M 4.499 Geeignete Auswahl von Identitäts- und Berechtigungsmanagement-Systemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Leiter IT, IT-Sicherheitsbeauftragter, Beschaffungsstelle

Bei der Auswahl geeigneter Lösungen für das Identitäts- und Berechtigungsmanagement spielen nicht nur technische Fragen eine Rolle. In der Praxis hat sich gezeigt, dass hierbei organisatorische Aspekte wesentliche Erfolgsfaktoren sind. Ein Identitäts- und Berechtigungsmanagement-System muss in erster Linie auf die Institution und deren jeweilige Geschäftsprozesse, Organisationsstrukturen und Abläufe sowie deren Schutzbedarf passen und erst in zweiter Linie in die vorhandene Infrastruktur eingebunden werden. Es muss die in der Institution vorhandenen Vorgaben zum Umgang mit Identitäten und Berechtigungen abbilden können. Dazu gehören beispielsweise die Anforderungen aus M 2.220 Richtlinien für die Zugriffs- bzw. Zugangskontrolle.

Identitäts- und Berechtigungsmanagement-Systeme sind komplexe Systeme, deren Einführung sehr viel Wissen über Technik, Geschäftsprozesse und Berechtigungsmodelle benötigt, so dass es häufig erforderlich ist, mit externen Beratern zusammenzuarbeiten. Die Anbindung der verschiedenen IT-Systeme kann durch unterschiedliche technische Ansätze erfolgen, z. B. mit Verzeichnisdiensten. Eine technologische Anforderung ist es, die unterschiedliche Berechtigungsverwaltung heterogener Anwendungen zentral zu integrieren.

Zu klären sind u.a. folgende Punkte:

Mit einer Einführung eines Identitäts- und Berechtigungsmanagement-Systems entsteht schnell der Wunsch, dass sich Benutzer nicht an jedem IT-System mit einem anderen Passwort anmelden müssen. Vielmehr möchten sich die Benutzer auch bei großen heterogen Netzen nur am ersten benutzten IT-System authentisieren müssen. Ein solches Verfahren, dass "Single-Sign-On" genannt wird, reicht die Authentisierungsinformationen dann an alle weiteren IT-Systeme weiter.

Aus der Praxis hat es sich bewährt, zunächst einmal ein Reduced-Sign-On anzustreben, also die Anzahl der Anmeldevorgänge je Benutzer zu reduzieren. Bereits dadurch können Benutzer, aber auch die Administratoren deutlich entlastet werden.

Es gibt eine Vielzahl verschiedener Mechanismen zur Identifikation ebenso wie zur Authentikation. Bei der Auswahl geeigneter Mechanismen sollte der Schutzbedarf der damit geschützten Informationen und Geschäftsprozesse im Vordergrund stehen (siehe auch M 4.133 Geeignete Auswahl von Authentikationsmechanismen).

Für eine geeignete Auswahl eines Identitäts- und Berechtigungsmanagement-Systems sind aus den konkreten Anforderungen der Institution Auswahlkriterien abzuleiten (siehe hierzu auch die Maßnahmen M 4.133 Geeignete Auswahl von Authentikationsmechanismen, M 4.500 Sicherer Einsatz von Systemen für Identitäts- und Berechtigungsmanagement, M 2.555 Entwicklung eines Authentisierungskonzeptes für Anwendungen und M 4.498 Sicherer Einsatz von Single-Sign-On Sicherer Einsatz von Single-Sign-On).

Im Folgenden sind einige Auswahlkriterien für ein Identitäts- und Berechtigungsmanagement-System beispielhaft aufgelistet:

Prüffragen: