Jahresbericht 2021, Nr. 6 - Berechtigungen im Integrierten Personalmanagementsystem IPEMA®
- Berechtigungskonzept entsprach nicht den Anforderungen, Rechtevergabe war risikobehaftet -
Wesentliches Ergebnis der Prüfung
Für die Zahlung von Bezügen und Reisekostenvergütungen von 5,9 Mrd. € jährlich setzt das Landesamt für Finanzen das Integrierte Personalmanagementsystem IPEMA® ein. Beim Einsatz des SAP-basierten IT-Verfahrens wurde nicht allen Anforderungen an die IT-Sicherheit Rechnung getragen:
- Das Berechtigungskonzept genügte im Hinblick auf Vollständigkeit, Nachvollziehbarkeit und Aktualität nicht allen Standards des Bundesamts für Sicherheit in der Informationstechnik.
- Kritische Berechtigungen waren nicht vollständig identifiziert. Sie wurden zu häufig an Benutzer vergeben. Außerdem war ihre Vergabe nicht vollständig geregelt.
- Aktivitäten von Benutzern mit kritischen Berechtigungen wurden nicht wirksam überwacht. Ein Protokollierungskonzept fehlte.
- Benutzer- und Berechtigungsverwaltung waren nicht getrennt. Notwendige Kontrollen zur Kompensation der fehlenden Funktionstrennung unterblieben.
- Bei Benutzerkonten, auf die zeitweise bis zu vier Personen zugreifen konnten, war es nicht möglich, für bestimmte Änderungen verantwortliche Personen zu identifizieren.
- Nicht benötigte Berechtigungen wurden nicht regelmäßig entfernt. Wesentliche Änderungen am IPEMA®-Produktivsystem waren nicht immer dokumentiert.
- Die Verschlüsselung von Kennwörtern der IPEMA®-Benutzer entsprach nicht dem aktuellen Stand der Technik.
Forderungen des Rechnungshofs · Stellungnahmen der Landesregierung · Parlamentarische Behandlung
(Teilziffer 3 des Jahresberichtsbeitrags)
3.1 Zu den nachstehenden Forderungen wurden die gebotenen Folgerungen bereits gezogen oder eingeleitet:
Der Rechnungshof hatte gefordert,
a) für IPEMA® ein nachvollziehbares und vollständiges Berechtigungskonzept zu erstellen und dieses regelmäßig zu aktualisieren,
b) die kritischen Berechtigungen vollständig zu identifizieren, regelmäßig zu überprüfen und zu bewerten, die Zuordnung kritischer Berechtigungen zu regeln und deren Vergabe auf den für die Aufgabenerledigung erforderlichen Umfang zu begrenzen,
c) Benutzerkonten möglichst nur für einzelne Bedienstete einzurichten und Aktivitäten von Sammelbenutzern zu protokollieren und zu überwachen,
d) nicht benötigte Berechtigungen regelmäßig zu entfernen,
e) wesentliche Änderungen in IPEMA® vollständig zu dokumentieren,
f) Aktivitäten der Benutzer mit kritischen Berechtigungen zu überwachen und ein Protokollierungskonzept zu erstellen,
g) die Kennwörter der Benutzer entsprechend dem aktuellen Stand der Technik zu verschlüsseln.
3.2 Folgende Forderungen sind nicht erledigt:
Der Rechnungshof hat gefordert,
a) die Trennung von Benutzer- und Berechtigungsadministration sicherzustellen oder kompensierende Kontrollen einzuführen,
b) über die Ergebnisse der eingeleiteten Maßnahmen zu Nr. 3.1 zu berichten.
Die Landesregierung hat für das Entlastungsverfahren zu dem Beitrag folgende Stellungnahme abgegeben (Drucksache 17/15003 S. 8):
"Zu Ziffer 3.2a):
Die Trennung zwischen Benutzer- und Berechtigungsverwaltung wird nach Abschluss aller anderen Nacharbeiten umgesetzt.
Aufgrund der personellen Stärke des Teams (Reduzierung von drei auf zwei VZÄ) ist eine Trennung aktuell nicht möglich. Der konkret benötigte Stellenbedarf wird ermittelt, um die weiteren notwendigen Schritte entsprechend vorzubereiten zu können.
Kompensierende Kontrollen sind nur möglich und sinnvoll, wenn diese außerhalb des Berechtigungsteams (z. B. bei der Teamleitung oder der IT-Sicherheits- und Datenschutzkoordination des IPEMA®-Service-Centers (ISC) im Landesamt für Finanzen (LfF)) liegen. Alternativ zu manuellen Kontrollen bzw. der Einrichtung eines Vier-Augen-Prinzips kann als Sicherungsmechanismus eine genaue Überprüfung von Logdateien und der Buchungshistorie dienen. Zwar wird demnächst die Protokollierung für Aktivitäten von Usern mit umfangreichen Berechtigungen in SAP aktiviert, jedoch erfolgte die Zustimmung der Personalvertretung des LfF unter der Prämisse, dass damit keine Leistungskontrolle einhergeht. Daher wird geprüft, ob und wie bis zur abschließenden Umsetzung der Forderung des Rechnungshofes eine kompensierende Kontrolle eingeführt werden kann.
