M 2.8 Vergabe von Zugriffsrechten
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Fachverantwortliche
Über Zugriffsrechte wird geregelt, welche Person im Rahmen ihrer Funktion bevollmächtigt wird, IT-Anwendungen oder Daten zu nutzen. Die Zugriffsrechte (z. B. Lesen, Schreiben, Ausführen) auf IT-Anwendungen, Teilanwendungen oder Daten sind von der Funktion abhängig, die die Person wahrnimmt, z. B. Anwenderbetreuung, Arbeitsvorbereitung, Systemprogrammierung, Anwendungsentwicklung, Systemadministration, Revision, Datenerfassung, Sachbearbeitung. Dabei sollten immer nur so viele Zugriffsrechte vergeben werden, wie es für die Aufgabenwahrnehmung notwendig ist ("Need-to-know-Prinzip"). Umgesetzt werden müssen die Zugriffsrechte durch die Rechteverwaltung des IT-Systems.
Eine Vielzahl von IT-Systemen lassen es zu, dass verschiedene Rechte als Gruppenrechte bzw. als Rechteprofil definiert werden (z. B. Gruppe Datenerfassung). Diese Definition entspricht der technischen Umsetzung der Rechte, die einer Funktion zugeordnet werden. Für die Administration der Rechte eines IT-Systems ist es vorteilhaft, solche Gruppen oder Profile zu erstellen, da damit die Rechtezuteilung und deren Aktualisierung erheblich vereinfacht werden kann.
Die Festlegung und Veränderung von Zugriffsrechten ist vom jeweils Verantwortlichen zu veranlassen und zu dokumentieren. Aus der Dokumentation muss hervorgehen:
- welche Funktion unter Beachtung der Funktionstrennung (siehe M 2.5 Aufgabenverteilung und Funktionstrennung) mit welchen Zugriffsrechten ausgestattet wird,
- welche Gruppen bzw. Profile eingerichtet werden,
- welche Person welche Funktion wahrnimmt,
- welche Zugriffsrechte eine Person im Rahmen welcher Rolle erhält (hierbei sollten auch die Zugriffsrechte von Vertretern erfasst werden) und
- welche Konflikte bei der Vergabe von Zugriffsrechten aufgetreten sind. Diese Konflikte können z. B. daraus resultieren, dass eine Person unvereinbare Funktionen wahrnimmt oder daraus, dass abhängig vom IT-System die Trennung bestimmter Zugriffsrechte nicht vorgenommen werden kann.
- welche Personen in einem Notfall welche Zugriffsrechte erhalten, z. B. da sie zum Krisenstab gehören.
Ergänzende Kontrollfragen:
- Liegt eine aktuelle Dokumentation der vergebenen Zugriffsrechte vor?
- Werden beantragte Zugriffsrechte oder Änderungen erteilter Zugriffsrechte von den Verantwortlichen bestätigt und geprüft?
- Existiert ein geregeltes Verfahren für den Entzug von Zugriffsrechten?
Die Vorgehensweise bei der Funktionstrennung und der Rechtevergabe wird am nachfolgenden Beispiel erläutert.
Die betrachtete IT-Anwendung sei ein Reisekosten-Abrechnungssystem. Die relevanten Räume sind in nachfolgender Graphik erläutert. Das IT-System besteht aus einem LAN, an dem neben der Bedienkonsole drei PCs als Arbeitsplatzrechner angeschlossen sind.

