Richtlinie für das Berechtigungsmanagement

1. Einleitung

Bei der Musterding GmbH kommen diverse Anwendungen auf verschiedenen IT-Systemen zum Einsatz.

Bei der Einrichtung und Änderung von IT-Systemen und Anwendungen („IT-Ressourcen“) ist zu gewährleisten, dass Anforderungen an die Informationssicherheit und datenschutzrechtliche Vorgaben eingehalten werden. Dies soll auch durch die verbindlichen Vorgaben in dieser Richtlinie zum Berechtigungsmanagement umgesetzt werden.

Die Vorgaben dieser Richtlinie sind an das IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) – insbesondere den Baustein ORP.4 Identitäts- und Berechtigungsmanagement – angelehnt.

2. Geltungsbereich

Diese Richtlinie gilt für alle Standorte der Mustermann GmbH. Sie verpflichtet alle Beschäftigten der Mustermann GmbH zur Einhaltung der hier festgelegten Vorgaben.

3. Vorgaben für das Berechtigungsmanagement

3.1 Grundsätzliche Vorgaben zum Management von Berechtigungen

Vor jeder Inbetriebnahme einer IT-Ressource ist eine „verantwortliche Person“ für das IT-System oder die Anwendung zu bestimmen. Ferner ist eine Administratorin oder ein Administrator („administrierende Person“) zu bestimmen – oder mehrere.

Die verantwortliche Person bestimmt in Abstimmung mit den administrierenden Personen, in welchem Umfang Nutzende auf die IT-Ressource zugreifen können sollen.

In dem Zusammenhang sind Berechtigungen für verschiedene Arten von Benutzerinnen und Benutzern („Nutzende“) in „Benutzerrollen/-gruppen“ zusammenzufassen, um einzelnen Nutzenden bei der Einrichtung eines Zugangs die passende Rolle zuweisen zu können.

3.2 Regelung für die Einrichtung von Benutzerinnen und Benutzern und Benutzergruppen

Für jede IT-Ressource muss eine separate administrative Rolle eingerichtet werden, die den administrierenden Personen für die IT-Ressource zugeordnet wird.

Neue Benutzergruppen dürfen ausschließlich von administrierenden Personen unter Einbeziehung der jeweiligen verantwortlichen Person für die IT-Ressource eingerichtet werden. Bei der Einrichtung von Benutzergruppen ist der Grundsatz der Erforderlichkeit und des tatsächlichen Bedarfs zu berücksichtigen.

Neue Benutzerinnen oder Benutzerdürfen nur nach dem „Vier-Augen-Prinzip“ eingerichtet werden. Die Einrichtung einer Benutzerin oder eines Benutzers erfolgt durch eine administrierende Person der jeweiligen IT-Ressource, wenn die nachfolgenden Voraussetzungen vorliegen:

  1. Die Einrichtung einer Benutzerin oder eines Benutzers wird von der verantwortlichen Person für die IT-Ressource unter Angabe des Namens und ggf. weiterer Kontaktdaten bei einer Administratorin oder einem Administrator in Textform (z.B. über ein Ticket-System) angefordert.
  2. Die verantwortliche Person teilt der jeweils administrierenden Person die Benutzergruppe mit, der die neue Benutzerin oder der neue Benutzer zugeordnet werden soll.
  3. Die verantwortliche Person wird beim Antrag das sog. „Least Privilege“-Prinzip anwenden. Danach sind Benutzerinnen und Benutzern nur die Rechte zuzuweisen, die für die zugewiesenen Aufgaben im Unternehmen tatsächlich erforderlich sind.
  4. Wenn eine Benutzerin oder ein Benutzer über die Rechte der zugeordneten Benutzergruppe hinaus mehr Rechte erhalten soll, sind diese von der verantwortlichen Person bei den administrierenden Personen zu definieren und zu begründen. Gleiches gilt für ein „Weniger“ an Berechtigungen.

Die administrierende Person wird sich bei Unklarheiten über Art und Umfang der Berechtigungen für eine Benutzerin oder einen Benutzer mit der verantwortlichen Person in Verbindung setzen.

3.3 Dokumentation von Benutzergruppen und -berechtigungen

Die administrierende Person einer IT-Ressource ist verpflichtet, die Einrichtung, Änderung und den Entzug von Berechtigungen zu dokumentieren. Gleiches gilt für Benutzergruppen.
Die Dokumentation ist vor unberechtigtem Zugriff zu schützen. Die Verfügbarkeit und Integrität der Dokumentation sind zu gewährleisten.

3.4 Regelung für die Änderung und den Entzug von Berechtigungen

Bei personellen Veränderungen von Benutzerinnen und Benutzern sind die Berechtigungen von den administrierenden Personen anzupassen.

Die verantwortliche Person ist verpflichtet, die administrierenden Personen über personelle Veränderungen zu informieren, wenn diese Auswirkung auf den tatsächlichen Bedarf von Berechtigungen für Nutzenden haben können. Eine Information muss insbesondere erfolgen, wenn eine Benutzerin oder ein Benutzer das Unternehmen verlässt.

3.5 Regelung des Passwortgebrauchs

Die Passwortvorgaben beinhalten eine Mindestpasswortlänge von 12 Zeichen, wobei das Passwort auf Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen bestehen muss.

Ein Passwortwechsel ist grundsätzlich nicht vorgesehen. Wenn Systeme oder Applikationen einen Passwortwechsel vorsehen, ist dieses nur in begründeten Fällen zulässig.

Eine Passworthistorie ist hinterlegt. So wird sichergestellt, dass die vergangenen zehn Passwörter nicht noch einmal verwendet werden können.

Fehlerhafte Anmeldeversuche werden protokolliert. Bei 3-maliger Fehleingabe erfolgt eine Sperrung des jeweiligen Accounts der Benutzerin oder des Benutzers.

Die administrierenden Personen einer IT-Ressource sind verpflichtet, beim Zurücksetzen von Passwörtern sichere Verfahren zur Vergabe von neuen Passwörtern für Benutzerinnen und Benutzer einzusetzen. Ziel ist es, sicherzustellen, dass Unbefugte durch eine Passwortzurücksetzung keinen Zugriff auf IT-Ressourcen erhält.

Unberechtigte Zugriffsversuche auf IT-Ressourcen sind so zu beschränken, dass bei mehrfachen Zugriffen mit falschen Zugangsdaten eine (temporäre) Sperrung des jeweiligen Accounts erfolgt.

4. Regelmäßige Aktualisierung („Monitoring“)

Jede verantwortliche Person ist verpflichtet, in regelmäßigen Abständen – mindestens jedoch einmal jährlich – zu überprüfen, ob die Berechtigungen der Benutzerinnen und Benutzer aktuell noch dem „Least Privilege“-Prinzip entsprechen. Hierzu kann die verantwortliche Person eine aktuelle Übersicht der erteilten Berechtigungen für die IT-Ressource von der jeweils administrierenden Person verlangen.

Wenn eine Benutzerin oder ein Benutzer Zugriffsrechte auf die IT-Ressource hat, die nicht für die zugewiesenen Aufgaben tatsächlich erforderlich sind, dann hat die verantwortliche Person die administrierende Person aufzufordern, die Rechte entsprechend anzupassen.

5. Sanktionen

Ein Verstoß gegen diese Richtlinie kann eine arbeitsvertragliche Pflichtverletzung darstellen und entsprechend sanktioniert werden.

Stand: 30.10.2021