BSI-Anforderungen mit tenfold umsetzen

Aus verschiedenen Bereichen der BSI-Grundschutzkataloge/ IT-Grundschutz ergeben sich Anforderungen an eine strukturierte Benutzer- und Rechteverwaltung. Vermeintlich einfache Fragen wie "Wer hatte zu einem Zeitpunkt Zugriff auf die Daten" lassen sich nur schwer beantworten.

Konkrete Vorgaben zur Vergabe von Zugriffsrechten liefert das Kapitel M 2.8. Empfohlen wird hier unter anderem, immer nur so viele Zugriffsrechte zu vergeben, wie es für die Aufgabenwahrnehmung notwendig ist und diese Vergabe regelmäßig zu kontrollieren ("Need-to-know-Prinzip").

Dies setzt eine transparente und lückenlose Erfassung und Darstellung der vergebenen Zugriffsrechte voraus, zudem muss für den Entzug von Zugriffsrechten ein geregeltes Verfahren vorgesehen sein. Alle Definitionen und Veränderungen von Zugriffsrechten sowie eventuell auftretende Konflikte sind darüber hinaus eindeutig zu dokumentieren.

Von tenfold unterstützte BSI-Maßnahmen:

M 2.25 Dokumentation der Systemkonfiguration
M 2.30 Regelung für die Einrichtung von Benutzern / Benutzergruppen
M 2.31 Dokumentation der zugelassenen Benutzer und Rechteprofile
M 2.63 Einrichten der Zugriffsrechte
M 2.220 Richtlinien für die Zugriffs-bzw. Zugangskontrolle
M 2.230 Planung der Active Directory-Administration
M 2.256 Planung und Aufrechterhaltung der IT-Sicherheit im laufenden Outsourcing-Betrieb
M 2.336 Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitungsebene
M 2.339 Wirtschaftlicher Einsatz von Ressourcen
M 2.340 Beachtung rechtlicher Rahmenbedingungen
M 2.360 Sicherheits-Audits und Berichtswesen bei Speichersystemen
M 2.370 Administration der Berechtigungen unter Windows Server 2003
M 2.407 Planung der Administration von Verzeichnisdiensten
M 2.408 Planung der Migration von Verzeichnisdiensten
M 2.8 Vergabe von Zugriffsrechten

M 3.6 Geregelte Verfahrensweise beim Ausscheiden von Mitarbeitern
M 3.27 Schulung zur Active Directory-Verwaltung

M 4.24 Sicherstellung einer konsistenten Systemverwaltung
M 4.41 Einsatz angemessener Sicherheitsprodukte für IT-Systeme
M 4.135 Restriktive Vergabe von Zugriffsrechten auf Systemdateien
M 4.149 Datei- und Freigabeberechtigungen unter Windows
M 4.247 Restriktive Berechtigungsvergabe unter Windows Client Betriebssystemen
M 4.309 Einrichtung von Zugriffsberechtigungen auf Verzeichnisdienste
M 4.312 Überwachung von Verzeichnisdiensten

M 5.10 Restriktive Rechtevergabe