregelte Verfahrensweise beim Weggang von Mitarbeitern
“Verlässt ein Mitarbeiter die Institution, MUSS der Nachfolger rechtzeitig eingewiesen werden. Dies SOLLTE idealerweise durch den ausscheidenden Mitarbeiter erfolgen. Ist eine direkte Übergabe nicht möglich, MUSS vom ausscheidenden Mitarbeiter eine ausführliche Dokumentation angefertigt werden.”
Lösung in tenfold
Die notwendigen Prozesse beim Ausscheiden von Personal werden in tenfold im Optimalfall über eine direkte technische Schnittstelle zur Personalmanagement-Software realisiert. Sobald tenfold über die Schnittstelle (oder durch manuelle Eingabe auf der Oberfläche) die Information erhält, dass ein Mitarbeiter ausscheidet, sperrt die Software alle Zugänge des Mitarbeiters und entzieht automatisch sämtliche Zugriffsrechte.
Sofern die Ausgabe von Gegenständen wie Hardware oder Authentifizierungs-Tokens über Workflows in tenfold abgebildet wurde, generiert die Software auch automatisch Aufträge für die Rückholung dieser Gegenstände.
Detaillierte Informationen über die Umsetzung des Bausteins ORP 2.A2 in tenfold
Festlegung von Regelungen für den Einsatz von Fremdpersonal
“Wird externes Personal beschäftigt, MUSS dieses wie alle eigenen Mitarbeiter dazu verpflichtet werden, geltende Gesetze, Vorschriften und interne Regelungen einzuhalten. […] Auch für diese Mitarbeiter MUSS eine Vertretungsregelung eingeführt werden. Verlässt das Fremdpersonal die Institution, MÜSSEN Arbeitsergebnisse wie bei eigenem Personal geregelt übergeben und eventuell ausgehändigte Zugangsberechtigungen zurückgegeben werden.”
Lösung in tenfold
Mithilfe von tenfold können Sie externes Personal problemlos verwalten, indem Sie Externe in tenfold als eigenen Personentyp abbilden. Auf diese Weise können Sie bei vielen Einstellungen zwischen internem Personal und Fremdpersonal unterscheiden.
Um Zugangsberechtigungen und Zugriffsrechte von Fremdpersonal nach einem Ausscheiden zuverlässig sperren zu können, empfiehlt es sich, für jeden Externen einen internen Verantwortlichen zu hinterlegen, welcher die Zugänge des Externen regelmäßig (z.B. alle drei Monate) nach automatischer Aufforderung aktiv verlängern muss (Rezertifizierung). Im Falle einer Nicht-Verlängerung sperrt die Software sämtliche Zugänge des Externen automatisch.
Detaillierte Informationen über die Umsetzung des Bausteins ORP 2.A4 in tenfold
Nachweisbarkeit von administrativen Tätigkeiten
“Die Institution MUSS jederzeit nachweisen können, welcher Administrator welche administrativen Tätigkeiten durchgeführt hat. Dazu SOLLTE jeder Administrator über eine eigene Benutzerkennung verfügen. Auch Vertreter von Administratoren SOLLTEN eigene Benutzerkennungen erhalten.”
Lösung in tenfold
In tenfold wird jede Änderung an Benutzern und Berechtigungen lückenlos gespeichert und kann jederzeit nachvollzogen werden kann. Die Reporting-Funktion schließt eine nachträgliche Manipulation von Daten zuverlässig aus. Aus der Dokumentation geht ebenfalls hervor, welcher Benutzer bzw. Administrator die Änderung wann vorgenommen hat.
“Es MUSS geregelt werden, wie Benutzerkennungen und Benutzergruppen einzurichten und zu löschen sind. Jede Benutzerkennung MUSS eindeutig einem Benutzer zugeordnet werden können. […] Nicht benötigte Benutzerkenngen, wie z.B. standardmäßig eingerichtete Gastkonten oder Standard-Administratorkennungen, MÜSSEN geeignet deaktiviert oder gelöscht werden.”
Lösung in tenfold
Mitarbeiter werden in tenfold erfasst und über ihr tenfold-Benutzerkonto eindeutig identifiziert. Der Datensatz für einen Mitarbeiter umfasst einen konfigurierbaren Umfang an Attributen. Darüber hinaus kann tenfold diese Attribute auch automatisch aus anderen Systemen übernehmen (z.B. aus der HR-Software).
tenfold arbeitet mit rollenbasierter Berechtigungsvergabe, wodurch wir die Vergabe von Zugriffsrechten mit Ihrer Organisationsstruktur verknüpfen. Diese Art der Benutzerverwaltung ist sowohl zeitsparend als auch effizient, weil sie es der Software ermöglicht, Standardrechte automatisch zuzuteilen, aber auch automatisch zu entfernen, wenn bestimmte Merkmale eines Mitarbeiters (z.B. die Abteilungszugehörigkeit) sich ändern.
Das tenfold User Lifeycycle Management sorgt dafür, dass nicht mehr benötigte Benutzerkonten automatisch deaktiviert bzw. gelöscht werden.
Detaillierte Informationen über die Umsetzung des Bausteins ORP 4.A1 in tenfold
Allgemeine Verzeichnisdienste absichern
Im Themenbereich APP (Anwendungen), Baustein APP 2.1 (Allgemeiner Verzeichnisdienst) gibt das Bundesamt für Informationssicherheit Empfehlungen dafür, wie allgemeine Verzeichnisdienste sicher zu betreiben und die durch sie verarbeiteten Informationen angemessen zu schützen sind.
Die in diesem Baustein aufgezeigten Maßnahmen lassen sich durch tenfold zwar nicht vollends umsetzen, aber die IAM-Software hat trotzdem einen Mehrwert für folgende der dargestellten kritischen Bereiche:
Einrichtung von Zugriffsberechtigungen auf Verzeichnisdienste
“Die administrativen Aufgaben für die Administration des Verzeichnisdienstes selbst sowie für die eigentliche Verwaltung der Daten MÜSSEN strikt getrennt werden. Die administrativen Tätigkeiten SOLLTEN so delegiert werden, dass sie sich möglichst nicht überschneiden.
Alle administrativen Aufgabenbereiche und Berechtigungen SOLLTEN ausreichend dokumentiert werden. Die Zugriffsrechte der Benutzer- und Administratorengruppen MÜSSEN anhand der erstellten Sicherheitsrichtlinie konfiguriert und umgesetzt werden. Bei einer eventuellen Zusammenführung
mehrerer Verzeichnisdienstbäume MÜSSEN die daraus resultierenden effektiven Rechte kontrolliert werden.”
Lösung in tenfold
Die Schnittstelle zu Active Directory ist ein integraler Bestandteil von tenfold. Sämtliche Änderungen, die im Verzeichnisdienst durchzuführen sind, erfolgen nicht im Verzeichnis selbst, sondern mittelbar durch tenfold. Sämtliche Vorgänge, die im Zusammenhang mit dem Verzeichnisdienst stehen, werden vollständig dokumentiert und können jederzeit nachvollzogen werden.
Sicherer Betrieb von Verzeichnisdiensten
“Die Sicherheit des Verzeichnisdienstes MUSS im Betrieb permanent aufrechterhalten werden. Alle den Betrieb eines Verzeichnisdienst-Systems betreffenden Richtlinien, Regelungen und Prozesse SOLLTEN dokumentiert werden. […]
Lösung in tenfold
Sämtliche Prozesse für das Active Directory sind in tenfold bestens dokumentiert und können jederzeit auch extern nachvollzogen werden. Das Berechtigungs-Reporting von tenfold unterstützt Sie bei der Vorbereitung auf Audits.
“Die administrativen Aufgaben für die Administration des Verzeichnisdienstes selbst sowie für die eigentliche Verwaltung der Daten MÜSSEN strikt getrennt werden. Die administrativen Tätigkeiten SOLLTEN so delegiert werden, dass sie sich möglichst nicht überschneiden.
Alle administrativen Aufgabenbereiche und Berechtigungen SOLLTEN ausreichend dokumentiert werden. Die Zugriffsrechte der Benutzer- und Administratorengruppen MÜSSEN anhand der erstellten Sicherheitsrichtlinie konfiguriert und umgesetzt werden. Bei einer eventuellen Zusammenführung
mehrerer Verzeichnisdienstbäume MÜSSEN die daraus resultierenden effektiven Rechte kontrolliert werden.”
Lösung in tenfold
Die Schnittstelle zu Active Directory ist ein integraler Bestandteil von tenfold. Sämtliche Änderungen, die im Verzeichnisdienst durchzuführen sind, erfolgen nicht im Verzeichnis selbst, sondern mittelbar durch tenfold. Sämtliche Vorgänge, die im Zusammenhang mit dem Verzeichnisdienst stehen, werden vollständig dokumentiert und können jederzeit nachvollzogen werden.
Gefährdungen durch Nutzung von Cloud-Diensten
Der Baustein OPS 2.2 (Cloud-Nutzung) des BSI-Grundschutz-Kompendiums beschreibt die Gefährdungen, die entstehen, wenn Unternehmen, Behörden oder andere Institutionen Cloud-Dienste nutzen und diese nicht angemessen in die lokale IT einbinden. Laut dem Bundesamt für Sicherheit in der Informationstechnik kann eine unzureichende Einbindung von Cloud-Diensten in die lokale IT-Infrastruktur u.a. dazu führen, dass
die Benutzer die beauftragten Cloud-Dienstleistungen nicht in vollem Umfang abrufen können.
die Benutzer gar nicht oder nur eingeschränkt auf die Cloud-Dienste zugreifen können.
Geschäftsprozesse verlangsamt werden oder ganz ausfallen.
schwerwiegende Sicherheitslücken entstehen.
Wie löst tenfold das Problem?
Der Gap zwischen Cloud und On-Prem ist vor allem in Unternehmen problematisch, die auf hybride Lösungen setzen und sowohl Cloud-Dienste einsetzen als auch ein eigenes Rechenzentrum betreiben. Die Probleme entstehen u.a. dadurch, dass es in der Cloud aktuell nicht möglich ist, die Zugriffsberechtigungen auf sensible Informationen gezielt zu steuern.
tenfold reduziert die Gefährdungen, die durch die Nutzung von Cloud-Diensten entstehen können, auf ein akzeptables Maß, indem wir die gleiche tiefgreifende Integration, von der Sie für die On-Prem-Dienste von Microsoft profitieren, auch für die Cloud bereitstellen.
Integration von Active Directory und Azure AD
tenfold stellt nicht nur eine Schnittstelle zum lokalen Active Directory bereit, sondern auch zum Azure Active Directory. Durch die Integration von Azure AD, dem cloud-basierten Verzeichnisdienst von Microsoft, mit tenfold können Sie sämtliche Identitäten und Zugriffsberechtigungen On-Premise und in der Cloud zentral über die intuitive tenfold Benutzeroberfläche managen.
Was macht tenfold zur besten IAM Software für mittelständische Organisationen?