Das ISO 27001-Zertifikat auf der Basis von IT-Grundschutz ist für viele Unternehmen wichtig, um hausintern, aber auch nach Außen zu Kunden und Partnern einen verlässlichen Nachweis über die Einhaltung der international anerkannten Sicherheitsnorm zu liefern.

Aus den verschiedenen Bausteinen der BSI-Grundschutzkataloge ergeben sich unter anderem für Unternehmen, die eine Zertifizierung anstreben, klar definierte Anforderungen an eine strukturierte Benutzer- und Rechteverwaltung. Insbesondere die eingeforderte restriktive Vergabe von Benutzerrechten sowie deren Dokumentation lassen den Einsatz von unterstützenden Lösungen wie 8MAN des Berliner Software-Hersteller protected-networks.com sinnvoll erscheinen.

Berechtigungsmanagement als Basis für die Zertifizierung

Die IT-Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sind hierzulande die Basis für eine Zertifizierung nach ISO 27001. Diese Norm bildet den international etablierten Standard, der die Anforderungen an das Informationssicherheits-Management eines Unternehmens definiert. Die Prüfung nach ISO/IEC 27001 erfolgt durch eine neutrale Instanz und beinhaltet die Kontrolle von Einführung, Betrieb und Überwachung eines dokumentierten Informationssicherheits-Managementsystems für das jeweilige Unternehmen unter Berücksichtigung der Risiken innerhalb der gesamten Organisation.

Das Berechtigungsmanagement und assoziierte Themen nehmen einen wichtigen Part innerhalb der IT-Grundschutz-Kataloge ein. So stellt beispielsweise der Maßnahmenkatalog unter M 4.41 zum Einsatz angemessener Sicherheitsprodukte für IT-Systeme fest, dass sichergestellt sein muss, dass nur autorisierte Personen IT-Systeme benutzen können. Weiterhin muss gewährleistet sein, dass Benutzer nur auf die für sie relevanten Daten zugreifen können.

Konkrete Vorgaben zur Vergabe von Zugriffsrechten liefert das Kapitel M 2.8. Empfohlen wird hier unter anderem, immer nur so viele Zugriffsrechte zu vergeben, wie es für die Aufgabenwahrnehmung notwendig ist und diese Vergabe regelmäßig zu kontrollieren ("Need-to-know-Prinzip"). Dies setzt eine transparente und lückenlose Erfassung und Darstellung der vergebenen Zugriffsrechte voraus, zudem muss für den Entzug von Zugriffsrechten ein geregeltes Verfahren vorgesehen sein. Alle Definitionen und Veränderungen von Zugriffsrechten sowie eventuell auftretende Konflikte sind darüber hinaus eindeutig zu dokumentieren.

Sicheres und transparentes Benutzermanagement mit 8MAN

IT-Abteilungen in Unternehmen sehen sich aktuell oftmals mit einem engen Kostenrahmen konfrontiert, der die für umfangreiche administrative Aufgaben notwendigen Zeitressourcen, wie sie bei der Verwaltung von Berechtigungen anfallen, spürbar verknappt. In der Folge existieren häufig Überberechtigungen für Mitarbeiter. Darüber hinaus verursachen umfangreiche IT-Strukturen eine komplexe Berechtigungsvergabe, die aufgrund ihrer fehlenden Transparenz zu Fehlern bei den aktiven Berechtigungen führt. Vermeintlich einfache Fragen wie "Wer hat zu welchem Zeitpunkt Zugriff auf welche Daten?" lassen sich in diesem Umfeld nur schwer beantworten.

"In komplexen Umgebungen mit großer Gruppen- und Benutzerzahl stoßen die Bordmittel von Windows an ihre Grenzen", so Stephan Brack, einer der Geschäftsführer von protected-networks.com. "Eine visuelle Darstellung der Strukturen ermöglicht das Aufdecken von möglichen Fehlkonfigurationen, die zum Beispiel durch verschachtelte Gruppenstrukturen auftreten können."

Software-Werkzeuge wie 8MAN stellen Funktionen für die transparente Administration von Zugriffsrechten bereit. Die Nutzung der Software orientiert sich an den etablierten Prozessen in Unternehmen, wodurch die Einarbeitungszeit minimiert und die Akzeptanz erhöht wird. Grafisch aufbereitete Darstellungen der jeweils aktuellen Berechtigungssituation für Domänen, Verzeichnisse und Dateien gewährleisten den stetigen Überblick zu den vergebenen Zugriffsrechten und tragen damit aktiv zur Datensicherheit in Unternehmen bei. Automatisierte Prozesse zur Benachrichtigung der Verantwortlichen sowie zur revisionssicheren Dokumentation entlasten dabei die Zeitressourcen der IT-Abteilung. Funktionalitäten wie das zeitpunktgesteuerte Entziehen von Berechtigungen (wie zum Beispiel zum Projekt- oder Praktikumsende) erfüllen grundlegende Sicherheitsanforderungen.

Weiterführende Links:

ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz
https://www.bsi.bund.de/DE/Themen/weitereThemen/ITGrundschutzZertifikat/ISO27001Zertifizierung/iso27001zertifizierung_node.html

IT-Grundschutz-Kataloge
https://www.bsi.bund.de/DE/Themen/weitereThemen/ITGrundschutzKataloge/itgrundschutzkataloge_node.html

M 4.41 Einsatz angemessener Sicherheitsprodukte für IT-Systeme
https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m04/m04041.html

M 2.8 Vergabe von Zugriffsrechten
https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m02/m02008.html