Schritt 1: Aufgabenverteilung und Funktionstrennung
Folgende Funktionen sind für das betrachtete Reisekosten-Abrechnungssystem notwendig:
- LAN-Administration
- Revision
- Datenerfassung
- Sachbearbeitung mit Feststellung der rechnerischen Richtigkeit
- Sachbearbeitung mit Feststellung der sachlichen Richtigkeit
- Sachbearbeitung mit Anordnungsbefugnis
Folgende Funktionen sind aufgrund der Sachzwänge nicht miteinander vereinbar:
- Funktion 1 und Funktion 2 (die Administration darf sich nicht selbst kontrollieren)
- Funktion 2 und Funktion 6 (der Anordnungsbefugte darf sich nicht selbst kontrollieren)
- die Kombination der Funktionen 4 oder 5 mit 6 (das Vier-Augen-Prinzip wäre verletzt für Zahlungsanweisungen)
Diese Funktionen werden durch folgende Personen wahrgenommen:
Hr. Mayer | Fr. Schmidt | Hr. Müller | Fr. Fleiß | ||
1. | LAN-Administration | X |
|
|
|
2. | Revision |
|
X |
|
|
3. | Datenerfassung |
|
|
X |
|
4. | Sachbearbeitung rechn. |
|
|
X |
|
5. | Sachbearbeitung sachl. |
|
|
X |
|
6. | Anordnungsbefugnis |
|
|
|
X |
Schritt 2: Vergabe von Zutrittsrechten
Nachfolgend wird der Schutzbedarf der einzelnen Räume begründet und in der Tabelle die Vergabe der Zutrittsrechte dokumentiert:
- Serverraum:
- der unbefugte Zutritt zum Server muss verhindert werden, weil die Verfügbarkeit Integrität und Vertraulichkeit der gesamten Anwendung von dieser zentralen Komponente abhängig ist
- Belegarchiv:
- für die Rechnungslegung bedarf es der Aufbewahrung der Reisekostenabrechnungen. Es ist sicherzustellen, dass die Belege vollständig und unverändert aufbewahrt werden
- Büro 1:
- in diesem Büro erfolgt die Dateneingabe in Verbindung mit der Feststellung der rechnerischen Richtigkeit und die Feststellung der sachlichen Richtigkeit. Für die Gewährleistung der Korrektheit dieser Vorgänge muss verhindert werden, dass Unbefugte Zutritt zu den Arbeitsplatzrechnern erhalten.
- Büro 2:
- hier erfolgt die Anordnungsbefugnis für die Auszahlung der Reisekosten am APC. Dieser Vorgang darf nur von einer befugten Person vorgenommen werden. Unbefugten ist der Zutritt zu verwehren.
Serverraum | Belegarchiv | Büro 1 | Büro 2 | ||
1. | LAN-Administration | X | |||
2. | Revision | X | X | X | X |
3. | Datenerfassung | X | |||
4. | Sachbearbeitung rechn. | X | X | ||
5. | Sachbearbeitung sachl. | X | X | ||
6. | Anordnungsbefugnis | X | X | X |
Schritt 3: Vergabe von Zugangsberechtigungen
Aufgrund der Funktionen ergeben sich folgende Zugangsberechtigungen:
Betriebssystem Server | Anwendung Protokollauswertung | Anwendung Datenerfassung | Anwendung Belegbearbeitung | ||
1. | LAN-Administration | X | |||
2. | Revision | X | X | X | |
3. | Datenerfassung | X | |||
4. | Sachbearbeitung rechn. | X | |||
5. | Sachbearbeitung sachl. | X | |||
6. | Anordnungsbefugnis | X |
Schritt 4: Vergabe von Zugriffsrechten
Im folgenden werden die Zugriffsrechte, die eine Funktion zur Ausübung benötigt, dargestellt. Es bezeichnen:
A = Recht zur Ausführung der Anwendung/Software
L = Leserecht auf Daten
S = Schreibrecht, d. h. Erzeugen von Daten
M = Recht zum Modifizieren von Daten
Ö = Recht zum Löschen von Daten
U = Recht zum Unterschreiben von Zahlungsanweisungen
Betriebssystem Server | Protokollauswertung | Anwendung Datenerfassung | Anwendung Belegbearbeitung | ||
1. | LAN-Administration | A,L,S,M,Ö | |||
2. | Revision | A,L | A,L,Ö | A,L | |
3. | Datenerfassung | A,S | |||
4. | Sachbearbeitung rechn. | A,L,M | |||
5. | Sachbearbeitung sachl. | A,L,M | |||
6. | Anordnungsbefugnis | A,L,U |
Eine solche Dokumentation erleichtert die Rechteverteilung. Angenommen, dass Frau Schmidt den Arbeitgeber wechseln würde und ihre Stelle neu besetzt werden müsste, so lässt sich anhand der obigen Tabellen einfach feststellen, welche der ehemaligen Rechte Frau Schmidts zu löschen und für die neue Kraft einzurichten sind. Wenn die neue Kraft zusätzlich vertretungsweise die Funktion Sachbearbeitung mit Anordnungsbefugnis übernehmen soll, so wird anhand der durchzuführenden Rechteverteilung der Konflikt offenbar, dass die neue Kraft im Vertretungsfall Manipulationen unbemerkt durchführen könnte.