Unabhängig davon wurden bereits indirekte Kompensationen vorgenommen, um die Nachvollziehbarkeit bei der Benutzer- und Berechtigungsverwaltung in einem Team zu erhöhen. Insbesondere die Protokollierung von Benutzern mit kritischen Berechtigungen zählt zu diesen Maßnahmen. Auch die Dokumentation in der Benutzerverwaltung trägt zur Steigerung der Transparenz in dem betroffenen Arbeitsgebiet bei.
Zu Ziffer 3.2b) i.V.m. Ziffer 3.1 a):
Das Berechtigungsrahmenkonzept sowie die in den ergänzenden Dokumenten getroffenen Regelungen werden voraussichtlich bis Mitte des Jahres in ein vollständiges, nachvollziehbares sowie aktuelles und damit für Dritte überprüfbares Berechtigungskonzept zusammengefasst.
Zu Ziffer 3.2b) i.V.m. Ziffer 3.1 b):
Dem ISC sind kritische Berechtigungen bzw. die Benutzerinnen und Benutzer, die solche Berechtigungen innehaben, grundsätzlich bekannt. Es fehlte jedoch an einer allumfassenden zentralen Dokumentation dieser Berechtigungen und Benutzerinnen bzw. Benutzer, ihrer Ausprägung sowie an einer schriftlich fixierten Vorgabe zur Handhabung dieser kritischen Berechtigungen.
Die kritischen Berechtigungen wurden und werden überprüft, überarbeitet und bereinigt. Es ist vorgesehen, dass die kritischen Berechtigungen zukünftig ausschließlich in einer dafür eingerichteten Rolle enthalten sind. Die entsprechenden Regelungen zur Dokumentation, Überprüfung, Bewertung und Identifizierung von kritischen Berechtigungen wurden ins Berechtigungskonzept aufgenommen.
Eine Zuordnung und Vergabe von kritischen Berechtigungen ohne Antrag fand und findet grundsätzlich nicht statt. Ein enormer Anstieg der Nutzung kritischer Berechtigungen in den Jahren 2015-2017 erfolgte aufgrund der Unterstützung im Rahmen der Projekte IPEMA® Phase 2, IPEMA®-REISE und IPEMA®-ZEIT.
Mittlerweile wurden die Rollen und Berechtigungen überarbeitet, um kritische von unkritischen Berechtigungen zu trennen sowie Rollen und Berechtigungen auf den für die Aufgabenerledigung erforderlichen Umfang zu begrenzen. Außerdem wird die Vergabe entsprechender Rollen und Profile seit dem Frühjahr 2020 in der Benutzerverwaltung dokumentiert.
Zu Ziffer 3.2b) i.V.m. Ziffer 3.1 c):
Die Sammelbenutzer wurden im Produktivsystem aufgelöst und sind nun jeweils einer Person zuzuordnen. Darüber hinaus werden diese Benutzer in einer gesonderten Liste dokumentiert und zukünftig protokolliert. Sofern die Rolle eines Sammelbenutzers vergeben wird, wird dies nun über das Freigabeverfahren und in der Benutzerverwaltung dokumentiert und ist somit auch für Dritte nachvollziehbar.
Die Sammelbenutzer und der Umgang mit diesen wurden ebenfalls im Berechtigungskonzept aufgenommen.
Zu Ziffer 3.2b) i.V.m. Ziffer 3.1 d):
Die letzte Überprüfung der Berechtigungen fand im Oktober 2018 statt. Aufgrund der Rechnungshofprüfung wurde ein Turnus ausgesetzt. Der nächste Turnus ist in Vorbereitung und wird entsprechend den Anforderungen des Rechnungshofes angepasst und ins Berechtigungskonzept integriert. Die Aktivierung der zugrundeliegenden Protokollierung aller in IPEMA® vorhandenen Benutzer sowie deren Transaktionsnutzungen erfolgt seit März 2021 auf dem Produktivsystem für den Zeitraum von 13 Monaten mit anschließender Auswertung und Bereinigung der Berechtigungen ab April 2022. Diese Überprüfung wird sodann turnusmäßig alle zwei Jahre wiederholt.
Zu Ziffer 3.2b) i.V.m. Ziffer 3.1 e):
Die Forderung, wesentliche Änderungen in IPEMA® vollständig zu dokumentieren, bezieht sich auf wiederkehrende Tätigkeiten im System, die bisher nicht in Tickets dokumentiert wurden (z. B. SupportPackages, Anlage Portalbenutzer, monatliche Wartung).
