M 2.555 Entwicklung eines Authentisierungskonzeptes für Anwendungen

Verantwortlich für Initiierung: Leiter IT, Fachverantwortliche, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Fachverantwortliche, IT-Sicherheitsbeauftragter, Leiter IT

Im Zuge der Konzeption des Einsatzes einer neuen Anwendung sollte geklärt werden, wie sich Benutzer vor dem Zugriff auf die mit der Anwendung verarbeiteten Daten authentisieren. Im Authentisierungskonzept ist zu klären, ob die Anwendung überhaupt über Authentisierungsmechanismen verfügen soll (bei Bürokommunikationssoftware ist dies z. B. unüblich, da die Berechtigung auf Ebene der verarbeiteten Dokumente geregelt wird). Ist dies vorgesehen, ist zu klären, ob die Anwendung über eine eigenständige Benutzerverwaltung verfügt oder ob die Authentisierung über einen zentralen Verzeichnisdienst (siehe Baustein B 5.15 Allgemeiner Verzeichnisdienst) erfolgen soll. Kann ein Verzeichnisdienst genutzt werden, sollte geklärt werden, ob ein Single-Sign-On (SSO) vorgesehen ist.

Grundsätzlich sollte die Anbindung einer selbst entwickelten Authentisierung an einen Verzeichnisdienst oder SSO-Dienst vorgezogen werden. Ist dies nicht möglich, sollte in jedem Fall sichergestellt werden, dass Authentisierungsinformationen (Credentials, Kennwörter etc.) verdeckt eingegeben werden können und nicht ungesichert (d. h. unverschlüsselt) auf Datenträgern wie Festplatten gespeichert oder über Kommunikationsnetze übertragen werden (siehe M 2.11 Regelung des Passwortgebrauchs).

Weitere, im Konzept behandelte Aspekte können sein:

Außerdem sollte die vorgesehene Art und Stärke der Authentisierungsmechanismen beschrieben werden. Hierbei sind insbesondere die in M 4.133 Geeignete Auswahl von Authentikationsmechanismen genannten Kriterien zu berücksichtigen:

Prüffragen: