Die Unternehmens-IT in Abhängigkeit von den BAIT | Benutzerberechtigungsmanagement

Eine gute Quelle zu diesem Thema ist das IT-Grundschutz-Kompendium des Bundesamtes für Sicherheit in der Informationstechnik, Prozess-Baustein ORP.4: Identitäts- und Berechtigungsmanagement.

Dort heißt es im Kapitel 1.1:

„Beim Berechtigungsmanagement geht es darum, ob und wie Benutzer oder IT-Komponenten auf Informationen oder Dienste zugreifen und diese benutzen dürfen, ihnen also basierend auf dem Benutzerprofil Zutritt, Zugang oder Zugriff zu gewähren oder zu verweigern ist. Berechtigungsmanagement bezeichnet die Prozesse, die für Zuweisung, Entzug und Kontrolle der Rechte erforderlich sind.“

Gerade im IT-Bereich von Kredit- und Finanzdienstleistungsinstituten können Sicherheitslücken bei Berechtigungen einen großen Schaden erzeugen.

Beispiele hierfür sind:

• Wenn Mitarbeitende aus dem Unternehmen ausscheiden, dann muss deren Kennung gelöscht werden, sodass der Zugriff auf die Unternehmensdaten nicht mehr möglich ist. Der Administrator benötigt Informationen über ausgeschiedene Mitarbeitende. Falls diese Informationen nicht vorliegen, findet auch keine Löschung der Benutzerkennung der ausgeschiedenen Mitarbeitenden statt. Das hat zur Folge, dass ausgeschiedene Mitarbeiter:innen weiterhin auf schützenswerte Unternehmensinformationen zugreifen könnten.
• Mitarbeiter:innen, die in eine neue Abteilung versetzt werden, könnten ihre alten - aber nicht mehr erforderlichen - Berechtigungen behalten und dadurch zu umfangreiche Berechtigungen ansammeln.
• Technische User sind Benutzerkennungen, die z.B. Datenbankzugriffe ermöglichen. Bleiben diese technischen User inkl. Passwort nach einer Umstellung fälschlicherweise erhalten, dann ist damit weiterhin ein Zugang zu den Daten vorhanden. Dieser Zugang könnte missbräuchlich verwendet werden.
• Wenn verschiedene Personen in unterschiedlichen Organisationseinheiten für die Vergabe von Berechtigungen zuständig sind, kann dies dazu führen, dass die Benutzer:innen ihre Berechtigungen auf Zuruf erhalten. Dadurch könnten Berechtigungen ohne Erfordernis vergeben werden und so ein Sicherheitsrisiko entstehen.

Um sicherheitskritische Vorfälle bzgl. des Berechtigungsmanagements möglichst zu vermeiden, gibt die BAIT hierfür einen Rahmen vor.

BAIT-Anforderung 23:

„Ein Benutzerberechtigungsmanagement stellt sicher, dass den Benutzern eingeräumte Berechtigungen so ausgestaltet sind und genutzt werden, wie es den organisatorischen und fachlichen Vorgaben des Instituts entspricht. Das Benutzerberechtigungsmanagement hat die Anforderungen nach AT 4.3.1 Tz. 2, AT 7.2 Tz. 2, sowie BTO Tz. 9 der MaRisk zu erfüllen.“ 

Das Berechtigungsmanagement soll dafür sorgen, dass Benutzer:innen oder auch IT-Komponenten ausschließlich auf die IT-Ressourcen und Informationen zugreifen können, die für die Arbeit benötigt werden. Nicht autorisierten Benutzer:innen oder IT-Komponenten soll der Zugriff verwehrt werden.

In der BAIT-Anforderung 24 wird auf die Notwendigkeit von Berechtigungskonzepten verwiesen. Bei der Erstellung dieser Konzepte müssen die Fachbereiche mitwirken, denn bei diesen liegt die fachliche Verantwortung für die Berechtigungen. Berechtigungen sollten zeitlich befristet vergeben werden.

Berechtigungsvergabe nach dem Need-to-know-Prinzip

Die beiden wichtigsten Grundsätze bei der Berechtigungsvergabe sind der Sparsamkeitsgrundsatz (Need-to-know-Prinzip) und die Funktionstrennung.

Der Sparsamkeitsgrundsatz schreibt vor, dass nur die Benutzerberechtigungen zur Verfügung gestellt werden, die von einer Person zur Erfüllung ihrer konkreten Aufgaben benötigt werden.

Die Benutzerberechtigungen müssen so ausgeprägt sein, dass die Funktionstrennung - also die Trennung zwischen Markt und Marktfolge - umgesetzt wird. Dies sollte durch einen dokumentierten Kompetenzvergabe-Prozess unterstützt werden.

Bitte prüfen Sie zu Ihren Benutzerberechtigungen die folgenden Punkte:

