Jahresbericht 2021 - Nr. 6 Berechtigungen im Integrierten Personalmanagementsystem IPEMA®
- Berechtigungskonzept entsprach nicht den Anforderungen, Rechtevergabe war risikobehaftet -
Für die Zahlung von Bezügen und Reisekostenvergütungen von 5,9 Mrd. € jährlich setzt das Landesamt für Finanzen das Integrierte Personalmanagementsystem IPEMA® ein. Beim Einsatz des SAP-basierten IT-Verfahrens wurde nicht allen Anforderungen an die IT-Sicherheit Rechnung getragen:
- Das Berechtigungskonzept genügte im Hinblick auf Vollständigkeit, Nachvollziehbarkeit und Aktualität nicht allen Standards des Bundesamts für Sicherheit in der Informationstechnik.
- Kritische Berechtigungen waren nicht vollständig identifiziert. Sie wurden zu häufig an Benutzer vergeben. Außerdem war ihre Vergabe nicht vollständig geregelt.
- Aktivitäten von Benutzern mit kritischen Berechtigungen wurden nicht wirksam überwacht. Ein Protokollierungskonzept fehlte.
- Benutzer- und Berechtigungsverwaltung waren nicht getrennt. Notwendige Kontrollen zur Kompensation der fehlenden Funktionstrennung unterblieben.
- Bei Benutzerkonten, auf die zeitweise bis zu vier Personen zugreifen konnten, war es nicht möglich, für bestimmte Änderungen verantwortliche Personen zu identifizieren.
- Nicht benötigte Berechtigungen wurden nicht regelmäßig entfernt. Wesentliche Änderungen am IPEMA®-Produktivsystem waren nicht immer dokumentiert.
- Die Verschlüsselung von Kennwörtern der IPEMA®-Benutzer entsprach nicht dem aktuellen Stand der Technik.