B 1.18 Identitäts- und Berechtigungsmanagement

Beschreibung
Ziel des Identitätsmanagements ist es, die Subjekte zweifelsfrei zu identifizieren, die auf Ressourcen einer Institution zugreifen, hier vor allem IT-Ressourcen. Zugreifende Subjekte können Personen oder auch IT-Komponenten oder kurz Benutzer sein. Mit Identitätsmanagement wird die Verwaltung der für die Identifikation, aber auch für die Authentisierung notwendigen Informationen bezeichnet.
Beim Berechtigungsmanagement geht es dann darum, ob und in welcher Granularität von diesen Subjekten Informationen oder Dienste genutzt werden können, ihnen also basierend auf dem Benutzerprofil Zutritt, Zugang oder Zugriff zu gewähren oder zu verweigern ist. Berechtigungsmanagement bezeichnet die Prozesse, die für die Zuweisung, Entzug und Kontrolle der Rechte erforderlich sind.
Die Übergänge zwischen beiden Begriffen sind fließend, daher wird im Folgenden der Begriff Identitäts- und Berechtigungsmanagement (englisch IAM - Identity and Access Management) benutzt. Durch ein Identitäts- und Berechtigungsmanagement wird gewährleistet, dass Benutzer ausschließlich auf die IT-Ressourcen und Informationen zugreifen dürfen, die sie für ihre Arbeit benötigen und für die sie autorisiert sind.
Ein Identitäts- und Berechtigungsmanagement muss folgende Anforderungen erfüllen:
- Aufbau und Umsetzung von Vorgehensweisen, um den Zugriff auf Informationen und den Zugang zu IT-Ressourcen steuern und kontrollieren zu können, vor allem den Umgang mit und die Verwaltung von Identitäten und Berechtigungen
- Registrierung von Benutzern, Zuweisung und Entzug von Rechten,
- Verwaltung von Benutzerkennungen und den dazugehörigen Berechtigungen,
- Kontrolle der Benutzerzugriffe.
Ein Identitäts- und Berechtigungsmanagement besteht sowohl aus organisatorischen sowie aus technischen Verfahren. Oftmals erfolgt das Identitäts- und Berechtigungsmanagement mit Bordmitteln und manuell. Diese Vorgehensweise führt zu hohen Administrationsaufwendungen sowie zu inkonsistenten und veralteten Benutzerdatenbeständen. Der Einsatz von IT-Anwendungen können bei der Durchführung unterstützen, sind aber nur ein Teil einer Lösung. Dieser Baustein zeigt auf, wie sichere Lösungen für einen strukturierten Umgang mit Benutzern und Berechtigungen aussehen sollten.
Berechtigungen dürfen nur eingeschränkt und aufgabenbezogen nach dem Prinzip der geringsten Berechtigungen eingerichtet werden. In den Räumlichkeiten und mittlerweile insbesondere den IT-Systemen einer Institution befindet sich ein großer Anteil des geistigen Eigentums dieser Institution. Die IT-Systeme unterstützen außerdem viele erfolgskritische Geschäftsprozesse eines Unternehmens bzw. einer Behörde. Durch ein Identitäts- und Berechtigungsmanagement wird sichergestellt, dass den Benutzern nur die notwendigen Berechtigungen zugeordnet werden. Eine dokumentierte Vorgehensweise der Zuweisung, Veränderung und dem Entzug von Berechtigungen ermöglicht es, Zutritt, Zugriff und Zugang zu Informationen steuern zu können, entsprechende Hintergrundsysteme ermöglichen es außerdem, die stattgefundenen Aktivitäten speichern und auswerten zu können. Im Schadensfall oder aufgrund rechtlicher Anforderungen können Aktivitäten ausgewertet und Benutzern zugeordnet werden.
