Betroffene Basis-Ziele
Konkretes Ziel
Sicherstellung des Zugriffs ausschließlich für autorisierte Benutzer und Verhinderung von nicht autorisierten Zugriffen auf Systeme und Dienste.
Maßnahme
Es muss ein formales Verfahren für die An- und Abmeldung von Benutzern implementiert werden, mit dem allen Arten von Benutzern der Zugriff auf Systeme und Dienste gewährt und wieder entzogen werden kann.
Umsetzung
Jeder Mitarbeiter oder ggf. im Projekt eingebundene Drittanbieter ist mit einer Benutzerkennung verknüpft. Diese ist immer eindeutig einer Person zugeordnet. Eine Mehrfachverwendung von Accounts ist nicht erlaubt.
Die Berechtigungen werden gemäß der Zugangssteuerungsrichtlinie festgelegt und gemäß der Maßnahmen zur Kontrolle des Zugriffs umgesetzt.
Für alle u-form Online-Applikationen (Bewerbernavigator, opta, etc.) werden die Kunden-Benutzeraccounts durch die Vertriebsmitarbeiter bzw. den mit dem Vorfall vertrauten Mitarbeiter angelegt. Die Erteilung von erweiterten Rechten bedarf der Freigabe durch die Geschäftsleitung.
Maßnahme
Die Zuteilung und Nutzung von Sonderrechten muss eingeschränkt und kontrolliert werden.
Umsetzung
Sonderzugangsrechte werden nicht gesondert dokumentiert, sondern sind in das Zugangs-Dokumentations-Konzept mittels der Gruppen- und Rollenstruktur im Active Directory automatisch integriert.
Sonderzugriffsrechte werden, wie auch die normalen Zugriffsrechte, nicht zentral nachgehalten oder dokumentiert. Die jeweiligen Zugriffsrechte bei einer Anwendung sind im jeweiligen System einsehbar und zu pflegen.
Maßnahme
Die Zuordung von geheimen Authentisierungsinformationen muss über einen formalen Verwaltungsprozess kontrolliert werden.
Umsetzung
Bei der Erteilung von initialen Benutzerpasswörtern gelten die gleichen Regeln wie im Abschnitt über die Benutzerverantwortung definiert. Wenn möglich, sind die Systeme so eingestellt, dass die Passwörter bei der ersten Verwendung durch den Benutzer verändert werden müssen.
Maßnahme
Werteeigentümer müssen die Zugriffsberechtigungen der Benutzer in regelmäßigen Abständen prüfen.
Umsetzung
Die Überprüfung der konkreten Rechtevergaben erfolgt einmal jährlich auf Initiative des Datenschutzbeauftragten in Zusammenarbeit mit den Systemadministratoren.
Hierüber wird ein Protokoll erstellt und ggf. der neue Zustand dokumentiert. Detaillierte Informationen und der Ablageort der Protokolle sind zu finden im Wiki unter Prüfung des Zugangs-Inventars.
Weiterhin wird eine Liste von genutzten Anwendungen geführt und einmal jährlich soll diese Liste auf Vollständigkeit geprüft werden, vgl. [Zugangsverantwortlichkeiten] (https://u-form.atlassian.net/wiki/spaces/ISB/pages/535363585/Zugangs-Verantwortlichkeiten).
Maßnahme
Die Zugriffsberechtigungen aller Mitarbeiter und externen Benutzer zu Informationen und informationsverarbeitenden Einrichtungen müssen nach Auslauf der Anstellung oder des Vertrags entzogen bzw. bei einem Wechsel der Anstellung entsprechend angepasst werden.
Umsetzung
Folgende Zugangsrücknahmen müssen bei einer Beendigung/Wechsel von folgenden Abteilungen vorgenommen werden:
| Thema | Abteilung |
|---|---|
| Zugang zur Zeiterfassung | Personalleitung |
| sonstige Zugänge | IT-Leitung |
Siehe auch Beendigung oder Wechsel der Anstellung.
Reviewdatum: 12.11.2024, Johannes Imhof