M 2.585 Konzeption eines Identitäts- und Berechtigungsmanagements

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Diese Maßnahme beschreibt, welche grundsätzlichen Schritte im Rahmen eines Identitäts- und Berechtigungsmanagements durchgeführt werden müssen.

Um die Geschäftsprozesse, Informationen und IT-Systeme einer Institution angemessen schützen zu können, ist ein zweckmäßiges und passendes Identitäts- und Berechtigungsmanagement erforderlich. Als Grundlage hierfür müssen die rechtlichen, organisatorischen und technischen Rahmenbedingungen in der jeweiligen Institution geklärt werden. Darauf aufbauend muss eine generelle Vorgehensweise für den generellen Umgang mit Identitäten und Berechtigungen in den verschiedenen Bereichen der Institution festgelegt werden.

Immer wieder kommt es zu gravierenden Problemen, weil einzelne Benutzer unnötige Privilegien angehäuft haben oder oder ungenutzte Benutzerkennungen nicht gelöscht wurden, beispielsweise nach dem Weggang von Mitarbeitern. Um dies zu vermeiden, muss es daher oberstes Ziel des Identitäts- und Berechtigungsmanagements sein, allen legitimen Benutzern zu jeder Zeit genau die Rechte zuzuteilen, die für die Erfüllung ihrer jeweiligen Aufgaben notwendig sind (Prinzipien Need-to-Know und Least Privileges). Hierfür sind klar geregelte Verfahren und Sicherheitsvorgaben erforderlich. In einer Behörde oder einem Unternehmen gibt es normalerweise eine Vielzahl zu verwaltender Objekte und Benutzer. Es ist daher sinnvoll, das Identitäts- und Berechtigungsmanagement zentral zu regeln.

Das Berechtigungsmanagement sollte alle Arten und Varianten von Berechtigungen umfassen, die in der Institution relevant sind, also sowohl Zutritts-, Zugangs- und Zugriffsberechtigungen. Die Struktur der Berechtigungen sollte für alle Geschäftsprozesse und auf allen Systemen möglichst einheitlich sein, gleiche Rollen sollten auch mit den gleichen Namen bezeichnet werden. Ebenso muss festgelegt werden, in welcher Form und Struktur Informationen zu Identitäten erfasst werden.

Als einer der wichtigsten Punkte muss festgelegt werden, wer welche Aufgaben und Zuständigkeiten im Rahmen des Identitäts- und Berechtigungsmanagement hat. Häufig kümmert sich die Personalabteilung um die Aufgaben im Rahmen des Identitätsmanagements und der IT-Betrieb um das Berechtigungsmanagement.

Es sollte ein übergreifendes Konzept für das Identitäts- und Berechtigungsmanagement für die gesamte Institution geben, aus dem (wenn notwendig) für einzelne Bereiche oder Systeme angepasste Regelungen abgeleitet werden können. Das Konzept sollte die einzelnen Aufgaben und Prozessschritte für das Identitäts- und Berechtigungsmanagement beschreiben, die dann auf die einzelnen Bereiche angepasst werden müssen. Dazu gehören:

Grundsätzlich ist für jeden Bereich zunächst zu klären, welchen Schutzbedarf die zu schützenden Informationen und Geschäftsprozesse haben, welche Gefährdungen relevant sind und welche Sicherheitsmaßnahmen bereits vorhanden sind. Außerdem muss geregelt werden, wer die Informationen und Geschäftsprozesse wie nutzen darf.

Richtlinien erstellen

Es sollten Richtlinien für das Identitäts- und Berechtigungsmanagement geben, in denen spezifisch für den betreffenden Bereich und die Zielgruppe (z. B. Administratoren, Benutzer, Fachverantwortliche) die einzelnen Aufgaben und Prozessschritte beschrieben werden. Dazu gehören die folgenden Punkte:

Außerdem sollte es Vorgaben an Art und Ausgestaltung der jeweiligen Authentisierung geben, z. B. über die Art der Authentisierung über Besitz, Wissen oder biometrische Eigenschaften sowie Mindestanforderungen an Passwörter (siehe M 2.220 Richtlinien für die Zugriffs- bzw. Zugangskontrolle und M 2.11 Regelung des Passwortgebrauchs).

Zu regeln ist auch, welche Personen auf welche Weise Zugriff auf welche Informationen erhalten, also z. B. nur aus dem Intranet oder von unterwegs und welche IT-Systeme dabei für Zugriffe zugelassen sind.

Dabei müssen die spezifischen Rahmenbedingungen berücksichtigt werden, wie z. B. vorhandene Sicherheitsrichtlinien und gesetzliche Vorgaben. Bereits vorhandene Berechtigungskonzepte müssen konsolidiert und in einem übergreifenden Konzept zusammengeführt werden. Dabei dürfen auch verstreute Anwendungen nicht vergessen werden. Daher ist der Einsatz von Werkzeugen zur Benutzer- und Rechte-Verwaltung meistens sinnvoll.

Funktionen trennen

Ein Identitäts- und Berechtigungsmanagement muss den Ansatz verfolgen, Aufgaben und Funktionen und somit auch Berechtigungen geeignet zu trennen und entsprechend gesetzlicher oder organisatorischer Vorgaben auf verschiedene Mitarbeiter zu verteilen (siehe M 2.5 Aufgabenverteilung und Funktionstrennung).

Rollen trennen

Personen können verschiedene Rollen wahrnehmen. Dabei müssen diese Rollen aber organisatorisch und technisch klar voneinander getrennt werden, insbesondere bei unterschiedlichen Sicherheitsanforderungen. Die Konzentration mehrerer sicherheitskritischer Rollen auf eine Person sollte verhindert werden (wie Administration und Prüfung, siehe auch M 2.38 Aufteilung der Administrationstätigkeiten).

Berechtigungen anlegen, ändern und löschen

Im Mittelpunkt des Identitäts- und Berechtigungsmanagement steht, dass Berechtigung angelegt, geändert und gelöscht werden (siehe M 2.586 Einrichtung, Änderung und Entzug von Berechtigungen ).

Mit Passwörtern umgehen

Es muss geregelt werden, wie Authentikationsmechanismen anzuwenden sind. Außerdem müssen die Benutzer darin eingewiesen worden sein (siehe beispielsweise M 4.1 Passwortschutz für IT-Systeme, M 4.7 Änderung voreingestellter Passwörter und M 3.63 Schulung der Benutzer zur Authentisierung mit Hilfe von Verzeichnisdiensten).

In jeder Institution muss es eine geeignete Vorgehensweise für den Umgang mit Identitäten und Berechtigungen geben. Es wird daher empfohlen, die Aufgaben aus den generischen Prozesse der Maßnahme M 2.587 Vorgehensweise und Konzeption der Prozesse beim Identitäts- und Berechtigungsmanagement in der Institution sinngemäß einzurichten.

Prüffragen: