Muster einer Initialfassung der Richtlinie Berechtigungsmanagement


Manchmal müsste man Hellseher sein. Eigentlich muss die Bitte eines Mandanten doch ganz einfach zu beantworten sein: "Ich bräuchte ein Berechtigungskonzept, am besten ein Muster zur Vorlage für meine Mitarbeiter." Von wegen einfach! Das Internet ließ mich dieses Mal im Stich. Bis ich dann doch fündig wurde. Das eigentliche Thema hörte allerdings auf den Namen: "ORP.4 Identitäts- und Berechtigungsmanagement!" Zu finden im Grundschutz-Kompendium des BSI (Bundesamt für Sicherheit in der Informationstechnik). Was daraus geworden ist? Ganz einfach: die Richtlinie Berechtigungsmanagement. Alles klar?


Version: 1

Datum: 04.03.2019

Anmerkung: Initialfassung der Richtlinie Berechtigungsmanagement

Autor: Max Mustermann GmbH


1. Einleitung

Bei der Mustermann GmbH kommen diverse Anwendungen auf verschiedenen IT-Systemen zum Einsatz.

Bei der Einrichtung und Änderung von IT-Systemen und Anwendungen („IT-Ressourcen“) ist zu gewährleisten, dass Anforderungen an die Informationssicherheit und datenschutzrechtliche Vorgaben eingehalten werden. Dies soll auch durch die verbindlichen Vorgaben in dieser Richtlinie zum Berechtigungsmanagement umgesetzt werden.

Die Vorgaben dieser Richtlinie sind an das IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) – insbesondere den Baustein ORP.4 Identitäts- und Berechtigungsmanagement – angelehnt.


2. Geltungsbereich

Diese Richtlinie gilt für alle Standorte der Mustermann GmbH. Sie verpflichtet alle Beschäftigten der Mustermann GmbH zur Einhaltung der hier festgelegten Vorgaben.


3. Vorgaben für das Berechtigungsmanagement


I. Grundsätzliche Vorgaben zum Management von Berechtigungen

Vor jeder Inbetriebnahme einer IT-Ressource ist ein „Verantwortlicher“ für das IT-System oder die Anwendung zu bestimmen. Ferner ist ein Administrator zu bestimmen. Der Verantwortliche bestimmt in Abstimmung mit den Administratoren, in welchem Umfang Nutzer auf die IT-Ressource zugreifen können sollen.

In dem Zusammenhang sind Berechtigungen für verschiedene Arten von Nutzern in „Benutzerrollen/-gruppen“ zusammenzufassen, um einzelnen Nutzern bei der Einrichtung eines Zugangs die passende Rolle zuweisen zu können.


II. Regelung für die Einrichtung von Benutzern und Benutzergruppen

Für jede IT-Ressource muss eine separate administrative Rolle eingerichtet werden, der der Administrator bzw. die Administratoren für die IT-Ressource zugeordnet werden.

Neue Benutzergruppen dürfen ausschließlich von Administratoren unter Einbeziehung des jeweiligen Verantwortlichen für die IT-Ressource eingerichtet werden. Bei der Einrichtung von Benutzergruppen ist der Grundsatz der Erforderlichkeit und des tatsächlichen Bedarfs zu berücksichtigen.

Neue Benutzer dürfen nur nach dem „Vier-Augen-Prinzip“ eingerichtet werden. Die Einrichtung eines Benutzers erfolgt durch einen Administrator der jeweiligen IT-Ressource, wenn die nachfolgenden Voraussetzungen vorliegen:

1. Die Einrichtung eines Benutzers wird von dem Verantwortlichen für die IT-Ressource unter Angabe des Namens und ggf. weiterer Kontaktdaten bei einem Administrator in Textform (z.B. über ein Ticket-System) angefordert.

2. Der Verantwortliche teilt dem Administrator die Benutzergruppe mit, der der neue Benutzer zugeordnet werden soll.

3. Der Verantwortliche wird beim Antrag das sog. „Least Privilege“-Prinzip anwenden. Danach sind dem Nutzer nur die Rechte zuzuweisen, der für die ihm zugewiesenen Aufgaben im Unternehmen tatsächlich erforderlich ist.

4. Wenn ein Benutzer über die Rechte der zugeordneten Benutzergruppe hinaus oder weniger Rechte erhalten soll, sind diese vom IT-Verantwortlichen beim Administrator zu definieren und zu begründen.

Der Administrator wird sich bei Unklarheiten über Art und Umfang der Berechtigungen für einen Benutzer mit dem Verantwortlichen in Verbindung setzen.


III. Dokumentation von Benutzergruppen und -berechtigungen

Der Administrator einer IT-Ressource ist verpflichtet, die Einrichtung, Änderung und den Entzug von Berechtigungen zu dokumentieren. Gleiches gilt für Benutzergruppen.

Die Dokumentation ist vor unberechtigtem Zugriff zu schützen. Die Verfügbarkeit und Integrität der Dokumentation ist zu gewährleisten.


IV. Regelung für die Änderung und Entzug von Berechtigungen

Bei personellen Veränderungen von Benutzern sind die Berechtigungen von dem Administrator anzupassen. Der Verantwortliche ist verpflichtet, den Administrator über personelle Veränderungen zu informieren, wenn diese Auswirkung auf den tatsächlichen Bedarf von Berechtigungen für Nutzer haben können. Eine Information muss insbesondere erfolgen, wenn ein Benutzer das Unternehmen verlässt.


V. Regelung des Passwortgebrauchs

Soweit technisch möglich, ist sicherzustellen, dass alle IT-Ressourcen erst nach hinreichender Authentifizierung des Nutzers nutzbar sind. Die Authentifizierung erfolgt in der Regel durch die Verwendung der Kombination Benutzername/Passwort. Soweit möglich oder angeordnet, werden Zwei-Faktor-Authentifizierungs-Systeme verwendet.

Passwörter müssen eine Mindestlänge von 8 Zeichen haben. Das Passwort ist komplex zu gestalten und muss mindestens 3 der nachfolgenden 4 Kategorien enthalten:


  • 1. Großbuchstaben

  • 2. Kleinbuchstaben

  • 3. Sonderzeichen

  • 4. Ziffern

Soweit es technisch möglich ist, ist jeder Mitarbeiter verpflichtet, sein Initial-Passwort unverzüglich zu ändern.

Die Passwörter sind so zu wählen, dass sie nicht durch Dritte leicht zu erraten sind. Vor-und Familiennamen oder Geburtstage sowie Namen von Angehörigen sind nicht zur Passwortwahl geeignet. Gleiches gilt für trivial angeordnete Zahlenkombinationen (z.B. 12345678).

Ein Wechsel des Passworts ist nicht zwingend erforderlich, wenn das Passwort hinreichend lang und komplex ist (s.o.).

Die Administratoren einer IT-Ressource sind verpflichtet, beim Zurücksetzen von Passwörtern sichere Verfahren zur Vergabe von neuen Passwörtern für Benutzer einzusetzen. Ziel ist es, sicherzustellen, dass ein Unbefugter durch eine Passwortzurücksetzung keinen Zugriff auf IT-Ressourcen erhält.

Unberechtigte Zugriffsversuche auf IT-Ressourcen sind so zu beschränken, dass bei mehrfachen Zugriffen mit falschen Zugangsdaten eine (temporäre) Sperrung des jeweiligen Accounts erfolgt.


VI. Regelmäßige Aktualisierung („Monitoring“)

Jeder Verantwortliche ist verpflichtet, in regelmäßigen Abständen – mindestens jedoch einmal jährlich – zu überprüfen, ob die Berechtigungen der Benutzer aktuell noch dem „Least Privilege“-Prinzip entsprechen. Hierzu kann der Verantwortliche eine aktuelle Übersicht der erteilten Berechtigungen für die IT-Ressource von dem Administrator verlangen.

Wenn ein Benutzer Zugriffsrechte auf die IT-Ressource hat, die nicht für die dem Benutzer zugewiesenen Aufgaben tatsächlich erforderlich sind, dann hat der Verantwortliche den Administrator aufzufordern, die Rechte entsprechend anzupassen.


3. Sanktionen

Ein Verstoß gegen diese Richtlinie kann eine arbeitsvertragliche Pflichtverletzung darstellen und entsprechend sanktioniert werden.


Darum heißt es ja auch: Datenschutz lernen, verstehen und anwenden!

5 Ansichten

Fuggerstraße 6

89250 Senden

Montag - Freitag:

09.00 - 13.00 Uhr

14.00 - 18.00 Uhr

0 73 07 . 93 60 40 7

0 73 07 . 93 60 40 8

Notfall: 0176 . 71 14 84 36

Copyright 2020 Contana Datenschutzservice e. K.

Diese Website stellt keine Rechtsberatung gemäß Rechtsdienstleistungsgesetz (RDG) dar, die ausnahmslos Rechtsanwätinnen bzw. Rechtsanwälten vorbehalten ist und ausgeübt werden dürfen. Die Inhalte der Website dienen vielmehr der unverbindlichen Information.

Wir übernehmen deshalb keine Gewähr auf Richtigkeit und Vollständigkeit.