BSI IT Grundschutz: Übersicht für 2023
Mit dem IT Grundschutz stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen freiwilligen Sicherheitsstandard zur Verfügung, der Firmen konkrete Maßnahmen zur Absicherung gegen gängige Bedrohungen zur Hand gibt. Wie der Grundschutz aufgebaut ist, wie die Zertifizierung abläuft und wie Sie sich erfolgreich vorbereiten können, erfahren Sie in unserem Überblick.
BSI IT-Grundschutz – was ist das?
Der BSI IT-Grundschutz ist ein freiwilliger Sicherheitsstandard des deutschen Bundesamts für Sicherheit in der Informationstechnik. Ähnlich der Norm ISO 27001 widmet sich der IT-Grundschutz dem Aufbau eines Informationssicherheitsmanagementsystems (ISMS). Ein ISMS regelt die Prozesse und Verantwortlichkeiten, welche die Informationssicherheit in einer Organisation steuern.
Anders als ISO 27001 gibt der IT-Grundschutz dabei spezifische Maßnahmen zur Absicherung von IT-Systemen mit normalem Schutzbedarf vor. Organisationen müssen daher im Normalfall keine eigene Risikoanalyse durchführen, sondern können auf die Standardabsicherung des BSI zurückgreifen. Die Behörde möchte Firmen und öffentlichen Einrichtungen dadurch ein möglichst einfaches und praxisorientiertes Verfahren zur Verbesserung der Cybersicherheit bieten.
Aus welchen Dokumenten sich der IT Grundschutz zusammensetzt, welche Anforderungen Unternehmen erfüllen müssen und wie die Vorbereitung der Zertifizierung abläuft, sehen wir uns in diesem Beitrag näher an.
Ist der BSI IT-Grundschutz verpflichtend?
Nein: Der IT-Grundschutz ist nicht verpflichtend, sondern bietet Organisationen eine freiwillige Hilfestellung zur Verbesserung ihrer Informationssicherheit. Der Grundschutz zeichnet sich dabei insbesondere durch das Bereitstellen pauschaler Standardmaßnahmen aus, da vergleichbare Sicherheitsrichtlinien oft sehr abstrakt und allgemeingültig gehalten sind.
Deckt der IT-Grundschutz auch das Thema Datenschutz ab? (BDSG, DSGVO)
Das Thema Datenschutz kommt im IT-Grundschutz zwar vor, das entsprechende Kapitel verweist aber auf das Standard-Datenschutzmodell, welches von den deutschen Datenschutzbehörden bereitgestellt wird. Für die Verarbeitung personenbezogener Daten im Sinne der DSGVO und des BDSG genügt es also nicht, sich nur mit dem IT-Grundschutz zu befassen.
BSI IT-Grundschutz: Aufbau
Mit dem IT-Grundschutz beschreibt das BSI Anforderungen an ein Informationssicherheits-Managementsystem sowie Maßnahmen zur Absicherung relevanter technischer Systeme. Dazu veröffentlicht die Behörde mehrere wichtige Dokumente, mit denen sich Organisationen vertraut machen müssen.
BSI-Standards
Die BSI-Standards definieren, welche Anforderungen ein Managementsystem erfüllen muss und nach welcher Methodik dieses eingeführt werden kann. Insgesamt stellt das BSI hierfür vier verschiedene Standards zur Verfügung:
BSI-Standard 200-1: Allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS), Leitfaden zur Erstellung von Sicherheitsprozessen und Sicherheitskonzepten
BSI-Standard 200-2: Grundschutz Methodik und Prüfgrundlage der Zertifizierung, detaillierte Vorgaben zur Konzeption, Umsetzung und Verbesserung eines konformen Managementsystems
BSI-Standard 200-3: Verfahren zur Risikoanalyse, Leitfaden für eigene Risikobewertungen für Objekte mit hohem Schutzbedarf oder für die kein passender Grundschutz-Baustein existiert
BSI Standard 200-4: Business Continuity Management, konkretisiert Anforderungen des Bausteins Notfallmanagement, kann aber auch separat verwendet werden. Analog zu ISO 22301
IT-Grundschutz-Kompendium
Das IT-Grundschutz-Kompendium ersetzt seit 2017 die Grundschutz-Kataloge und liefert konkrete Maßnahmen zur Absicherung von IT-Systemen und -Prozessen. Das Kompendium umfasst insgesamt 113 Bausteine in 10 Themenbereichen. Jeder Baustein wird in einem eigenen Kapitel beschrieben, welches Ziele, Gefahren und Anforderungen behandelt.
