M 2.7 Vergabe von Zugangsberechtigungen
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Fachverantwortliche
Zugangsberechtigungen erlauben der betroffenen Person oder einem autorisierten Vertreter, bestimmte IT-Systeme bzw. System-Komponenten und Netze zu nutzen. Dies ist für jede nutzungsberechtigte Person aufgrund ihrer Funktion, unter Beachtung der Funktionstrennung (siehe M 2.5 Aufgabenverteilung und Funktionstrennung), im einzelnen festzulegen. Entsprechend der Funktion ist der Zugang zum Rechner zu definieren, z. B. Zugang zum Betriebssystem (Systemverwalter) oder Zugang zu einer IT-Anwendung (Anwender). Ergänzend hierzu muss sichergestellt sein, dass personelle und aufgabenbezogene Änderungen unverzüglich berücksichtigt werden.
Der Zugang soll - sofern technisch möglich - erst nach einer Identifikation (z. B. durch Name, User-ID oder Chipkarte) und Authentisierung (z. B. durch ein Passwort) des Nutzungsberechtigten möglich sein und protokolliert werden.
Die Ausgabe bzw. der Einzug von Zugangsmitteln wie Benutzer-Kennungen oder Chipkarten ist zu dokumentieren. Regelungen über die Handhabung von Zugangs- und Authentisierungsmitteln (z. B. Umgang mit Chipkarten, Passworthandhabung, siehe M 2.11 Regelung des Passwortgebrauchs) müssen ebenfalls getroffen werden.
Zugangsberechtigungen sollten bei längerwährender Abwesenheit einer berechtigten Person vorübergehend gesperrt werden, um Missbrauch zu verhindern, z. B. bei Krankheit oder Urlaub. Dies sollte zumindest bei Personen mit weitreichenden Berechtigungen wie Administratoren erfolgen.
Es ist notwendig, die vorgenannten Festlegungen auf ihre korrekte Einhaltung sporadisch zu kontrollieren.
Ergänzende Kontrollfragen:
- Wird die Vergabe sowie der Einzug von Zugangsberechtigungen und Zugangsmitteln dokumentiert?
- Wird bei der Vergabe von Zugangsberechtigungen die Funktionstrennung eingehalten?
- Werden die Benutzer zum korrekten Umgang mit Zugangsmitteln geschult?
- Falls die Nutzung von Zugangsmitteln protokolliert wird, werden diese Protokolle auch in regelmäßigen Abständen ausgewertet?