BSI-Grundschutz und Identity and Access Management

Der BSI IT Grundschutz definiert wichtige Standards für Sicherheitsanforderungen deutscher Unternehmen und Einrichtungen. Welche Rolle IAM im BSI Katalog spielt und vor welchen Gefahren Identitäts- und Berechtigungsmanagement schützt, zeigen wir hier.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) präsentiert in den BSI-Standards Bestandteile der IT-Grundschutz-Methodik. Das Ziel der Behörde ist es, einen Katalog der Maßnahmen zu präsentieren, welche Behörden, Unternehmen bzw. Herstellern und Dienstleistern die sichere Gestaltung von Geschäftsprozessen und Daten ermöglichen.

Neben Grundmaßnahmen werden auch Zusatzmaßnahmen definiert, sodass Sicherheit als wachsender Prozess verstanden wird, der verschiedenen Bereiche bedient. In der modernen Welt, in der Vernetzung und Daten im Zentrum des Wirtschaftens und Handelns sind, sollen diese Maßnahmen als Abwehr der wachsenden Bedrohung wie Cyberangriffe, Manipulation und andere Gefahren absichern.

Die folgenden Informationen zum Identity and Access Management im Rahmen des BSI Grundschutz beziehen sich auf BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS) und den IT-Grundschutz Baustein ORP.4: Identitäts- und Berechtigungsmanagement.

BSI Grundschutz Komendium – Definitionen, Wirkungsbereich und Sicherheitskatalog

Cyber-Sicherheit nimmt aufgrund stetiger Digitalisierung sowie den parallel dazu wachsenden Bedrohungen eine immer wichtigere Rolle in Beruf und Alltag ein. Die Schaffung möglichst widerstandsfähiger und sicherer Infrastrukturen ist die Antwort und eine der zentralen Aufgaben, welchen sich das Bundesamt für Sicherheit in der Informationstechnik verschrieben hat.

Mit dem BSI Grundschutz bietet das Amt ein wichtiges Fachwerk und definiert Methoden dazu, wie der Ist-zustand der IT-Sicherheit in Unternehmen bewertet, ein Soll-zustand erreicht und ausgebaut werden kann. Dafür wurden aktuelle BSI-Standards definiert, welche seit Oktober 2017 gelten.

Eine Besonderheit des aktuellen BSI IT-Grundschutz-Kompendiums ist die Anwendung eines allgemeinen Gefahrenkatalogs, welcher die individuelle Bewertung der Gefährdungen teilweise ersetzt.

Ziel des BSI Grundschutzes

Mit dem BSI Grundschutz erhalten Unternehmen und Behörden ein Maßnahmenpaket bzw. eine Vorgehensweise für die Identifizierung und Umsetzung von Sicherheitsmaßnahmen. Dafür bietet das BSI-Grundschutzprogramm Maßnahmen für die Schaffung von Schutzniveaus für IT-Systeme und IT-Sicherheit durch technische Sicherheitsmaßnahmen, infrastrukturelle Maßnahmen sowie organisatorische- und personelle Schutzmaßnahmen.

Ergänzt und vervollständigt werden die BSI Grundschutzmaßnahmen durch Bausteine mit weiterführenden Informationen, so beispielsweise ORP: Organisation und Personal mit dem ORP.4 Identitäts- und Berechtigungsmanagement.

BSI Grundschutz Standards im Überblick

Um einen wirksamen Kanon an IT-Sicherheitsmaßnahmen und deren schrittweise Implementierung zu bieten, veröffentlichte das BSI Standards der Reihe 200. Die 4 Standards befassen sich mit Anforderungen zu:

  • BSI-Standard (200-1)
  • Methodik (200-2)
  • Risiken (200-3)
  • Notfallmanagement (200-4)

BSI-Standard 200-1 Anforderungen an ein Managementsystem

Als Nachfolger des BSI-Standards 100-1 beschreibt der BSI-Standard 200-1 den Aufbau eines erfolgreichen Informations- und Sicherheitsmanagements. Neben der Schritt für Schritt Anleitung definiert der BSI 200-1 Aufgaben und Verantwortungen in Leitungsebene für Behörden und Unternehmen.

Verantwortliche finden eine Einführung in Themen der Informationssicherheit, ISMS-Definition und Prozessbeschreibung, Management-Prinzipien, Ressourcen für Informationssicherheit, Einbindung der Mitarbeiter in den Sicherheitsprozess, Sicherheitsprozesse und -konzepte, Zertifizierungen, ISMS auf Basis von BSI IT-Grundschutz und IT-Grundschutz-Methodik.

Bei der Auswahl von Sicherheitsmaßnahmen wird in diesem Standard auch das Zugriffs- und Berechtigungsmanagement bzw. Identity and Access Management erwähnt und als IT Grundschutz Baustein ORP.4 an separater Stelle erläutert.

Hier finden Sie den BSI-Standard 200-1 als PDF (externes Angebot).
 

BSI-Standard 200-2 Methodik für ein effektives Management von Informationssicherheit

Auf Anforderungen von Unternehmen und Einrichtungen anpassbar beschreibt BSI-Standard 200-2 drei Vorgehensweisen der Absicherung als Standard-, Basis- und Kernabsicherung. Der Rahmen für das ISMS (Informationssicherheitsma­nagementsystem) wird konkretisiert.

Themen sind: Informationssicherheitsmanagement mit IT-Grundschutz, Initiierung und Organisation des Sicherheitsprozesses, Dokumentation, Realisierung, Vorgehensweise Kern-Absiche­rung, Standardabsicherung, Umsetzung der Sicherheitskonzeption, Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit­ und andere.

Hier finden Sie den BSI-Standard 200-2 als PDF (externes Angebot).

BSI-Standard 200-3 Informationssicherheitsrisiken angemessen und zielgerichtet steuern

Mit einem Fokus auf existente Risiken schafft das BSI mit dem Standard 200-3 Bewusstsein für aktuelle Risiken bei den Verantwortlichen und ermöglicht die Überprüfung des Sicherheitssystems sowie die Analyse zusätzlicher Risiken.

Themen sind:

  • Vorarbeiten zur Risikoanalyse,
  • Übersicht über die elementaren Gefährdungen,
  • Erstellung einer Gefährdungsübersicht,
  • Ermittlung von elementarer und zusätzlicher Gefährdungen,
  • Risikoeinstufung, -einschätzung, -bewertung und Behandlung von Risiken
  • Konsolidierung des Sicherheitskonzeptes und Rückführung in den Sicherheitsprozess.

Hier finden Sie den BSI-Standard 200-3 als PDF (externes Angebot).

BSI-Standard 200-4 Notfallmanagement in einer Behörde oder einem Unternehmen aufbauen

Die praxisnahe Anleitung für den Aufbau eines Business Continuity Management Systems (BCMS) sichert Unternehmen nach dem Ernstfall. Ziel ist es dabei, dass die Auswirkungen von Attacken reduziert und der Fortlauf des Betriebes nicht eingeschränkt wird. Aktuell befindet sich der Leitfaden im Status “Community Draft”. BSI-Standard 200-4 besitzt noch keine Gültigkeit (Stand: 15.03.2022). Beachten Sie bitte nach wie vor Version 100-4.

Themen sind unter anderem: Notfallmanagement und IT-Grundschutz, Notfallmanagement-Prozess, Initiierung des Notfallmanagement-Prozesses, Umsetzung des Notfallvorsorgekonzepts, Kosten- und Aufwandsschätzung, Notfallbewältigung und Krisenmanagement, Test- und Übungskonzept.

Hier finden Sie den BSI-Standard 100-4 als PDF (externes Angebot).

Hier finden Sie den Community Draft BSI-Standard 200-4 als PDF (externes Angebot).