Durch die vorgegebenen Standard-Anforderungen müssen Organisationen im Regelfall keine eigene Risikoanalyse durchführen, um den jeweiligen Bereich abzusichern. Die Grundschutz-Bausteine enthalten jedoch auch Anforderungen bei erhöhtem Schutzbedarf. Welche Informationssysteme einen erhöhten Schutzbedarf haben, bestimmt die Organisation. Ebenso müssen Firmen selbst entscheiden, welche Bausteine auf welche Unternehmensbereiche anzuwenden sind. Nicht relevante Bausteine können mit Begründung ausgeschlossen werden.
Die zehn übergeordneten Themen des IT-Grundschutzes sind:
Sicherheitsmanagement (ISMS)
Organisation und Personal (ORP)
Konzeption (CON)
Betrieb (OPS)
Detektion und Reaktion (DER)
Anwendungen (APP)
IT-Systeme (SYS)
Industrielle IT (IND)
Netze und Kommunikation (NET)
Infrastruktur (INF)
IT-Grundschutz-Profile
Bei den Grundschutz-Profilen handelt es sich um Musterbeispiele für die Umsetzung des IT-Grundschutz in verschiedenen Anwendungsbereichen, wie etwa Hochschulen oder der kommunalen Verwaltung. Interessenten, die in einem ähnlichen Bereich tätig sind, bietet ein Grundschutz-Profil also eine Art Schablone dafür, welche Bausteine für sie relevant sind und wie diese in einem erfolgreichen Praxis-Beispiel unterschiedliche Systeme angewendet wurden.
Schon gewusst: Das BSI stellt auf seiner Website einen Online-Kurs zum IT-Grundschutz zur Verfügung, der sich hervorragend für den Einstieg in das Thema eignet.
BSI IT-Grundschutz: Anforderungen
Der IT-Grundschutz unterscheidet zwischen grundlegenden Basis-Anforderungen und Standard-Anforderungen, welche für den von den BSI-Experten ermittelten normalen Schutzbedarf ausgelegt sind. Darauf aufbauend bietet die Grundschutz-Methodik drei Varianten zum Schutz der eigenen IT:
Basis-Absicherung: Die Organisation erfüllt die Basisanforderungen in allen IT-Bereichen, um mit essenziellen Maßnahmen eine schnelle Verbesserung der IT-Sicherheit zu erzielen.
Standard-Absicherung: Die Organisation setzt Standardanforderungen in allen IT-Bereichen um und erreicht dadurch einen umfassenden Schutz der eigenen Informationssysteme. Empfohlene Vorgehensweise des BSI.
Kern-Absicherung: Die Organisation wendet Standardanforderungen nur in einem Teilbereich ihrer IT an, um sich auf die Absicherung kritischer Prozesse und Systeme zu konzentrieren.
Darüber hinaus enthält der IT-Grundschutz auch Anforderungen bei erhöhtem Schutzbedarf, die von der Organisation abhängig von der durchgeführten Schutzbedarfsfeststellung angewendet werden müssen.
Organisationen, die die Standard- oder Kern-Absicherung erfüllen, können für den jeweiligen Geltungsbereich eine Grundschutz-Zertifizierung abschließen. Genauer handelt es sich dabei um eine ISO 27001 Zertifizierung auf Basis des IT-Grundschutz. Ablauf und Gültigkeitsdauer sind also identisch zu ISO 27001: Kontrolle der Dokumente, Vor-Ort Audit und jährliche Kontrollaudits – drei Jahre Gültigkeit. Die Basis-Absicherung kann hingegen nur durch ein Testat des BSI bestätigt werden, welches für zwei Jahre gültig ist.
Unterschied BSI IT-Grundschutz und ISO 27001
Der BSI IT-Grundschutz liefert eine praxis- und maßnahmenorientierte Methodik zum Aufbau eines ISO 27001-konformen Informationssicherheitsmanagementsystem. Hinsichtlich der grundlegenden Anforderungen an das ISMS sind ISO 27001 und der IT-Grundschutz daher weitgehend identisch. Da der Grundschutz nur in Deutschland bekannt ist, wird ein ISO-Zertifikat auf Basis des IT-Grundschutz international jedoch unter Umständen nicht anerkannt.
Der Unterschied zwischen ISO 27001 und dem IT-Grundschutz liegt in ihrer Herangehensweise: Der ISO-Standard ist abstrakter gehalten und konzentriert sich auf allgemeine Prozesse, wohingegen der IT-Grundschutz durch die detaillierten Maßnahmen aus den einzelnen Bausteinen Anwendern konkrete Schritte zur Absicherung ihrer IT zur Hand gibt. Dieser Unterschied wirkt sich auch auf die Länge der Standards aus: Im Vergleich zu ISO 27001 ist der BSI Grundschutz wesentlich umfangreicher.
ISO 27001: Anforderungen an das Access Management
In unserem Whitepaper erfahren Sie alles über die ISO Vorbereitung, wichtige Dokumente und die Vorgaben an das Identity und Access Management.
BSI IT-Grundschutz: Vorbereitung
Durch handfeste Maßnahmen und umfangreiche Dokumentation ist der BSI IT-Grundschutz als möglichst zugänglicher Sicherheitsstandard konzipiert. Dennoch setzt die richtige Vorbereitung einige Einarbeitung voraus: Wie wählen Firmen die passenden Schutzmaßnahmen aus? In welcher Reihenfolge sind die verschiedenen Arbeitsschritte zu erledigen? Und welche Dokumente müssen dem Prüfer des BSI vorgelegt werden?
In diesem Abschnitt sehen wir uns an, wie sich Unternehmen und Behörden erfolgreich auf die Grundschutz-Zertifizierung vorbereiten können.
BSI IT-Grundschutz: Ablauf
Um die vom BSI empfohlene Standard-Absicherung zu erreichen und eine ISO Zertifizierung auf Basis des IT Grundschutz abzuschließen, müssen Organisationen den Ist-Zustand der eigenen IT erheben, die passenden Sicherheitsmaßnahmen aus dem Grundschutzkompendium implementieren und ihre Einhaltung laufend überprüfen. Details zum Ablauf der Grundschutz-Vorbereitung in unserer Schritt-für-Schritt-Anleitung:
Geltungsbereich festlegen: Zu Beginn der Planung muss die Organisation festlegen, welche Bereiche des Informationsverbunds abgesichert werden sollen. Bei der Basis- und Standardabsicherung ist die gesamte IT als Anwendungsbereich vorgesehen, während die Kern-Absicherung den Fokus auf kritische Systeme und Prozesse legt.
Strukturanalyse: Die Strukturanalyse zielt darauf ab, den Ist-Zustand der eigenen IT zu erfassen um so die notwendigen Schutzmaßnahmen ableiten zu können. Die Strukturanalyse gliedert sich in vier Teile: Erfassung von Geschäftsprozessen und Anwendungen, Erstellung eines Netzplans, Erhebung von IT, ICS und IOT Systemen sowie Erfassung betroffener Räume und Gebäude.
Schutzbedarfsfeststellung: Abhängig von den erwartbaren Folgen bei einer Beeinträchtigung legt die Organisation den Schutzbedarf einzelner Geschäftsprozesse von normal, hoch bis sehr hoch fest. Aus dem Schutzbedarf eines Geschäftsprozesses leitet sich entsprechend der Schutzbedarf der dafür notwendigen Systeme, Anwendungen, Informationen und Räume ab.
Modellierung: Nach der Analyse der IT-Systeme und ihres Schutzbedarfs legt die Organisation fest, welche Bausteine auf welches Objekt anzuwenden sind. Nicht relevante Bausteine können mit Begründung ausgelassen werden. Objekte, die mit den vorhandenen Bausteinen nicht modellierbar sind, müssen einer individuellen Risikoanalyse unterzogen werden.
Risikoanalyse: Die Standard-Anforderungen des IT-Grundschutz sind für Objekte mit normalem Schutzbedarf ausgelegt und ermöglichen eine Absicherung ohne eigene Risikoanalyse. Eine explizite Risikoanalyse kann dennoch notwendig sein, etwa für Objekte mit erhöhtem Schutzbedarf, für die keine passenden Bausteine existieren oder Systeme, die anders verwendet werden, als im Grundschutz-Kompendium vorgesehen.
IT-Grundschutz-Check: Der Grundschutz-Check ist ein Soll-Ist-Vergleich, bei dem die Organisation den Umsetzungsstatus jeder Anforderung in den modellierten Bausteinen erhebt. Die Umsetzung von Maßnahmen wird dabei mit “ja”, “teilweise”, “nein” oder “entbehrlich” dokumentiert, falls die entsprechende Gefährdung nicht zutrifft.
Umsetzung der Sicherheitskonzeption: Aufbauend auf dem Grundschutz-Check erstellt die Organisation einen Plan zur Implementierung der nicht oder nur teilweise vorhandenen Sicherheitsmaßnahmen, einschließlich der Budgetierung, der Reihenfolge der Umsetzung, den Terminen und Verantwortlichkeiten.
Aufrechterhaltung und Verbesserung: Informationssicherheit ist ein Prozess und keine abgeschlossene Aufgabe. Entsprechend muss auch ein ISMS gepflegt, fortlaufend aktualisiert und seine Wirksamkeit überprüft werden. Neben angemessenen internen Kontrollen können Grundschutz-Anwender dazu auch eine unabhängige Zertifizierung anstreben.
BSI IT-Grundschutz: Zertifizierung
Organisationen, die ihre Informationssicherheit unabhängig überprüfen lassen möchten, können eine ISO 27001 Zertifizierung auf Basis von IT-Grundschutz abschließen. Auf der Website des BSI stellt die Behörde nähere Informationen zur Grundschutz-Zertifizierung, dem Prüfungsprozess sowie eine Liste qualifizierter Auditoren zur Verfügung.
Der Ablauf der Zertifizierung ist dabei im Wesentlichen identisch zu ISO 27001: Nach der Antragstellung durch die Organisation erfolgt in Phase 1 zunächst ein Remote-Audit der eingereichten Referenzdokumente:
Richtlinien für Informationssicherheit
Strukturanalyse
Schutzbedarfsfeststellung
Modellierung
IT-Grundschutz-Check
Risikoanalyse
Maßnahmen-Umsetzungsplan
Nach der Prüfung der Unterlagen folgt in Phase 2 ein Vor-Ort-Audit, bei dem die korrekte Umsetzung der Sicherheitsmaßnahmen kontrolliert wird. Der vollständige Auditbericht wird anschließend an das Bundesamt übermittelt, welches bei positiver Bewertung ein ISO-Zertifikat auf Basis des IT-Grundschutz ausstellt. Während seiner dreijährigen Gültigkeit muss das Zertifikat durch jährliche Kontrollaudits bestätigt werden und kann durch eine Rezertifizierung erneuert werden..
BSI IT-Grundschutz: Anforderungen an das Berechtigungsmanagement
Beim Erreichen des vom BSI empfohlenen normalen Schutzniveaus zur Abwehr elementarer Gefährdungen ist Identity und Access Management, also die sichere Verwaltung von Konten und Zugriffsrechten, von zentraler Bedeutung. Mit ORP.4 Identitäts- und Berechtigungsmanagement widmet der IT-Grundschutz dem Thema einen eigenen Baustein.
