Zugriffsrechte nach BSI: Baustein ORP 4. A7
Wie regelt das BSI Zugriffsrechte im Rahmen des IT-Grundschutzes? Vorranging nach dem Least Privilege Prinzip. Wir schauen uns an, welche Maßnahmen das Bundesamt für Sicherheit in der Informationstechnik in Bezug auf die Vergabe von Zugriffsrechten (ORP 4. A7) sonst noch empfiehlt, und wie Sie diese Empfehlungen mit tenfold umsetzen können.
Vergabe von Zugriffsrechten – ORP 4. A7
Die Maßnahmenempfehlung ORP 4. A7 (Vergabe von Zugriffsrechten) löst die Maßnahme M. 2.8 der vorherigen Version des BSI-Grundschutz-Kompendiums ab. Die Maßnahme ORP. 4 A7 ist Teil des zweiten Themenbereichs (ORP: Organisation und Personal) des BSI-Kompendiums 2022 und befindet sich in Baustein ORP. 4 (Identitäts- und Berechtigungsmanagement).
Der BSI-IT-Grundschutz ist eine Sammlung von Standards für das IT-Sicherheitsmanagement in Unternehmen und öffentlichen Einrichtungen. Der umfangreiche Maßnahmenkatalog umfasst technische, infrastrukturelle, organisatorische und personelle Empfehlungen.
Wir haben alle Maßnahmen, die den Bereich Identitäts- und Berechtigungsmanagement (ORP. 4) betreffen, für Sie zusammengefasst und auf ihre Umsetzbarkeit in tenfold geprüft.
Wie regelt das BSI Zugriffsrechte?
Eine der grundlegenden Maßnahmenempfehlungen des BSI im Bereich Identitäts- und Berechtigungsmanagement ist das Least Privilege Prinzip (auch bekannt als POLP oder Need-to-know-Prinzip). Dieses besagt, dass niemand im Unternehmen/der Organisation über mehr Berechtigungen verfügen sollte, als betrieblich notwendig sind. Diese Vorgehensweise findet sich, in variierender Formulierung, in (fast) jeder Maßnahmenempfehlung des Bausteins ORP. 4.
Maßnahme ORP 4. A7
Die Maßnahme ORP 4. A7 des BSI-Grundschutz-Kompendiums besagt folgendes:
“Es MUSS festgelegt werden, welche Zugriffsrechte an welche Personen im Rahmen ihrer Funktion vergeben bzw. ihnen entzogen werden. Werden im Rahmen der Zugriffskontrolle Chipkarten oder Token verwendet, so MUSS die Ausgabe bzw. der Entzug dokumentiert werden. Die Anwender SOLLTEN für den korrekten Umgang mit Chipkarten oder Token geschult werden. Bei längeren Abwesenheiten SOLLTEN berechtigte Personen vorübergehend gesperrt werden.”
Was bedeutet das?
Die Vergabe von Zugriffsberechtigungen zu IT-Systemen, Daten und Anwendungen an Mitarbeiter muss also möglichst restriktiv erfolgen. Konten von privilegierten Usern, wie zum Beispiel IT-Administratoren, sollen bei längeren Abwesenheiten, wie Urlaub oder Krankheit, gesperrt werden. Die Maßnahme ORP 4. A7 betrifft drei Ebenen von Berechtigungen:
Zutritt: physische Zutrittsberechtigungen zu den entsprechenden Räumen
Zugang: Möglichkeit, ein IT-System oder eine Anwendung zu nutzen
Zugriff: die jeweilige Berechtigungsstufe für eine bestimmte Funktion innerhalb der Anwendung
Lösung in tenfold
Die Einhaltung des Least-Privilege-Prinzips ist eines der Hauptziele von tenfold. Dieses Ziel erreichen wir über eine Vielzahl an Funktionen:
automatische Anpassung von Berechtigungen über Rollen,
transparente Darstellung von Berechtigungen in der Microsoft-Infrastruktur,
Dokumentation und
regelmäßige Kontrolle der Zugangsrechte.
Role-based Access Control
tenfold arbeitet mit Role-Based Access Control (RBAC). Das bedeutet, dass die Software die Ressourcen und Berechtigungen aus unterschiedlichen Zielsystemen gruppiert und mit der jeweiligen Organisationseinheit verknüpft.
Aus dieser Verknüpfung entstehen verschiedene Rollen, denen jeweils Standardberechtigungen zugeteilt sind. Die Rollen dienen als Kontrollmechanismus für den Zugriff auf sämtliche Ressourcen im Unternehmen und werden von tenfold vollautomatisch zugeteilt.
Was macht tenfold zur besten IAM Software für mittelständische Organisationen?
Automatische Anpassung der Zugriffsrechte
Im Rahmen des tenfold User Lifeycycle Managements sorgen wir dafür, dass die Zugriffsrechte bei personellen Veränderungen (z.B. bei Abteilunsgwechseln) automatisch angepasst und bei Bedarf (z.B. Im Falle eines Austritts) entfernt werden.
Dokumentation der Zugriffsrechte
Zu einem BSI-konformen Umgang mit Zugriffsberechtigungen gehört natürlich auch die Dokumentation. tenfold erstellt für jede Änderung an Zugangs- oder Zugriffsberechtigungen einen Request (Antrag) und speichert diese zuverlässig und nachvollziehbar für eine umfassende Dokumentation der Vorgänge.
Mit der tenfold Reporting-Funktion optimieren Sie zusätzlich Ihre Vorbereitung auf Audits und schließen eine nachträgliche Manipulation von Daten zuverlässig aus.
Berechtigungsmanagement im BSI-Grundschutz
Einrichtung und Löschung von Benutzern und Benutzergruppen (ORP 4. A1)
Einrichtung, Änderung und Entzug von Berechtigungen (ORP 4. A2)
Dokumentation der Benutzerkennungen und Rechteprofile (ORP A. A3)
Richtlinien für die Zugriffs- und Zugangskontrolle (ORP 4. A16)
Geeignete Auswahl von Identitäts- und Berechtigungsmanagement-Systemen (ORP 4. A17)
Geregelte Verfahrensweise beim Weggang von Mitarbeitern (ORP 2. A2)
Festlegung von Regelungen für den Einsatz von Fremdpersonal (ORP 2. A4)