Ziel / Zweck
Der Zugang zu schützenswerten Ressourcen der Institution ist auf berechtigte Benutzer (bspw. Mitarbeitende, Dienstleister und Freelancer) und berechtigte IT-Komponenten einzuschränken. Benutzer und IT-Komponenten müssen zweifelsfrei identifiziert und authentisiert werden. Die Verwaltung der dafür notwendigen Informationen wird seitens der Institution als Identitätsmanagement bezeichnet.
Beim Berechtigungsmanagement der Institution geht es darum, ob und wie Benutzer oder IT-Komponenten auf Informationen oder Dienste zugreifen und diese benutzen dürfen. Benutzern wird also basierend auf dem Benutzerprofil Zutritt, Zugang oder Zugriff gewährt oder verweigert. Berechtigungsmanagement bezeichnet somit die Prozesse, die für die Zuweisung, den Entzug und die Kontrolle der Rechte erforderlich sind.
Die Übergänge zwischen den beiden Begriffen sind fließend, daher wird in dieser Sicherheitsrichtlinie der Begriff Identitäts- und Berechtigungsmanagement (englisch Identity and Access Management, IAM) benutzt. Zur besseren Verständlichkeit wird der Begriff "Benutzerkennung" bzw. "Kennung" synonym für "Benutzerkonto", "Login" und "Account" verwendet. In dieser Sicherheitsrichtlinie wird der Begriff "Passwort" als allgemeine Bezeichnung für "Passphrase", "PIN" oder "Kennwort" verwendet.
Ziel dieser Sicherheitsrichtlinie ist es, dass Benutzer oder auch IT-Komponenten ausschließlich auf die IT-Ressourcen und Informationen zugreifen können, die sie für ihre Arbeit benötigen und für die die Benutzer autorisiert sind, und nicht autorisierten Benutzern oder IT-Komponenten den Zugriff zu verwehren. Dazu werden Anforderungen formuliert, mit denen die Institution ein sicheres Identitäts- und Berechtigungsmanagement aufbauen kann. Für die Erstellung dieser Sicherheitsrichtlinie wurde auf die Vorgaben des BSI Baustein ORP.4 "Identitäts- und Berechtigungsmanagement" aus dem Kompendium 2020 zurückgegriffen.
Über den bereitgestellten Download-Link kann die Vorlage heruntergeladen werden.