Darüber hinaus spielt IAM aber auch in Bausteinen wie Ordnungsgemäße IT-Administration (OPS.1.1.2), Cloud-Nutzung (OPS.2.2), Allgemeiner Verzeichnisdienst (APP.2.1), Active Directory Domain Services (APP.2.2), sowie Microsoft Exchange und Outlook (APP.5.2.) eine Rolle. Grundsätzlich unterstützt Identity und Access Management Firmen immer dann, wenn es darum geht:
Ein Berechtigungskonzept zu erstellen
Standardrechte auf Basis von Rollen automatisiert zuzuweisen
Den geregelten, automatischen Entzug von Zugängen zu gewährleisten
Die Einhaltung des Least-Privilege-Prinzips (sparsame Berechtigungsvergabe) zu garantieren
Die regelmäßige Prüfung auf Notwendigkeit bzw. Rezertifizierung von Rechten sicherzustellen
Änderungen der Zugriffsrechte zu dokumentieren.
Best Practices im Access Management in Microsoft Umgebungen
Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.
ORP.4 Identitäts- und Berechtigungsmanagement
In Bezug auf die sichere Verwaltung von IT-Konten und -Rechten ist es wichtig zu verstehen, dass ein IAM-System zwar eine Automatisierung der administrativen Prozesse ermöglicht, es jedoch weiterhin Aufgabe der Organisation bleibt festzulegen, welche Mitarbeitenden Zugriff auf welche Daten und Anwendungen benötigen. Identity und Access Management ist also gleichermaßen eine organisatorische Anforderung als auch ein IT-Prozess.
Zentrale Anforderungen des Bausteins Identitäts- und Berechtigungsmanagement sind:
Regelung für die Einrichtung und Löschung von Benutzenden und Benutzendengruppen
Anforderung: Es MUSS geregelt werden, wie Benutzerkennungen und -gruppen einzurichten und zu löschen sind. Jede Kennung MUSS eindeutig einer Person zugeordnet werden. Kennungen, die längere Zeit inaktiv sind, SOLLTEN deaktiviert werden. Benutzer DÜRFEN NUR über separate administrative Rollen eingerichtet werden.
Lösung in tenfold: Durch die rollenbasierte Berechtigungsvergabe in tenfold werden jedem Benutzer automatisch die richtigen Konten und Rechte zugeordnet sowie bei Bedarf wieder gelöscht. Verantwortliche müssen lediglich festlegen, wer welche Zugriffsrechte erhalten soll. Über die zentrale Dokumentation lassen sich alle Kennungen eindeutig zuordnen und bei Bedarf prüfen.
Details zur Umsetzung von ORP.4.A1
Einrichtung, Änderung und Entzug von Berechtigungen
Anforderung: Berechtigungen DÜRFEN NUR aufgrund tatsächlichen Bedarfs vergeben werden. Bei personellen Veränderungen MÜSSEN nicht mehr benötigte Rechte entfernt werden. Zusätzliche Rechte DÜRFEN NUR bei Prüfung und Begründung vergeben werden.
Lösung in tenfold: Mit dem zentralen User Lifecycle Management von tenfold kann Least Privilege Zugriff problemlos implementiert werden. Jeder User erhält nur die zuvor festgelegten, für ihn notwendigen Rechte. Bei personellen Änderungen werden Zugriffe automatisch gelöscht. Über eine Self-Service Plattform können Mitarbeiter zusätzliche Rechte beantragen. Bevor die Person Zugriff erhält, muss ein Data Owner den Antrag bestätigen. tenfold sorgt im Hintergrund für die Freigabe und Dokumentation des Prozesses.
Näheres zu Baustein ORP.4.A2
Dokumentation der Benutzendenkennungen und Rechteprofile
Anforderung: Es MUSS dokumentiert werden, welche Kennungen, Gruppen und Rechteprofile angelegt wurden. Die Dokumentation MUSS regelmäßig überprüft und vor unberechtigtem Zugriff geschützt werden.
Lösung in tenfold: Über sein Reporting dokumentiert tenfold automatisch alle Änderungen an Konten und Zugriffsrechten, von der Provisionierung neuer Benutzer über Anpassungen an Berechtigungsrollen bis hin zu bearbeiteten Self-Service Anträgen. Die Aufzeichnungen sind nur für berechtigte User zugänglich. Die tenfold Datenbank kann in Backup-Verfahren eingebunden werden, dies obliegt der Organisation selbst.
Weitere Informationen zu ORP.4.A3
Aufgabenverteilung und Funktionstrennung
Anforderung: Unvereinbare Aufgaben und Funktionen MÜSSEN durch das Identitäts- und Berechtigungsmanagement getrennt werden.
Lösung in tenfold: Durch das Festlegen von Berechtigungsprofilen (Rollen) kann die Funktionstrennung in tenfold abgebildet werden. Es ist aktuell nicht möglich, unvereinbare Rechte zu definieren, diese Funktion ist jedoch für die nahe Zukunft geplant.
Vergabe von Zutritts/Zugangsberechtigungen
Anforderung: Es MUSS festgelegt werden, welche Zutrittsberechtigungen an welche Personen vergeben werden. Die Ausgabe von Zutrittsmitteln MUSS dokumentiert werden. Bei längeren Abwesenheiten SOLLTEN berechtigte Personen vorübergehend gesperrt werden.
Lösung in tenfold: Durch das Verknüpfen von Zutrittsmitteln mit Active Directory Gruppen oder die Einbindung von Security-Lösungen wie PKE SMS können Organisationen auch den physischen Zugang und die Vergabe von Tokens, Keycards usw. über tenfold steuern und dokumentieren. Die vollständige physische Absicherung und Zutrittskontrolle im Rahmen des IT-Grundschutz erfordert darüber hinaus natürlich weitere Maßnahmen.
Vergabe von Zugriffsrechten
Anforderung: Es MUSS festgelegt werden, welche Zugriffsrechte an welche Personen im Rahmen ihrer Funktion vergeben bzw. ihnen entzogen werden.
Lösung in tenfold: Durch die Analyse der aktuell existierenden Berechtigungen unterstützt tenfold Sie beim Festlegen sinnvoller Standardrechte für unterschiedliche Geschäftsrollen (Role-Mining).
Im laufenden IT-Betrieb garantiert tenfold durch sein User Lifecycle Management und regelmäßige Access Reviews die Einhaltung es zuvor festgelegten Berechtigungskonzepts. Berechtigungen bleiben jederzeit unter Kontrolle, ohne Aufwand für Ihre Admins.
Übersicht zur Implementierung von ORP.4.A7
Regelung des Passwortgebrauchs/Qualität
Anforderung: Die Institution MUSS den Passwortgebrauch verbindlich regeln. In Abhängigkeit von Einsatzzweck und Schutzbedarf MÜSSEN sichere Passwörter geeigneter Qualität gewählt werden. Das Passwort MUSS so komplex sein, dass es nicht leicht zu erraten ist.
Lösung in tenfold: Bei der Provisionierung neuer Konten und Benutzer erlaubt tenfold die Anwendung von Passwortrichtlinien, sofern das jeweilige Zielsystem diese unterstützt.
Zurücksetzen von Passwörtern
Anforderung: Für das Zurücksetzen von Passwörtern SOLLTE ein angemessenes sicheres Verfahren umgesetzt werden.
Lösung in tenfold: Um Administratoren zu entlasten, erlaubt tenfold das Zurücksetzen von Passwörtern per Self-Service. Ein Benutzer bzw. sein Stellvertreter (Manager) beantragt den Reset. Anschließend muss der User auf einer getrennten Plattform über zuvor festgelegte Faktoren wie Authenticator Apps seine Identität verifizieren.
Richtlinien für Zugriffs- und Zugangskontrolle
Anforderung: Es SOLLTE eine Richtline für die Zugriffskontrolle von IT-Systemen, -Komponenten und Datennetzen erstellt werden. Es SOLLTEN Standard-Rechteprofile verwendet werden, die den Aufgaben der Mitarbeitenden entsprechen. Für jedes IT-System sollte eine schriftliche Zugriffsregelung existieren.