BSI Grundschutz und IAM – Identitäts- und Berechtigungsmanagement im Sicherheitskatalog

Wie systematisch der BSI-Grundschutz Maßnahmen für die Steigerung der IT-Sicherheit beschreibt, zeigt auch die Rolle des Identity and Access Managements im Maßnahmenkanon für die Abwehr von Gefahren. Hinweise auf IAM erfolgen mit dem Verweis auf Identitäts- und Berechtigungsmanagement im BSI-Standard 200-1 (Managementsysteme für Informationssicherheit).

Die Notwendigkeit von Identity and Access Management wird dort an verschiedenen Stellen ausgedrückt oder resultiert aus Maßnahmen zum Schutz und der Gefahrenabwehr.

Sicherheit durch organisatorische Abläufe und Prozesse im IAM

Die Orchestrierung von Identifikation und Berechtigungen (Identity and Access) bietet Vorteile der Sicherheit und der Arbeitsentlastung. Dabei ermöglicht IAM, dass sich Investitionen in IT-Sicherheit neben der Abwehr von schwer zu beziffernden individuellen Bedrohungen auch als lohnende Investition ergeben. Voraussetzung dafür ist, dass bereits in Planungsphasen ein geordneter Ablauf mit passenden Teilzielen definiert wird.

Prozessbeschreibung und PDCA als Berührungspunkt

Eine Anforderunge, welche sich der IT Grundschutz und IAM teilen, ist in der genauen Beschreibung von Prozessen zu finden. Organisatorisch ähneln sich die Vorgehensweisen für die IT-Grundsicherung und die IAM Abläufe. Statt beispielsweise von einem festen Bild auszugehen, empfiehlt das BSI eine zyklische Vorgehensweise nach Demings (PDCA-Zyklus).

Strukturen werden:

  • geplant (plan)
  • umgesetzt (do)
  • geprüft (check)
  • verbessert (act)

Für Verantwortungsbereiche des IAM erfüllt die Funktion Re-Certification Management Voraussetzungen für die Prüfung des Status quo der Rechtevergabe.

Berechtigungsmanagement und NIST

Im BSI 200-1 nimmt das Bundesamt deutlich Bezug auf die US-Bundesbehörde National Institute of Standards and Technology (NIST). Explizit genannt wird an dieser Stelle das Berechtigungsmanagement als Teil der sogenannten “Controls” aus dem Dokument “IST SP 800-53 Security and Privacy Controls for Federal Information Systems and Organizat
Berechtigungsmanagement ist neben Schulungen, Infrastruktursicherheit, Sensibilisierungen und weiteren demnach eine wichtige Voraussetzung für den Schutz im IT-Informationsverbund.

Mitarbeiter in Sicherheitsprozess einbinden und bedenken

Laut Standard 200-1 ist es ebenfalls ein wichtiger Faktor, Mitarbeiter aktiv in Prozesse einzubinden und eine Awareness für Sicherheit und Berechtigungen zu schaffen. IAM gelingt dies durch die aktive Beteiligung der Keyuser oder Contentowner bei der Vergabe von Einzelrechten im Selfservice. Vom Hausmeister, welcher die Rechte über Schließsysteme dokumentiert bis zum Manager in der mittleren Unternehmenshierarchie geht IAM alle Mitarbeiter des Unternehmens direkt oder indirekt an.

Die Aufgabe der verschiedenen Rollen im Unternehmen sollten darum ermittelt und klar kommuniziert werden. Dabei ist zu beachten, dass von Mitarbeitern in bestimmten Situationen auch eine potenzielle Gefährdung ausgehen kann. Das betrifft nicht nur den IT-Mitarbeiter mit Superuser-Status, sondern auch die computerinteressierte Putzkraft.

Identity and Access Management BSI-Gefährdungslagen

Das Bundesamt für Sicherheit in der Informationstechnik benennt im IT-Grundschutz-Kompendium Organisation und Personal ORP.4 drei potenzielle Schwachstellen bei der Einführung des Identity and Access Managements.

Fehlende oder unzureichende Prozesse

Die Dokumentation der Prozesse ist eine wichtige Grundlage, um diese im Berechtigungsmanagement abzubilden. Fehlende oder unzureichende Prozesse bedeuten Lücken in der Orchestrierung der Berechtigungen.