• Werden die Vorgaben der Fachabteilungen in den Berechtigungen berücksichtigt und sind diese Vorgaben ausreichend restriktiv?
• Wird der im Informationsrisikomanagement ermittelte jeweilige Schutzbedarf von Daten in den Berechtigungen berücksichtigt?
• Werden die Vorgaben korrekt in allen IT-Systemen umgesetzt?
• Wurden zu viele Rechte vergeben?
• Bestehen für besonders schutzwürdige Daten nur wenige Berechtigungen und nur ein enger Personenkreis hat Zugriff?
• Welche Berechtigungen existieren bei Dienstleistern oder bei Dritten und sind diese alle erforderlich oder verfügen diese über mehr Berechtigungen als unbedingt erforderlich sind?
• Ist der Zugang auf möglichst viele Daten und für möglichst viele Benutzer befristet und der Zeitraum hierfür möglichst kurz?
• Sieht das Rechte-Konzept eine ausreichend feine Untergliederung der Rechte vor?
• Über welche Schnittstellen und mit welchen Berechtigungen fließen Daten?
• Welche Daten liegen auf lokalen Rechnern, auf Servern und in der Cloud und wie sind die Berechtigungen ausgeprägt?
• Ist bereits eine Anwendung zum Benutzerberechtigungsmanagement im Einsatz? Wenn nicht, was ist hierzu geplant?
• Wenn SAP mit seiner Vielzahl von Berechtigungsobjekten im Einsatz ist, dann ist eine manuelle Verwaltung von Berechtigungen, Rollen und Profilen fehleranfällig und sehr aufwändig. Hier sollte die Berechtigungsvergabe und -verwaltung so weit wie möglich automatisiert und ggf. Drittanbieter-Tools eingesetzt werden. Ist das der Fall?

Download: Checkliste Identitäts- und Berechtigungsmanagement

Die BAIT-Anforderung 25 verlangt:

„Nicht personalisierte Berechtigungen müssen jederzeit zweifelsfrei einer handelnden Person (möglichst automatisiert) zuzuordnen sein. Abweichungen in begründeten Ausnahmefällen und die hieraus resultierenden Risiken sind zu genehmigen und zu dokumentieren.“

Nicht personalisierte Berechtigungen sind Benutzerkonten, die von mehreren Personen genutzt werden („Shared Accounts“), wie z.B. Filial-User, Administratoren-Konten in Windows oder Root-Konten in Linux.

Bei diesen Konten muss immer sichergestellt sein, dass die Benutzer-Aktionen stets zu einer natürlichen Person zurückverfolgt werden können. Dies kann so erfolgen, dass im Fachkonzept oder in der Anwendung selbst die Konten eindeutig mit der natürlichen Person verknüpft sind.

Neben den nicht personalisierten Berechtigungen gibt es auch sogenannte technische Benutzer. Das sind Konten inkl. Passwort, die in Anwendungen oder Skripten eingebettet sind und den Zugriff auf Datenbanken oder auf andere Systeme erlauben. Die eingebetteten Passwörter stellen ein Sicherheitsrisiko dar, da diese typischerweise selten oder nie verändert werden und oftmals sogar im Klartext vorliegen. Zur Verbesserung der Sicherheit müssen hierzu geeignete Maßnahmen definiert und umgesetzt werden.

Prozessuale Festlegung der Vergabe von Benutzerberechtigungen

Die BAIT-Anforderung 26 schreibt vor, dass Benutzerberechtigungen nicht losgelöst von Genehmigungs- und Kontrollprozessen eingerichtet, geändert oder gelöscht werden dürfen. Zunächst muss auf einen Antrag hin die fachlich verantwortliche Stelle eine Genehmigung erteilen. Erst dann darf die Benutzerberechtigung angelegt oder bearbeitet werden.

Es muss ein formaler Prozess gemäß Berechtigungskonzept vorliegen, in dem die Bearbeitungs-schritte dokumentiert werden und an denen die fachlich verantwortliche Stelle mitwirkt. Sinnvoll ist hier ein werkzeuggestützter Kompetenzvergabeprozess, z.B. mittels des Moduls „Benutzerverwaltung“ der bit Informatik GmbH.

Veraltete und damit oft zu umfangreiche Benutzerberechtigungen erzeugen Sicherheitslücken. Häufig wird für einen neuen Mitarbeitenden oder einen Mitarbeitenden, der die Abteilung wechselt, ein bestehendes Referenz-User-Profil kopiert. Dieses enthält allerdings meistens mehr Rechte, als der neue Mitarbeitende benötigt.

Auch Trainees oder junge Führungskräfte, die im Institut mehrere Abteilungen kennenlernen, sammeln auf diese Weise zu viele Rechte an. Es ist daher erforderlich, dass in regelmäßigen Abständen die bestehenden Berechtigungen überprüft und ggf. Rechte entfernt werden.

Genau dies fordert die BAIT-Anforderung 27 mittels einer Rezertifizierung. Dabei müssen die Dateneigentümer bzw. Fachabteilungen maßgeblich mitwirken. Durch die Überprüfung und die anschließende Bereinigung werden ungewollte Benutzerberechtigungen bereinigt. Dabei werden Abteilungen mit großen Risiken und solche mit vertraulichen Daten häufiger überprüft.

Damit eine Rezertifizierung schnell und ressourcen-sparend durchgeführt werden kann, ist ein entsprechendes Tool erforderlich. Das hilft auch, Fehler, die bei manuellen Aktionen zwangsläufig entstehen, zu vermeiden. Weiterhin werden die vorgenommenen Aktionen im Tool typischerweise dokumentiert und können ausgewertet werden, so wie es in BAIT-Anforderung 28 beschrieben ist.

Laut BAIT-Anforderung 29 muss - abhängig vom Schutzbedarf der verwendeten Daten sowie der zugehörigen Geschäftsprozesse - der Bedarf zur Protokollierung und zur Überwachung festgelegt und ein entsprechender Prozess definiert werden. Im Informationsrisikomanagement wird dann geprüft, ob das damit erreichte Schutzniveau dem Schutzbedarf entspricht.

Die besprochenen Vorgaben müssen gemäß BAIT-Anforderung 30 durch technisch-organisatorische Maßnahmen ergänzt werden, so dass die Vorgaben der Berechtigungskonzepte möglichst nicht umgangen werden können. Dies kann durch Abläufe oder Workflows in den eingesetzten Anwendungen und Tools geschehen oder durch zusätzliche Kontrollhandlungen.