Lösung in tenfold: Die Implementierung von Standard-Rechteprofilen kann durch tenfolds Berechtigungsrollen automatisiert abgebildet werden. Organisationen legen fest, welche Benutzergruppen welche Rechte erhalten sollen und tenfold weist diese automatisch zu. Ebenso werden Zugriffe automatisch entfernt, wenn sich die Aufgaben eines Mitarbeiters ändern. Das Erstellen von schriftlichen Richtlinien und Regelungen obliegt der Organisation.
Näheres zur Umsetzung von ORP.4.A16
Geeignete Auswahl von IAM-Systemen
Anforderung: Ein IAM-System SOLLTE für die Organisation und ihre Geschäftsprozesse, Strukturen, Abläufe und deren Schutzbedarf geeignet sein. Es SOLLTE die notwendigen Vorgaben abbilden können und den Grundsatz der Funktionstrennung unterstützen. Das IAM-System sollte angemessen vor Angriffen geschützt werden.
Lösung in tenfold: Mithilfe von tenfold können Organisationen die IAM-Anforderungen des IT-Grundschutz einfach und effizient abdecken. Durch vorgefertigte No-Code-Schnittstellen kann tenfold in kürzester Zeit an lokale und Cloud-Systeme angebunden werden.
Detaillierte Informationen zur Abdeckung von ORP.4.A17
Anforderung: Es MUSS geregelt werden, wie Benutzerkennungen und -gruppen einzurichten und zu löschen sind. Jede Kennung MUSS eindeutig einer Person zugeordnet werden. Kennungen, die längere Zeit inaktiv sind, SOLLTEN deaktiviert werden. Benutzer DÜRFEN NUR über separate administrative Rollen eingerichtet werden.
Lösung in tenfold: Durch die rollenbasierte Berechtigungsvergabe in tenfold werden jedem Benutzer automatisch die richtigen Konten und Rechte zugeordnet sowie bei Bedarf wieder gelöscht. Verantwortliche müssen lediglich festlegen, wer welche Zugriffsrechte erhalten soll. Über die zentrale Dokumentation lassen sich alle Kennungen eindeutig zuordnen und bei Bedarf prüfen.
Details zur Umsetzung von ORP.4.A1
Schnell, einfach, sicher – No-Code IAM mit tenfold
Organisationen, die sich gegen gängige digitale Bedrohungen umfassend absichern möchten, finden im BSI IT-Grundschutz einen praxisorientierten Maßnahmenkatalog zur Verbesserung ihrer Informationssicherheit. Dabei dürfen Organisationen ihr Identitäts- und Berechtigungsmanagement keinesfalls vernachlässigen – doch so wichtig IAM sein mag, stellt es nur einen Themenbereich unter den 113 verschiedenen Bausteinen dar. Auf dem Weg zur zertifizierten IT-Sicherheit müssen Firmen sich einer Vielzahl wichtiger Themen widmen.
Entsprechend können sie es sich nicht leisten, endlosen Arbeitsaufwand und Unsummen an Budget in einen einzelnen Teilbereich des Grundschutz-Katalogs zu investieren. Um alle nötigen Themenkomplexe abdecken zu können, braucht es effiziente Lösungen, mit denen sich die Anforderungen an die eigene IT-Sicherheit schnell, einfach und ressourcenschonend erfüllen lassen.
Genau das macht tenfold zum optimalen Identity und Access Management System für mittelständische Organisationen. Anders als vergleichbare Produkte lässt sich tenfold als No-Code IAM Lösung ohne Scripting und eigene Programmierarbeit in Betrieb nehmen: Alle Features und mitgelieferten Schnittstellen werden allein über die benutzerfreundliche UI konfiguriert. Die Installation, Nutzung und Wartung von tenfold ist so mit minimalem Aufwand möglich – was Ihre Admins für wichtigere Aufgaben freispielt. Überzeugen Sie sich selbst! Ein kostenloser Test gibt Ihnen die Möglichkeit, tenfold ausgiebig zu prüfen.
Überzeugen Sie sich selbst: Zugriffsmanagement leicht gemacht mit No-Code IAM!