Zugriffsrechte nach BSI: Baustein ORP 4. A7

Die Maßnahmenempfehlung ORP 4. A7 (Vergabe von Zugriffsrechten) löst die Maßnahme M. 2.8 der vorherigen Version des BSI-Grundschutz-Kompendiums ab. Die Maßnahme ORP. 4 A7 ist Teil des zweiten Themenbereichs (ORP: Organisation und Personal) des BSI-Kompendiums 2022 und befindet sich in Baustein ORP. 4 (Identitäts- und Berechtigungsmanagement).

Der BSI-IT-Grundschutz ist eine Sammlung von Standards für das IT-Sicherheitsmanagement in Unternehmen und öffentlichen Einrichtungen. Der umfangreiche Maßnahmenkatalog umfasst technische, infrastrukturelle, organisatorische und personelle Empfehlungen.

Eine der grundlegenden Maßnahmenempfehlungen des BSI im Bereich Identitäts- und Berechtigungsmanagement ist das Least Privilege Prinzip (auch bekannt als POLP oder Need-to-know-Prinzip). Dieses besagt, dass niemand im Unternehmen/der Organisation über mehr Berechtigungen verfügen sollte, als betrieblich notwendig sind. Diese Vorgehensweise findet sich, in variierender Formulierung, in (fast) jeder Maßnahmenempfehlung des Bausteins ORP. 4.

Die Maßnahme ORP 4. A7 des BSI-Grundschutz-Kompendiums besagt folgendes:

“Es MUSS festgelegt werden, welche Zugriffsrechte an welche Personen im Rahmen ihrer Funktion vergeben bzw. ihnen entzogen werden. Werden im Rahmen der Zugriffskontrolle Chipkarten oder Token verwendet, so MUSS die Ausgabe bzw. der Entzug dokumentiert werden. Die Anwender SOLLTEN für den korrekten Umgang mit Chipkarten oder Token geschult werden. Bei längeren Abwesenheiten SOLLTEN berechtigte Personen vorübergehend gesperrt werden.”

Die Vergabe von Zugriffsberechtigungen zu IT-Systemen, Daten und Anwendungen an Mitarbeiter muss also möglichst restriktiv erfolgen. Konten von privilegierten Usern, wie zum Beispiel IT-Administratoren, sollen bei längeren Abwesenheiten, wie Urlaub oder Krankheit, gesperrt werden. Die Maßnahme ORP 4. A7 betrifft drei Ebenen von Berechtigungen:

Die Einhaltung des Least-Privilege-Prinzips ist eines der Hauptziele von tenfold. Dieses Ziel erreichen wir über eine Vielzahl an Funktionen:

tenfold arbeitet mit Role-Based Access Control (RBAC). Das bedeutet, dass die Software die Ressourcen und Berechtigungen aus unterschiedlichen Zielsystemen gruppiert und mit der jeweiligen Organisationseinheit verknüpft.

Aus dieser Verknüpfung entstehen verschiedene Rollen, denen jeweils Standardberechtigungen zugeteilt sind. Die Rollen dienen als Kontrollmechanismus für den Zugriff auf sämtliche Ressourcen im Unternehmen und werden von tenfold vollautomatisch zugeteilt.

Im Rahmen des tenfold User Lifeycycle Managements sorgen wir dafür, dass die Zugriffsrechte bei personellen Veränderungen (z.B. bei Abteilunsgwechseln) automatisch angepasst und bei Bedarf (z.B. Im Falle eines Austritts) entfernt werden.

Zu einem BSI-konformen Umgang mit Zugriffsberechtigungen gehört natürlich auch die Dokumentation. tenfold erstellt für jede Änderung an Zugangs- oder Zugriffsberechtigungen einen Request (Antrag) und speichert diese zuverlässig und nachvollziehbar für eine umfassende Dokumentation der Vorgänge.

Mit der tenfold Reporting-Funktion optimieren Sie zusätzlich Ihre Vorbereitung auf Audits und schließen eine nachträgliche Manipulation von Daten zuverlässig aus.

Einrichtung und Löschung von Benutzern und Benutzergruppen (ORP 4. A1)

Einrichtung, Änderung und Entzug von Berechtigungen (ORP 4. A2)

Dokumentation der Benutzerkennungen und Rechteprofile (ORP A. A3)

Richtlinien für die Zugriffs- und Zugangskontrolle (ORP 4. A16)

Geeignete Auswahl von Identitäts- und Berechtigungsmanagement-Systemen (ORP 4. A17)

Geregelte Verfahrensweise beim Weggang von Mitarbeitern (ORP 2. A2)

Festlegung von Regelungen für den Einsatz von Fremdpersonal (ORP 2. A4)