Die unabhängige IT-Sicherheits-Plattform - Der Marktplatz IT-Sicherheit

powered by

Institut für Internet-Sicherheit

Berechtigungsstrukturen etablieren

Leitfrage: Haben alle Beschäftigten uneingeschränkten Zugriff auf alle Daten, Ordner, Anwendungen und Netzwerkbereiche?

Berechtigungsstrukturen

Der Zugang zu schützenswerten Ressourcen muss auf autorisierte Benutzer und Computersysteme beschränkt werden, mithilfe durch Berechtigungsstrukturen. Benutzer und Computer müssen eindeutig identifiziert werden, um eine Authentifizierung zu ermöglichen.

Berechtigungsstrukturen sind eine Schlüsselfunktion im Bereich der IT-Sicherheit, bei der Benutzern und IT-Komponenten auf Basis ihrer Profile Berechtigungen auf Ressourcen zugewiesen werden. Dabei werden in verschiedenen Berechtigungsstufen unterschieden. Das Berechtigungsmanagement definiert den Prozess, in dem Verantwortliche Berechtigungen vergeben, entziehen oder kontrollieren. Berechtigungen sollten in regelmäßigen Abständen überprüft und und hinterfragt werden. Ein klassisches Beispiel aus dem Alltag ist, wenn der Administrator keine Informationen über Personalveränderungen erhält und ausgeschiedene Mitarbeiter weiterhin Zugriff auf schützenswerte Ressourcen haben.

Wenn die Vergabe von Zugriffsrechten schlecht geregelt ist, kann es schnell zu gravierenden Sicherheitslücken kommen, wie zum Beispiel Wildwuchs in der Rechtevergabe.

  • Sicherer Zugriff auf Unternehmensinterne Ressourcen
  • Keine Unberechtigten Zugriffe
  • Minimierung von  Auswirkungen bei Cyberangriffen
Berechtigungsstrukturen Beispiel Berechtigungsstrukturen für ein Unternehmenen

How To

Um Wildwuchs in der Rechtvergabe vorzubeugen, sollten folgende Schritte eingehalten werden.

Es müssen Regeln definiert werden, wie Benutzer angelegt und gelöscht werden. Jede Benutzerkennung muss eindeutig vergeben werden. Nicht mehr benötigte Benutzerkonten müssen gelöscht oder deaktiviert werden.

Berechtigungen dürfen nur auf Basis der Aufgaben und der dafür benötigten Ressourcen vergeben werden. Es gilt das Prinzip der geringsten Rechte. Nicht mehr benötigte Berechtigungen müssen entzogen werden. Das Kopieren von Benutzern und deren Berechtigungen muss vermieden werden, zu hohe Überschussrate von Berechtigungen.

Es muss dokumentiert werden, welche Benutzer und Benutzergruppen angelegt wurden und wie deren Berechtigungen definiert wurden. Die aktuelle Berechtigungsstruktur muss in regelmäßigen Abständen überprüft werden.

Es müssen geeignete Identifikationsdienste eingerichtet werden, damit Benutzer eindeutig identifiziert und authentifiziert werden können.

Quellen

www.bis.bund.de/ORP

www.bis.bund.de/Identitätsmanagement

Marktplatz IT-Sicherheit