BSI IT-Grundschutz: Maßnahme M 2.8 Vergabe von Zugriffsrechten

Der IT-Grundschutz des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) ist eine Sammlung von Standards für das IT-Sicherheitsmanagement in Unternehmen und öffentlichen Einrichtungen. Der umfangreiche Maßnahmenkatalog umfasst technische, infrastrukturelle, organisatorische und personelle Empfehlungen. Wir haben alle Maßnahmen, die den Bereich des Berechtigungsmanagements betreffen, übersichtlich für Sie zusammengefasst und auf ihre Umsetzbarkeit in tenfold geprüft. In diesem ersten Beitrag aus unserer 8-teiligen Reihe widmen wir uns der Maßnahme M 2.8 “Vergabe von Zugriffsrechten”.

Vergabe von Zugriffsrechten

Grundsätzlich sei angemerkt, dass die unterschiedlichen Maßnahmen zum Teil wiederkehrende Redundanzen aufweisen. Ein gutes Beispiel hierfür ist das Gebot „Least Privilege“ oder „POLP“ („Principle of least privilege“), welches zusammengefasst besagt, dass niemand über mehr Berechtigungen verfügen sollte, als dies betrieblich notwendig ist. Dieses Prinzip wird in nahezu jedem der untersuchten Maßnahmen – unter abweichender Formulierung – wiederholt.

Die Vergabe von Zugriffsberechtigungen zu IT-Systemen, Daten und Anwendungen an Mitarbeiter muss also möglichst restriktiv erfolgen. Konten von privilegierten Usern, wie zum Beispiel IT-Administratoren, sollen bei längeren Abwesenheiten, wie Urlaub oder Krankheit, gesperrt werden.

Die Maßnahme M 2.8 betrifft drei Ebenen von Berechtigungen:

  • Zutritt: Physische Zutrittsberechtigungen zu den entsprechenden Räumen
  • Zugang: Möglichkeit, ein IT-System oder eine Anwendung zu nutzen
  • Zugriff: Die jeweilige Berechtigungsstufe für eine bestimmte Funktion innerhalb der Anwendung

Parallel dazu wird eine SoD („Segregation of duties“ = Funktionstrennung) auf Anwendungsebene empfohlen. Mehrere Funktionen, die in Kombination missbräuchlich verwendet werden können, müssen auf verschiedene Personen aufgeteilt werden. Ein Praxisbeispiel: Für die Freigabe einer Warenbestellung und für die Buchung des Wareneingangs (und damit die Freigabe der Rechnung) müssen aus Sicherheitsgründen unterschiedliche Personen zuständig sein.

Lösung in tenfold

Die Einhaltung des POLP (Least Privilege-Prinzip) ist eines der Hauptziele von tenfold. Dieses Ziel wird über eine Vielzahl von Funktionen verfolgt: die automatische Anpassung von Berechtigungen über Profile, die transparente Darstellung von Berechtigungen in der Microsoft-Infrastruktur und nicht zuletzt die Dokumentation und regelmäßige Kontrolle der Zugangsrechte. Über entsprechende Plugins ist sogar die Steuerung von physischen Zutrittssystemen über Berechtigungsprofile möglich. Dadurch wird der physische Zutritt bei einem Abteilungswechsel automatisch angepasst.

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download
By |2019-07-15T17:54:17+00:0007 / 05 / 2019|BLOG|

About the Author:

Helmut Semmelmayer
Helmut Semmelmayer ist seit 2012 als Senior Manager Channel Sales beim Software-Hersteller tenfold tätig. Er ist damit für den Partnervertrieb und das Produktmarketing verantwortlich und schreibt in diesem Blog regelmäßig themenbezogene Beiträge aus dem Bereich Identity & Access Management.
📢 Melden Sie sich jetzt zu unserem kostenlosen Webinar "TOP 5 Gefahren im Access Management" an! 🔔🔔Jetzt anmelden!
+