Gefährdungslage
In diesem Baustein werden für den IT-Grundschutz die folgenden typischen Gefährdungen betrachtet:
Organisatorische Mängel
- | G 2.1 | Fehlende oder unzureichende Regelungen |
- | G 2.2 | Unzureichende Kenntnis über Regelungen |
- | G 2.4 | Unzureichende Kontrolle der Sicherheitsmaßnahmen |
- | G 2.6 | Unbefugter Zutritt zu schutzbedürftigen Räumen |
- | G 2.7 | Unerlaubte Ausübung von Rechten |
- | G 2.67 | Ungeeignete Verwaltung von Zutritts-, Zugangs- und Zugriffsrechten |
- | G 2.214 | Fehlende oder unzureichende Konzeption des Identitäts- und Berechtigungsmanagements |
Menschliche Fehlhandlungen
- | G 3.16 | Fehlerhafte Administration von Zugangs- und Zugriffsrechten |
- | G 3.43 | Ungeeigneter Umgang mit Passwörtern oder anderen Authentikationsmechanismen |
Technisches Versagen
- | G 4.10 | Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen |
- | G 4.33 | Schlechte oder fehlende Authentikationsverfahren und -mechanismen |
- | G 4.101 | Ausfall eines zentralen Identitäts- und Berechtigungsmanagement-Systems |
Vorsätzliche Handlungen
- | G 5.9 | Unberechtigte IT-Nutzung |
- | G 5.18 | Systematisches Ausprobieren von Passwörtern |
- | G 5.19 | Missbrauch von Benutzerrechten |
- | G 5.20 | Missbrauch von Administratorrechten |
- | G 5.24 | Wiedereinspielen von Nachrichten |
- | G 5.42 | Social Engineering |
- | G 5.104 | Ausspähen von Informationen |
Maßnahmenempfehlungen
Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.
Im Rahmen des Identitäts- und Berechtigungsmanagements sind unabhängig von der Art der eingesetzten IT-Komponenten eine Reihe von Maßnahmen umzusetzen. Die Schritte, die dabei durchlaufen werden sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.
Für Identitätsmanagementsysteme werden verschiedene Komponenten benötigt, dazu gehören Systeme zur Verwaltung von Personen- und Organisationsdaten (typischerweise Verzeichnisdienste, siehe hierzu den Baustein B 5.15 Allgemeiner Verzeichnisdienst) und Dienste für die Identifikation und Authentikation von Benutzern, z.B. über Verzeichnisdienste wie Novell Directory Services, Microsoft Active Directory oder RACF bei IBM Großrechnern.
Planung und Konzeption
In jeder Institution muss es eine geeignete Vorgehensweise für den Umgang mit Identitäten und Berechtigungen geben (siehe M 2.585 Konzeption eines Identitäts- und Berechtigungsmanagements). Zunächst sollten innerhalb der Institution die grundlegenden Rahmenbedingungen aus dem Sicherheitskonzept mit Bezug auf das Identitäts- und Berechtigungsmanagement definiert sein. Alle Vorgaben, z. B. Namenskonventionen und internen Abläufe, sollten in einer Richtlinie beschrieben werden (siehe M 2.220 Richtlinien für die Zugriffs- bzw. Zugangskontrolle). Dazu gehören ebenfalls die Vorgaben zur Regelung des Passwortgebrauchs (siehe M 2.11 Regelung des Passwortgebrauchs).
Wenn Mitarbeiter Aufgaben neu übernehmen, abgeben oder die Institution verlassen, müssen Berechtigungen angelegt, geändert oder gelöscht sowie ihre Benutzerkennungen deaktiviert werden (siehe M 2.586 Einrichtung, Änderung und Entzug von Berechtigungen Einrichtung, Änderung und Entzug von Berechtigungen).
Für weitergehende Managementanforderungen ist in der Wissensmaßnahme M 2.587 Vorgehensweise und Konzeption der Prozesse beim Identitäts- und Berechtigungsmanagement ein Beispiel für den Aufbau und die Organisation eines Identitäts- und Berechtigungsmanagements prozessual dargestellt.
Beschaffung
Bei der Beschaffung von Identitäts- und Berechtigungsmanagement-Systemen und Authentikationsmechanismen sollte bereits im Auswahlprozess der Schutzbedarf der zu verarbeitenden Informationen betrachtet werden. In M 4.499 Geeignete Auswahl von Identitäts- und Berechtigungsmanagement-Systemen ist dies näher beschrieben.
Umsetzung
Der Zugang zu IT-Systemen sollte so geplant und umgesetzt werden, dass die Mitarbeiter nur auf die Informationen zugreifen können, die sie für ihre tägliche Arbeit benötigen. Zur Absicherung des Zugriffs sollten geeignete Authentikationsmechanismen verwendet werden (siehe M 4.1 Passwortschutz für IT-Systeme). Dabei sollten auch voreingestellte Passwörter unverzüglich geändert werden (siehe M 4.7 Änderung voreingestellter Passwörter).
Alle Mitarbeiter sollten im Umgang und dem Bewusstsein für sichere Passwörter regelmäßig geschult werden (siehe M 3.63 Schulung der Benutzer zur Authentisierung mit Hilfe von Verzeichnisdiensten).
Betrieb
Im Rahmen des Identitäts- und Berechtigungsmanagements werden Zutritt, Zugang und Zugriff für alle Mitarbeiter in die verschiedenen Bereiche einer Institution und auf alle Ressourcen geregelt (siehe M 2.6 Vergabe von Zutrittsberechtigungen, M 2.7 Vergabe von Zugangsberechtigungen und M 2.8 Vergabe von Zugriffsrechten).
Alle Änderungen innerhalb des Identitäts- und Berechtigungsmanagement müssen schriftlich dokumentiert werden (siehe M 2.31 Dokumentation der zugelassenen Benutzer und Rechteprofile)
Notfallvorsorge
Der Ausfall eines Identitäts- und Berechtigungsmanagement-Systems kann zur Folge haben, dass Benutzer sich nicht mehr anmelden können und Benutzerprofile nicht mehr geändert, angelegt und gelöscht werden können. Es ist zu untersuchen, inwieweit ein Ausfall des Identitäts- und Berechtigungsmanagement-Systems sicherheitskritische Auswirkungen auf die Geschäftsprozesse hat (siehe M 6.166 Notfallvorsorge beim Identitäts- und Berechtigungsmanagement-System).
Nachfolgend wird das Maßnahmenbündel für den Bereich "Identitäts- und Berechtigungsmanagement" vorgestellt:
Planung und Konzeption
- | M 2.5 | (A) | Aufgabenverteilung und Funktionstrennung |
- | M 2.11 | (A) | Regelung des Passwortgebrauchs |
- | M 2.30 | (A) | Regelung für die Einrichtung von Benutzern / Benutzergruppen |
- | M 2.220 | (A) | Richtlinien für die Zugriffs- bzw. Zugangskontrolle |
- | M 2.585 | (A) | Konzeption eines Identitäts- und Berechtigungsmanagements |
- | M 2.586 | (A) | Einrichtung, Änderung und Entzug von Berechtigungen |
- | M 2.587 | (W) | Vorgehensweise und Konzeption der Prozesse beim Identitäs- und Berechtigungsmanagement |
- | M 4.133 | (Z) | Geeignete Auswahl von Authentikationsmechanismen |
- | M 4.250 | (Z) | Auswahl eines zentralen, netzbasierten Authentisierungsdienstes |
- | M 4.498 | (Z) | Sicherer Einsatz von Single-Sign-On |
- | M 5.34 | (Z) | Einsatz von Einmalpasswörtern |
Beschaffung
- | M 4.499 | (Z) | Geeignete Auswahl von Identitäts- und Berechtigungsmanagement-Systemen |
Umsetzung
- | M 1.1 | (A) | Einhaltung Einschlägiger Normen und Vorschriften |
- | M 2.555 | (A) | Entwicklung eines Authentisierungskonzeptes für Anwendungen |
- | M 4.1 | (A) | Passwortschutz für IT-Systeme |
- | M 4.7 | (A) | Änderung voreingestellter Passwörter |
Betrieb
- | M 2.6 | (A) | Vergabe von Zutrittsberechtigungen |
- | M 2.7 | (A) | Vergabe von Zugangsberechtigungen |
- | M 2.8 | (A) | Vergabe von Zugriffsrechten |
- | M 2.22 | (Z) | Hinterlegen des Passworts |
- | M 2.31 | (A) | Dokumentation der zugelassenen Benutzer und Rechteprofile |
- | M 2.65 | (C) | Kontrolle der Wirksamkeit der Benutzer-Trennung am IT-System |
- | M 2.402 | (Z) | Zurücksetzen von Passwörtern |
- | M 3.98 | (C) | Einweisung aller Mitarbeiter in den Umgang mit Authentisierungsverfahren und -mechanismen |
- | M 4.500 | (C) | Sicherer Einsatz von Systemen für Identitäts- und Berechtigungsmanagement |
Notfallvorsorge
- | M 6.166 | (C) | Notfallvorsorge beim Identitäts- und Berechtigungsmanagement |