Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.8 Vergabe von Zugriffsrechten - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.8 Vergabe von Zugriffsrechten

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche

Über Zugriffsrechte wird geregelt, welche Person im Rahmen ihrer Funktion bevollmächtigt wird, IT-Anwendungen oder Daten zu nutzen. Die Zugriffsrechte (z. B. Lesen, Schreiben, Ausführen) auf IT-Anwendungen, Teilanwendungen oder Daten sind von der Funktion abhängig, die die Person wahrnimmt, z. B. Anwenderbetreuung, Arbeitsvorbereitung, Systemprogrammierung, Anwendungsentwicklung, Systemadministration, Revision, Datenerfassung, Sachbearbeitung. Dabei sollten immer nur so viele Zugriffsrechte vergeben werden, wie es für die Aufgabenwahrnehmung notwendig ist ("Need-to-know-Prinzip"). Umgesetzt werden müssen die Zugriffsrechte durch die Rechteverwaltung des IT-Systems.

Eine Vielzahl von IT-Systemen lassen es zu, dass verschiedene Rechte als Gruppenrechte bzw. als Rechteprofil definiert werden (z. B. Gruppe Datenerfassung). Diese Definition entspricht der technischen Umsetzung der Rechte, die einer Funktion zugeordnet werden. Für die Administration der Rechte eines IT-Systems ist es vorteilhaft, solche Gruppen oder Profile zu erstellen, da damit die Rechtezuteilung und deren Aktualisierung erheblich vereinfacht werden kann.

Die Festlegung und Veränderung von Zugriffsrechten ist vom jeweils Verantwortlichen zu veranlassen und zu dokumentieren. Aus der Dokumentation muss hervorgehen:

Ergänzende Kontrollfragen:

Die Vorgehensweise bei der Funktionstrennung und der Rechtevergabe wird am nachfolgenden Beispiel erläutert.

Die betrachtete IT-Anwendung sei ein Reisekosten-Abrechnungssystem. Die relevanten Räume sind in nachfolgender Graphik erläutert. Das IT-System besteht aus einem LAN, an dem neben der Bedienkonsole drei PCs als Arbeitsplatzrechner angeschlossen sind.

Aufgabenverteilung und Funktionstrennung

Schritt 1: Aufgabenverteilung und Funktionstrennung

Folgende Funktionen sind für das betrachtete Reisekosten-Abrechnungssystem notwendig:

  1. LAN-Administration
  2. Revision
  3. Datenerfassung
  4. Sachbearbeitung mit Feststellung der rechnerischen Richtigkeit
  5. Sachbearbeitung mit Feststellung der sachlichen Richtigkeit
  6. Sachbearbeitung mit Anordnungsbefugnis

Folgende Funktionen sind aufgrund der Sachzwänge nicht miteinander vereinbar:

Diese Funktionen werden durch folgende Personen wahrgenommen:

      Hr. Mayer  Fr. Schmidt  Hr. Müller  Fr. Fleiß 
1.  LAN-Administration  

 

 

 

 

 

 
2.  Revision 

 

 

 

 

 

 
3.  Datenerfassung 

 

 

 

 

 

 
4.  Sachbearbeitung rechn.  

 

 

 

 

 

 
5.  Sachbearbeitung sachl. 

 

 

 

 

 

 
6.  Anordnungsbefugnis 

 

 

 

 

 

 

Schritt 2: Vergabe von Zutrittsrechten

Nachfolgend wird der Schutzbedarf der einzelnen Räume begründet und in der Tabelle die Vergabe der Zutrittsrechte dokumentiert:

      Serverraum  Belegarchiv  Büro 1  Büro 2 
1.  LAN-Administration           
2.  Revision 
3.  Datenerfassung         
4.  Sachbearbeitung rechn.        
5.  Sachbearbeitung sachl.       
6.  Anordnungsbefugnis    

Schritt 3: Vergabe von Zugangsberechtigungen

Aufgrund der Funktionen ergeben sich folgende Zugangsberechtigungen:

      Betriebssystem Server  Anwendung Protokollauswertung  Anwendung Datenerfassung  Anwendung Belegbearbeitung 
1.  LAN-Administration           
2.  Revision    
3.  Datenerfassung         
4.  Sachbearbeitung rechn.           
5.  Sachbearbeitung sachl.          
6.  Anordnungsbefugnis          

Schritt 4: Vergabe von Zugriffsrechten

Im folgenden werden die Zugriffsrechte, die eine Funktion zur Ausübung benötigt, dargestellt. Es bezeichnen:

A = Recht zur Ausführung der Anwendung/Software

L = Leserecht auf Daten

S = Schreibrecht, d. h. Erzeugen von Daten

M = Recht zum Modifizieren von Daten

Ö = Recht zum Löschen von Daten

U = Recht zum Unterschreiben von Zahlungsanweisungen

       Betriebssystem Server  Protokollauswertung  Anwendung Datenerfassung  Anwendung Belegbearbeitung 
1.  LAN-Administration   A,L,S,M,Ö          
2.  Revision  A,L  A,L,Ö     A,L 
3.  Datenerfassung        A,S    
4.  Sachbearbeitung rechn.           A,L,M 
5.  Sachbearbeitung sachl.           A,L,M 
6.  Anordnungsbefugnis           A,L,U 

Eine solche Dokumentation erleichtert die Rechteverteilung. Angenommen, dass Frau Schmidt den Arbeitgeber wechseln würde und ihre Stelle neu besetzt werden müsste, so lässt sich anhand der obigen Tabellen einfach feststellen, welche der ehemaligen Rechte Frau Schmidts zu löschen und für die neue Kraft einzurichten sind. Wenn die neue Kraft zusätzlich vertretungsweise die Funktion Sachbearbeitung mit Anordnungsbefugnis übernehmen soll, so wird anhand der durchzuführenden Rechteverteilung der Konflikt offenbar, dass die neue Kraft im Vertretungsfall Manipulationen unbemerkt durchführen könnte.