Fehlt es an Regeln, kann es zu Gefahren für das Principle of Least Privilege kommen. Fehlende Berechtigungen bedeuten dagegen, dass Informationen im Need to Know Prinzip vorbehalten bleiben und gehäufte Anfragen von Einzelrechten resultieren.

Denkbare Szenarien sind zudem, dass beim Austritt Konten nicht gesperrt und gelöscht werden oder relevante Informationen an Verantwortliche bei Änderungsprozessen ausbleiben. Die lückenlose Dokumentation in Zusammenarbeit mit Mitarbeitern und sorgfältige Übertragung in Rollen und Berechtigungsobjekte sind die Grundfesten des sicheren Zugriffsmanagements.

Fehlende zentrale Deaktivierungsmöglichkeit von Benutzerzugängen

Eine weitere Gefahrenquelle ist das Fehlen eines omnipotenten Superusers, der im Notfall auch Adminkonten stoppen oder andere Anpassungen vornehmen kann. Kommt es zu Data Breaches von Konten mit übergeordneten Zugriffsrechten, muss dieser User zur Verfügung stehen.

Mitarbeiter in leitenden Positionen, die ein langes Vertrauen genießen oder besser die computeraffine Geschäftsführung selbst sind für diese Rolle prädestiniert. Im Notfall müssen diese mit Sonderrechten in kurzer Zeit Nutzerkonten sperren, wenn beispielsweise wachsame Mitarbeiter Auffälligkeiten beim Verhalten eines Managers mitteilen oder der Verantwortliche für die IT seines Zugriffs entbunden werden muss, weil er soeben freigestellt wurde.

Eine zentrale Deaktivierungsmöglichkeit ist dafür Voraussetzung.

Ungeeignete Verwaltung von Rechten

Probleme bei der Vergabepraxis, z. B. durch eine komplizierte Vergabepraxis von Einzelrechten, ergeben sich in der Praxis als Probleme. Verzögerungen und das Entstehen von internen Reibungspunkten zwischen Abteilungen oder Angestellten sind dann ein Resultat.

Die Vergabe von passenden Einzelrechten in einem Bestellsystem mit Verantwortlichen in den Abteilungen gilt als praktikable Lösung. Contentowner, Manager oder Gruppenleiter geben Zugriff auf Inhalte unter bestimmten Voraussetzungen wie zeitlicher Einschränkung frei. Dadurch bleibt die IT entlastet und die Arbeitslast verteilt sich auf entsprechende Stellen.

Wichtiger Sicherheitsmechanismus für diese Vergabepraxis ist eine lückenlose und automatische Archivierung der Vergabevorgänge für die Nachvollziehbarkeit der Autorisierungen.

Anforderungen an Identity and Access Management nach BSI

Die Anforderungen richten sich an den Informationssicherheitsbeauftragten, den IT-Betrieb und andere Nutzer. Auch weitere Rollen können je nach internen Abläufen für Vorgänge verantwortlich sein.

IAM Basisanforderungen

Das BSI stellt die Basisanforderungen an IAM im Baustein ORP.4 als ein “MUSS” dar. Basisanforderungen des IAM betreffen grundlegende Anforderungen an das Management von:

  • Benutzern und Benutzergruppen
  • Berechtigungen
  • Dokumentation
  • Aufgabenverteilung und Funktionstrennung
  • Vergabe von Zutritts- und Zugangsberechtigungen sowie Zugriffsrechten
  • Vorgänge der Identifikation und Authentisierung sowie Management von Passwörtern

IAM Standardanforderungen

Die IAM Standardanforderungen sind im BSI Grundschutz ein “SOLL”. Inhalt der Standardanforderungen betreffen dabei teils grundlegende Sicherheitsfaktoren, welche für die Sicherheit nicht außer acht gelassen werden sollten.

Im Detail betrifft das beispielsweise den Schutz von Benutzerkennungen mit weitreichenden Berechtigungen,Passwort-Dienste wie Self-Services, Entwicklung der Authentisierungskonzepte und -mechanismen, Prozesse des Identitäts- und Berechtigungsmanagements sowie Sensibilisierungen der Sicherheitsanforderungen für Angestellte des Unternehmens.

Anforderungen bei erhöhtem Schutzbedarf

Das BSI sieht Anforderungen an einen erhöhten Schutzbedarf in einigen Szenarien als angebracht und empfiehlt, dass bestimmte Sicherheitsmaßnahmen in Erwägung gezogen werden “SOLLTEN”. Dazu gehören alternative Pläne für den Betrieb beim Ausfall des IAM-Systems sowie die Mehr-Faktor-Authentifizierung wie die Two-Way Authentication, welche sich heute bereits als Standard auch für private Nutzer durchgesetzt hat. Für den Schutz kritischer Infrastrukturen sind auch verpflichtende Regelungen wie zweijährige Audits vorgeschrieben.

Weitere Anforderungen und Standards

Grundlegend beachtet werden sollten laut BSI zudem IAM-Anforderungen und Informationen weiterer Sicherheitsstandards wie:

  • ISO/IEC 27001:2013 „Information technology-Security techniques-Information security management systems Requirements“
  • ISO/IEC 29146:2016 “Information technology – Security techniques – A framework for access management“
  • Information Security Forum (ISF) The Standard of Good Practice for Information Security
  • NIST Special Publication 800- 53A

BSI Schutz vor Gefahren durch IAM

Das BSI definiert den Grundschutz durch IAM als Mittel für die Abwehr konkreter Gefahren. Durch diese steigert IAM die Datensicherheit, Netzwerksicherheit und auch Komponentensicherheit.

Identity and Access Management wehrt laut BSI Grundschutz Gefahren ab:

  • Spionage (Ausspähen, Abhören)
  • Diebstahl (von Geräte, Daten und Datenträgern)
  • Manipulation
  • Fehler in Planung und Anpassung
  • Unbefugten Zugriff / unbefugtes Eindringen
  • Geräteausfall, Systemausfall
  • Gesetzesbrüche (Compliance-Verstöße)
  • Unberechtigte und fehlerhafte Nutzung oder Administration von Geräten und Systemen
  • Berechtigungsmissbrauch
  • Diebstahl von Identitäten
  • Fehlende Nachvollziehbarkeit von Handlungen
  • Integritätsverlust schützenswerter Informationen

IAM von OGiTiX – zertifizierte Sicherheit

Ein Blick in die Dokumente des BSI bietet eine gute Basis für Anwendungen. Teilweise scheint es so, als würden international bekannte und auch in Deutschland verwendete Standards, Szenarien oder Vokabular umschrieben. So taucht beispielsweise im gesamten Leitfaden für den Baustein ORP.4 Zugriffs- und Berechtigungsmanagement Stand Februar 2020 nicht ein einziges Mal das Wort “Compliance” auf.

Auch werden IAM-Basisanwendungen wie Passwort-Selfservices, RBAC oder der Aufbau eines Lifecycle-Managements und die Definition von Berechtigungsobjekten nicht behandelt. Diese sind dabei eine Grundvoraussetzung für Aspekte die im Anforderungsbild des BSI gezeichnet werden.

Individuelle und professionelle Beratungen und Evaluierungen können dabei helfen, den Grundschutz zu ergänzen. Dabei ist es auch ein Gebot, von internationalem Know-how zu profitieren und sich nicht vor aktuellen Erkenntnissen zu verschließen.

Mit IAM von OGiTiX erfüllen Sie individuelle Anforderungen an die Sicherheit im Unternehmen, meistern wichtige Compliance-Vorgaben und finden eine IAM-Software, das als offenes System für zukünftige Anforderungen gerüstet ist. Dabei entlasten Sie die IT, schaffen Bewusstsein bei Mitarbeitern und erhöhen Ihre Sicherheit nach aktuellen Möglichkeiten.

Gern beraten wir Sie in einem kostenlosen Online-Meeting!