M 2.65 Kontrolle der Wirksamkeit der Benutzer-Trennung am IT-System
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Revisor, Administrator, IT-Sicherheitsmanagement
Mittels Protokollauswertung oder durch Stichproben ist in angemessenen Zeitabständen zu überprüfen, ob die Benutzer des IT-Systems sich regelmäßig nach Aufgabenerfüllung abmelden oder ob mehrere Benutzer unter einer Kennung arbeiten.
Sollte festgestellt werden, dass tatsächlich mehrere Benutzer unter einer Kennung arbeiten, sind sie auf die Verpflichtung zum Abmelden nach Aufgabenerfüllung hinzuweisen. Gleichzeitig sollte der Sinn dieser Maßnahme erläutert werden, die im Interesse des einzelnen Benutzers liegt.
Stellt sich heraus, dass die An- und Abmeldevorgänge zu zeitintensiv sind und trotz Aufforderung nicht akzeptiert werden, sollten alternative Maßnahmen diskutiert werden wie zum Beispiel:
- Das IT-System kann für bestimmte Zeitintervalle einem Benutzer zugeordnet werden, so dass in dieser Zeit andere Benutzer das IT-System nicht nutzen dürfen. Dies setzt voraus, dass der Arbeitsprozess dementsprechend zeitlich variabel ist.
- Es können zusätzliche IT-Systeme angeschafft werden, mit denen die quasiparallele Arbeit an einem IT-System vermieden werden kann. Zu beachten ist, dass zwar die Anschaffungskosten für die zusätzlichen IT-Systeme anfallen, aber andererseits die Anschaffungskosten für PC-Sicherheitsprodukte entfallen können.
- Sollten sich die Datenbestände der einzelnen Benutzer separieren lassen (beispielsweise Benutzer A bearbeitet die Daten A-L, Benutzer B die Daten M-Z), so können dafür unterschiedliche Zugriffsrechte eingeräumt werden. Will ein Benutzer dann mit seinen Daten arbeiten, muss er sich zuvor beim System anmelden, da seine Kollegen kein Zugriffsrecht auf diese Daten besitzen.
Ergänzende Kontrollfragen:
- Wie häufig wird der ordnungsgemäße Benutzerwechsel geprüft?
- Gibt es Akzeptanzprobleme bezüglich des Benutzerwechsels?
- Lassen sich die Datenbestände separieren?