M 2.30 Regelung für die Einrichtung von Benutzern / Benutzergruppen
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Regelungen für die Einrichtung von Benutzern / Benutzergruppen bilden die Voraussetzung für eine angemessene Vergabe von Zugriffsrechten und für die Sicherstellung eines geordneten und überwachbaren Betriebsablaufs.
Es sollte ein Formblatt existieren, um von jedem Benutzer bzw. für jede Benutzergruppe zunächst die erforderlichen Daten abzufragen:
- Name, Vorname,
- Vorschlag für die Benutzer- bzw. Gruppenkennung, wenn diese nicht durch Konventionen vorgegeben sind,
- Organisationseinheit,
- Erreichbarkeit (z. B. Telefon, Raum),
- ggf. Projekt,
- ggf. Angaben über die geplante Tätigkeit im System und die dazu erforderlichen Rechte sowie die Dauer der Tätigkeit,
- ggf. Restriktionen auf Zeiten, Endgeräte, Plattenvolumen, Zugriffsberechtigungen (für bestimmte Verzeichnisse, Remote-Zugriffe, etc.), eingeschränkte Benutzerumgebung,
- ggf. Zustimmung von Vorgesetzten.
Falls Zugriffsberechtigungen vergeben werden, die über den Standard hinausgehen, sollte dies begründet werden. Dieses kann auch in elektronischer Form erfolgen durch ein spezielles Login, dessen Name und Passwort den einzurichtenden Benutzern bekanntgegeben wird. Dort wird ein entsprechendes Programm durchlaufen, das mit einem Logout endet. Die erfassten Daten können zur Vorlage beim Vorgesetzten ausgedruckt werden. Ein Passwort, das einem neuen Benutzer für die erstmalige Systemnutzung mitgeteilt wird, muss danach gewechselt werden. Dies sollte vom System initiiert werden.
Es sollte eine begrenzte Anzahl von Rechteprofilen festgelegt werden. Ein neuer Benutzer wird dann einem solchen Profil zugeordnet und erhält damit genau die für seine Tätigkeit erforderlichen Rechte. Dabei sind die systemspezifischen Möglichkeiten bei der Einrichtung von Benutzern und Gruppen zu beachten. Es ist sinnvoll, Namenskonventionen für die Benutzer- und Gruppennamen festzulegen (z. B. Benutzer-ID = Kürzel Organisationseinheit || lfd. Nummer).
Die Zugriffsberechtigung für Dateien ist auf Benutzer bzw. Gruppen mit berechtigtem Interesse zu beschränken. Wenn mehrere Personen auf eine Datei zugreifen müssen, soll für diese eine Gruppe eingerichtet werden. In der Regel muss jedem Benutzer eine eigene Benutzer-Kennung zugeordnet sein, es dürfen nicht mehrere Benutzer unter derselben Kennung arbeiten. Für jeden Benutzer muss ein eindeutiges Heimatverzeichnis angelegt werden.
Für die Einrichtungsarbeiten im System sollte eine administrative Rolle geschaffen werden: Die Einrichtung sollte mit Hilfe eines speziellen Logins, unter dem ein entsprechendes Programm oder Shellskript gestartet wird, erfolgen. Die zuständigen Administratoren können Benutzer bzw. Benutzergruppen somit nur auf definierte Weise einrichten, und es ist nicht erforderlich, ihnen Rechte für andere Administrationsaufgaben zu geben.
Diese Maßnahme wird unter Unix ergänzt durch folgende Maßnahmen:
- M 4.13 Sorgfältige Vergabe von IDs
- M 4.19 Restriktive Attributvergabe bei Unix-Systemdateien und -verzeichnissen
- M 4.20 Restriktive Attributvergabe bei Unix-Benutzerdateien und -verzeichnissen
Diese Maßnahme wird unter z/OS ergänzt durch folgende Maßnahmen:
- M 2.289 Einsatz restriktiver z/OS-Kennungen
- M 2.297 Deinstallation von z/OS-Systemen
- M 4.211 Einsatz des z/OS-Sicherheitssystems RACF
Bei anderen Betriebssystemen sind die dort beschriebenen Hinweise in ähnlicher Weise umzusetzen (siehe dazu auch die betriebssystemspezifischen Bausteine).
Ergänzende Kontrollfragen:
- Gibt es organisatorische Regelungen zur Einrichtung von Benutzern bzw. Benutzergruppen?
- Gibt es ein Programm zur Einrichtung von Benutzern bzw. Benutzergruppen?