Einsatz von Fremdpersonal nach BSI: ORP 2. A4

Die Regelungen für den Einsatz von Fremdpersonal sind im Baustein ORP 2, in der Maßnahme ORP 2. A4 des BSI-IT-Grundschutzes festgeschrieben. Wir schauen uns an, was das Bundesamt für Sicherheit in der Informationstechnik in Bezug auf die Regelungen für den Einsatz von Fremdpersonal (ORP 2. A4) empfiehlt, und wie Sie diese Empfehlungen mit tenfold umsetzen können.

Einsatz von Fremdpersonal nach BSI – ORP 2. 2A

Die Maßnahmenempfehlung ORP 2. A4 (Festlegung von Regelungen für den Einsatz von Fremdpersonal) löst die Maßnahme M 2.226 der vorherigen Version des BSI-Grundschutz-Kompendiums ab. Die Maßnahme ist Teil des zweiten Themenbereichs (ORP: Organisation und Personal) des BSI-Kompendiums 2022 und befindet sich in Baustein ORP. 2 (Personal).

Der BSI-IT-Grundschutz ist eine Sammlung von Standards für das IT-Sicherheitsmanagement in Unternehmen und öffentlichen Einrichtungen. Der umfangreiche Maßnahmenkatalog umfasst technische, infrastrukturelle, organisatorische und personelle Empfehlungen.

Wir haben alle Maßnahmen, die den Bereich Identitäts- und Berechtigungsmanagement betreffen, für Sie zusammengefasst und auf ihre Umsetzbarkeit in tenfold geprüft.

Was besagt die Maßnahme ORP 2. A4?

Die Maßnahme ORP 2. A4 des BSI-Grundschutz-Kompendiums besagt folgendes:

“Wird externes Personal beschäftigt, MUSS dieses wie alle eigenen Mitarbeiter dazu verpflichtet werden, geltende Gesetze, Vorschriften und interne Regelungen einzuhalten. Fremdpersonal, das kurzfristig oder einmalig eingesetzt wird, MUSS in sicherheitsrelevanten Bereichen beaufsichtigt werden. […] Verlässt das Fremdpersonal die Institution, MÜSSEN Arbeitsergebnisse wie bei eigenem Personal geregelt übergeben und eventuell ausgehändigte Zugangsberechtigungen zurückgegeben werden.”

Zugriffsrechte für Fremdpersonal nach BSI

Wesentliche Teile im BSI Maßnahmenkatalog befassen sich mit dem Umgang mit externem Personal, für das einschlägige Gesetze und interne Regelungen gelten. Auftraggeber müssen zum Beispiel beachten, dass bei der Beendigung des Arbeitsverhältnisses alle ausgehändigten Betriebsmittel übergeben werden. Außerdem sind eingerichtete Zugangsberechtigungen und Zugriffsrechte zu entziehen bzw. zu löschen.

Probleme durch manuelles Access Management

Wenn ein Arbeitsverhältnis mit Fremdpersonal beendet wird, dann hat dies in der Regel einen von zwei Gründen:

  • 1

    Das Vertragsverhältnis mit dem Auftragnehmer wird grundsätzlich beendet.

  • 1

    Ein spezieller Mitarbeiter, der für die auftragnehmende Organisation tätig ist, scheidet beim Auftragnehmer aus.

In Unternehmen und anderen Organisationen, die ohne IAM-Software arbeiten, ist die Wahrscheinlichkeit, dass die Information über das Ausscheiden des Fremdpersonals zuverlässig und rechtzeitig an die IT-Abteilung gelangt, in beiden Szenarien sehr gering.

Das liegt ganz einfach daran, dass es in vielen Unternehmen keine geregelten Abläufe für Joiner-Mover-Leaver-Prozesse gibt. Dass die IT-Abteilung die entsprechenden Zugänge nicht gesperrt oder gelöscht hat, fällt dann in der Regel erst im Rahmen sporadischer Überprüfungen auf.

Lösung in tenfold

Mithilfe von tenfold können Sie externes Personal problemlos verwalten, indem Sie Externe in tenfold als eigenen Personentyp abbilden. Auf diese Weise können Sie bei vielen Einstellungen zwischen internem Personal und Fremdpersonal unterscheiden.

Um Zugangsberechtigungen und Zugriffsrechte von Fremdpersonal nach einem Ausscheiden zuverlässig sperren zu können, empfiehlt es sich, für jeden Externen einen internen Verantwortlichen zu hinterlegen, welcher die Zugänge des Externen regelmäßig (z.B. alle drei Monate) nach automatischer Aufforderung aktiv verlängern muss (Rezertifizierung). Im Falle einer Nicht-Verlängerung sperrt die Software sämtliche Zugänge des Externen automatisch.

Warum tenfold?

Was macht tenfold zur besten IAM Software für mittelständische Organisationen?

Berechtigungsmanagement im BSI-Grundschutz

Einrichtung und Löschung von Benutzern und Benutzergruppen (ORP 4. A1)

Einrichtung, Änderung und Entzug von Berechtigungen (ORP 4. A2)

Dokumentation der Benutzerkennungen und Rechteprofile (ORP 4. A3)

Vergabe von Zugriffsrechten (ORP 4. A7)

Richtlinien für die Zugriffs- und Zugangskontrolle (ORP 4. A16)

Geeignete Auswahl von Identitäts- und Berechtigungsmanagement-Systemen (ORP 4. A17)

Geregelte Verfahrensweise beim Weggang von Mitarbeitern (ORP 2. A2)

Verfasst von: Helmut Semmelmayer

Helmut Semmelmayer ist seit 2012 als VP Revenue Operations beim Software-Hersteller tenfold tätig. Er ist damit für den Partnervertrieb und das Produktmarketing verantwortlich und schreibt in diesem Blog regelmäßig themenbezogene Beiträge aus dem Bereich Identity & Access Management.