M 4.233 Sperrung nicht mehr benötigter RAS-Zugänge
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die Nutzung eines entfernten Zugangs ist in regelmäßigen Zeitabständen zu überprüfen. Bestehende, in Vergessenheit geratene RAS-Zugänge stellen unnötige Sicherheitslücken dar und sind schnellstmöglich zu sperren, falls ihre Nutzung nicht mehr erwünscht ist.
Auch die Anforderungen für den Remote Access Zugang sollen in regelmäßigen Abständen überprüft und das RAS-Konzept daraufhin angepasst werden. Besonders ist dabei darauf zu achten, ob die Berechtigungen für den RAS-Zugang der einzelnen Mitarbeiter zu ihren aktuellen Aufgaben passen.
Die Überprüfung der Anforderungen gilt ebenfalls für die einzelnen Systeme, die in dem RAS-Konzept beteiligt sind. Hier ist auch nach dem Minimalprinzip zu handeln.
Ergänzende Kontrollfragen:
- Wird regelmäßig überprüft, ob die bestehenden RAS-Zugänge noch sinnvoll sind?
- Existiert ein Verfahren, um die Remote Access Zugriffsrechte von Mitarbeitern bei Aufgabenänderungen anzupassen?