Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Falls Benutzer nur bestimmte Aufgaben wahrzunehmen brauchen, ist es oftmals nicht erforderlich, ihnen alle mit einem eigenen Login verbundenen Rechte (ggf. sogar Systemadministrator-Rechte) zu geben. Beispiele sind bestimmte Tätigkeiten der routinemäßigen Systemverwaltung (wie Erstellung von Backups, Einrichten eines neuen Benutzers), die mit einem Programm menügesteuert durchgeführt werden, oder Tätigkeiten, für die ein Benutzer nur ein einzelnes Anwendungsprogramm benötigt. Insbesondere bei Aushilfskräften sollte darauf geachtet werden, dass diese nur die Dienste verwenden und nur auf die Daten zugreifen dürfen, die sie tatsächlich benötigen. Wenn ihre Tätigkeit beendet ist, sollte deren Accounts deaktiviert und alle anderen Zugangsberechtigungen entfernt werden (siehe auch M 4.17 Sperren und Löschen nicht benötigter Accounts und Terminals).
Für diese Benutzer sollte eine eingeschränkte Benutzerumgebung geschaffen werden. Sie kann z. B. unter Unix durch eine Restricted Shell (rsh) und eine Beschränkung der Zugriffspfade mit dem Unix-Kommando chroot realisiert werden. Für einen Benutzer, der nur ein Anwendungsprogramm benötigt, kann dieses als Login-Shell eingetragen werden, so dass nach dem Einloggen dieses direkt gestartet und er bei Beendigung des Programms automatisch ausgeloggt wird.
Der verfügbare Funktionsumfang des IT-Systems kann für einzelne Benutzer oder Benutzergruppen eingeschränkt werden. Die Nutzung von Editorprogrammen oder Compilern sollte verhindert werden, wenn dies nicht für die Aufgabenerfüllung des Benutzers erforderlich ist. Dies kann bei Stand-alone-Systemen durch die Entfernung solcher Programme und bei vernetzten Systemen durch die Rechtevergabe geregelt werden.
Ergänzende Kontrollfragen:
| © Copyright
by Bundesamt für Sicherheit in der Informationstechnik |
letzte Änderung: Oktober 2000 |