G 2.214 Fehlende oder unzureichende Konzeption des Identitäts- und Berechtigungsmanagements

Voraussetzung für einen sicheren Einsatz eines Identitäts- und Berechtigungsmanagements ist eine umfassende Planung und Konzeption, wie Benutzerkennungen und deren Berechtigungen anzulegen, zu ändern und zu löschen sind.

Dazu ist der Lebenszyklus einer Identität zu organisieren und konzeptionell sicherzustellen, dass nur zugelassene Berechtigungen der Identität zugeordnet werden. Darüber hinaus müssen die Zuständigkeiten, Aufgaben und Informationswege als Prozesse definiert sein.

Dass Defizite bei einer fehlenden oder unzureichenden Konzeption zu Schäden führen können, machen folgende Beispiele deutlich: