M 2.8 Vergabe von Zugriffsrechten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche

Über Zugriffsrechte wird geregelt, welche Person im Rahmen ihrer Funktion bevollmächtigt wird, IT-Anwendungen oder Daten zu nutzen. Die Zugriffsrechte (z. B. Lesen, Schreiben, Ausführen) auf IT-Anwendungen, Teilanwendungen oder Daten sind von der Funktion abhängig, die die Person wahrnimmt, z. B. Anwenderbetreuung, Arbeitsvorbereitung, Systemprogrammierung, Anwendungsentwicklung, Systemadministration, Revision, Datenerfassung, Sachbearbeitung. Dabei sollten immer nur so viele Zugriffsrechte vergeben werden, wie es für die Aufgabenwahrnehmung notwendig ist ("Need-to-know-Prinzip"). Umgesetzt werden müssen die Zugriffsrechte durch die Rechteverwaltung des IT-Systems.

Eine Vielzahl von IT-Systemen lassen es zu, dass verschiedene Rechte als Gruppenrechte bzw. als Rechteprofil definiert werden (z. B. Gruppe Datenerfassung). Diese Definition entspricht der technischen Umsetzung der Rechte, die einer Funktion zugeordnet werden. Für die Administration der Rechte eines IT-Systems ist es vorteilhaft, solche Gruppen oder Profile zu erstellen, da damit die Rechtezuteilung und deren Aktualisierung erheblich vereinfacht werden kann.

Die Festlegung und Veränderung von Zugriffsrechten ist vom jeweils Verantwortlichen zu veranlassen und zu dokumentieren. Aus der Dokumentation muss hervorgehen:

Die Vorgehensweise bei der Funktionstrennung und der Rechtevergabe wird am nachfolgenden Beispiel erläutert.

Die betrachtete Anwendung ist ein Reisekosten-Abrechnungssystem. Die relevanten Räume sind in nachfolgender Graphik erläutert. Das IT-System besteht aus einem LAN, an dem neben einem Server und der Bedienkonsole drei PCs als Arbeitsplatzrechner angeschlossen sind.

Aufgabenverteilung und Funktionstrennung

Abbildung: Aufgabenverteilung und Funktionstrennung

Schritt 1: Aufgabenverteilung und Funktionstrennung

Folgende Funktionen sind für das betrachtete Reisekosten-Abrechnungssystem notwendig:

  1. LAN-Administration
  2. Revision
  3. Datenerfassung
  4. Sachbearbeitung mit Feststellung der rechnerischen Richtigkeit
  5. Sachbearbeitung mit Feststellung der sachlichen Richtigkeit
  6. Sachbearbeitung mit Anordnungsbefugnis

Folgende Funktionen sind aufgrund der Sachzwänge nicht miteinander vereinbar:

Diese Funktionen werden durch folgende Personen wahrgenommen:

 
 
Hr. Mayer
Fr. Schmidt
Hr. Müller
Fr. Fleiß
1.
LAN-Administration
X
 
 
 
2.
Revision
 
X
 
 
3.
Datenerfassung
 
 
X
 
4.
Sachbearbeitung rechn.
 
 
X
 
5.
Sachbearbeitung sachl.
 
 
X
 
6.
Anordnungsbefugnis
 
 
 
X

Schritt 2: Vergabe von Zutrittsrechten

Nachfolgend wird der Schutzbedarf der einzelnen Räume begründet und in der Tabelle die Vergabe der Zutrittsrechte dokumentiert:

 
 
Serverraum
Belegarchiv
Büro 1
Büro 2
1.
LAN-Administration
X
 
 
 
2.
Revision
X
X
X
X
3.
Datenerfassung
 
  X
 
4.
Sachbearbeitung rechn.
 
X
X
 
5.
Sachbearbeitung sachl.
 
X
X
 
6.
Anordnungsbefugnis
 
X
X
X

Schritt 3: Vergabe von Zugangsberechtigungen

Aufgrund der Funktionen ergeben sich folgende Zugangsberechtigungen:

 
 
Betriebssystem Server
Anwendung Protokollauswertung
Anwendung Datenerfassung
Anwendung Belegbearbeitung
1.
LAN-Administration
X
 
 
 
2.
Revision
X
X
 
X
3.
Datenerfassung
 
 
X
 
4.
Sachbearbeitung rechn.
 
 
 
X
5.
Sachbearbeitung sachl.
 
 
 
X
6.
Anordnungsbefugnis
 
 
 
X

Schritt 4: Vergabe von Zugriffsrechten

Im folgenden werden die Zugriffsrechte, die eine Funktion zur Ausübung benötigt, dargestellt. Es bezeichnen:

A = Recht zur Ausführung der Anwendung/Software

L = Leserecht auf Daten

S = Schreibrecht, d.h. Erzeugen von Daten

M = Recht zum Modifizieren von Daten

Ö = Recht zum Löschen von Daten

U = Recht zum Unterschreiben von Zahlungsanweisungen

  
 
Betriebssystem Server
Protokollauswertung
Anwendung Datenerfassung
Anwendung Belegbearbeitung
1.
LAN-Administration
A,L,S,M,Ö
 
 
 
2.
Revision
A,L
A,L,Ö
 
A,L
3.
Datenerfassung
 
 
A,S
 
4.
Sachbearbeitung rechn.
 
 
 
A,L,M
5.
Sachbearbeitung sachl.
 
 
 
A,L,M
6.
Anordnungsbefugnis
 
 
 
A,L,U

Eine solche Dokumentation erleichtert die Rechteverteilung. Angenommen, dass Frau Schmidt den Arbeitgeber wechseln würde und ihre Stelle neu besetzt werden müsste, so lässt sich anhand der obigen Tabellen einfach feststellen, welche der ehemaligen Rechte Frau Schmidts zu löschen und für die neue Kraft einzurichten sind. Wenn die neue Kraft zusätzlich vertretungsweise die Funktion Sachbearbeitung mit Anordnungsbefugnis übernehmen soll, so wird anhand der durchzuführenden Rechteverteilung der Konflikt offenbar, dass die neue Kraft im Vertretungsfall Manipulationen unbemerkt durchführen könnte.

Prüffragen: