Die BSI-Kritisverordnung & User- & Rechte-Management
So kurz wie möglich.
Begriffe wie der der Digitalisierung durchlaufen mehrere Phasen, bis man sie irgendwann einmal in Teilbereichen auch als User- & Rechte-Management nennt: Über die Gerüchteküche, zu den zarten Anfängen als Modebegriff und so weiter. Die haben wir alle durchlaufen und sind schon eine ganze Weile bei der BSI-Kritisverordnung angekommen. Mit der fortschreitenden Durchdringung digitaler Prozesse sind wir in beinahe allen Lebensbereiche effektiver, aber eben auch angreifbarer geworden.
Der Staat, in dem Fall das Bundesministerium für Inneres, hat dieses Potenzial für ungewollte Manipulationen erkannt und ein Gesetz ins Leben gerufen, dass zur Grundlagensicherung gehört – die BSI-Kritisverordnung. KRITIS-relevante Bereiche des täglichen Lebens und die dazugehörigen Infrastrukturen sind die folgenden:
- Energie
- Gesundheit
- Informationstechnik und Telekommunikation
- Transport und Verkehr
- Medien und Kultur
- Wasser
- Finanz- und Versicherungswesen
- Ernährung
Betreiber solcher kritischen Infrastrukturen (KRITIS) müssen gemäß §8a BSIG nachweisen, dass ihre IT-Sicherheit auf dem Stand der Technik ist. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nimmt Betreiber in die Pflicht, die Informationstechnik dieser kritischen Infrastrukturen bestmöglich abzusichern.
Dazu kann User- & Rechte-Management einen guten Teil beitragen und der KRITIS-IT-Schutzbedarf kann vom herkömmlichen IT-Schutzbedarf abweichen. Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit müssen bei der Ermittlung des Schutzbedarfs betrachtet werden, um die gesetzlichen Anforderungen zu erfüllen.
BSI-Kritisverordnung – Umsetzung erfordert mehr Sicherheit und Qualität
Die BSI-Kritisverordnung definiert Bedrohungskategorien zur Orientierung und fordert explizit ein User- und Rechte-Management:
- Missbrauch Innentäter
- Menschliche Fehlhandlungen, menschliches Versagen
- Sicherer Authentisierung
- Identitäts- und Rechtemanagement
- Rollentrennung / Funktionstrennung
Demgegenüber stehen allgemeingültige branchenunabhängige Handlungsfelder
- Auditierbarkeit der aktuellen Rechtevergabe
- Zyklische Re-Zertifizierung der vergebenen Rechte
- Sichere Vergabe und zeitliche Begrenzung von Administrationsrechten
- Rollentrennung
- Risikomanagement
Die sich wiederum in folgende Maßnahmen im User- und Rechte-Management übersetzen lassen, die vorhandene Sicherheitslücken ganz schließen oder die Angriffsflächen gemäß BSI-Kritisverordnung verkleinern.
- Durchgängige Prozesse im Berechtigungsmanagement
- Systemübergreifende Datenbank für Benutzerkonten und Zugriffsrechte
- Automatisiert erstellte, tagesaktuelle Auswertungen
- Automatische, zeitgesteuerte Re-Zertifizierungsprozesse
- zeitbeschränkte, privilegierte Benutzerkonten
- Automatisierte Prozesse im Berechtigungsmanagement
- Softwareseitige Abbildung und Prüfung der SoD-Matrix
- Automation der Benutzerkonten- & Rechte-Administration
- Blockabwesenheit inkl. Reporting
Unser Fazit
Für Unternehmen, die von der BSI-Kritisverordnung als KRITIS-Unternehmen eingestuft wurden, wird künftig die strategische Planung der Informationssicherheit als Teil ihrer IT-Strategie immer wichtiger werden. Das mag, je nachdem wie weit ein Unternehmen mit der Implementierung eines automatischen User- und Rechte-Managements fortgeschritten ist, als große Aufgabe angesehen werden.
Wir sagen: wenn man erst einmal über den ersten Hügel drüber ist, die Möglichkeiten erkannt hat, und es intelligent ausrollt, wird die Digitalisierung des User- und Rechte-Managements nahezu zum Selbstläufer. Immer vorausgesetzt, die eingesetzte Lösung ist ein modulares, flexibles IAM-System, dass mit den Anforderungen wachsen kann, weil es genau dafür programmiert wurde. Das allerdings erfüllen nicht alle.
Zu unserem umfassenden KRITIS-Leitfaden geht es hier!