Zu allen regelmäßigen Tätigkeiten werden seit Sommer 2020 Tickets angelegt und eingeplant. Sofern für diese Tätigkeiten entsprechende Freigaben (umfangreichere oder kritische Berechtigungen) benötigt werden, wird die Vergabe unter Angabe der Ticketnummer in der Benutzerverwaltung dokumentiert. Zukünftig wird die Planung dieser Aufgaben/Tickets immer zum Ende des Jahres für ein Jahr im Voraus erfolgen.
Zu Ziffer 3.2b) i.V.m. Ziffer 3.1 f):
Für die Überwachung der kritischen Berechtigungen ist eine entsprechende Protokollierung zu aktivieren. Die Umsetzung dieser Maßnahme unterlag nach § 80 Abs. 2 Nr. 3 Landespersonalvertretungsgesetz (LPersVG) der Mitbestimmung der Personalvertretung des LfF. Diese Zustimmung ist am 11. Februar 2021 erfolgt, sodass im Anschluss an die entsprechenden Vorbereitungen die notwendige Protokollierung ab April 2021 aktiviert wurde.
Das Protokollierungskonzept ist abhängig vom Abschluss des laufenden Informationssicherheitsprojekts des LfF. Der Abschluss dieses Projektes ist zum 30. Juni 2021 vorgesehen, sodass das Protokollierungskonzept im Juli 2021 finalisiert und weiter darüber berichtet wird.
Zu Ziffer 3.2b) i.V.m. Ziffer 3.1 g):
Die geforderte Verschlüsselung der Kennwörter der Benutzer nach dem aktuellen Stand der Technikwurde bereits zum 29. Juni 2020 umgesetzt, indem der aktuellste Hash-Algorithmus in SAP aktiviert wurde."
Der Haushalts- und Finanzausschuss hat auf der Grundlage des Vorschlags der Rechnungsprüfungskommission dem Landtag folgenden Beschluss empfohlen (Drucksache 18/1075 S. 5).
"Es wird zustimmend zur Kenntnis genommen, dass
a) ein den Anforderungen entsprechendes, vollständiges, nachvollziehbares und aktuelles Berechtigungskonzept erstellt wird,
b) Regelungen zur Dokumentation, Überprüfung, Bewertung und Identifizierung von kritischen Berechtigungen in das Berechtigungskonzept aufgenommen werden,
c) die Berechtigungen regelmäßig in einem 2-Jahres-Turnus überprüft werden,
d) die Aktivitäten von Benutzern mit kritischen Berechtigungen protokolliert werden und ein Protokollierungskonzept erstellt wird,
e) die Trennung der Benutzer- und Berechtigungsverwaltung nach Abschluss aller Nacharbeiten umgesetzt und geprüft wird, ob und wie bis zur abschließenden Umsetzung eine kompensierende Kontrolle eingeführt werden kann,
f) Sammelbenutzer aufgelöst und einer konkreten Person zugeordnet wurden, wesentliche Änderungen am IPEMA®-Produktivsystem künftig dokumentiert werden und für die Speicherung der Passwörter der Benutzer der aktuellste Hash-Algorithmus aktiviert ist.
Die Landesregierung wird aufgefordert, über die Erstellung des Berechtigungskonzepts, die Finalisierung des Protokollierungskonzepts sowie die umgesetzten Maßnahmen zur Trennung von Benutzer- und Berechtigungsverwaltung zu berichten."
Der Landtag hat diesen Beschluss im September 2021 gefasst.
Die Landesregierung hat dem Landtag wie folgt berichtet (Drucksache 18/2128 S. 6):
"Für das Integrierte Personalmanagementsystem IPEMA® wurde ein neues Berechtigungskonzept erstellt, welches die Anforderungen in Bezug auf Nachvollziehbarkeit, Aktualität und Vollständigkeit erfüllt und somit dem insgesamt hohen Schutzbedarf Rechnung trägt. Das Berechtigungskonzept enthält neben allgemeinen Vorgaben zu Systemeinstellungen und der Bearbeitung von Rollen, Berechtigungen und Benutzern auch Regelungen zur Identifizierung, Dokumentation, Überprüfung und Bewertung von kritischen Berechtigungen. Es wurden entsprechende Prozesse festgelegt und im Berechtigungskonzept beschrieben, um u. a. die Aktualität des Berechtigungskonzeptes sowie die regelmäßig durchzuführende Überprüfung und Anpassung von Berechtigungen zu gewährleisten.
Es wurde ein Protokollierungskonzept erstellt, das die Überwachung der Aktivitäten von Benutzern mit kritischen Berechtigungen umfassend regelt. Darüber hinaus enthält dieses Protokollierungskonzept auch weitere Angaben zu anderen in IPEMA® protokollierten Sachverhalten und Themen und bildet damit, über die Berechtigungsverwaltung hinaus, ein allgemeingültiges Sicherheitskonzept für IPEMA®.
Innerhalb des Protokollierungskonzeptes ist der Umgang mit Protokolldaten und deren Auswertung geregelt. Um Risiken und Unregelmäßigkeiten rechtzeitig zu erkennen, hat das Landesamt für Finanzen interne Prozesse bzgl. der regelmäßigen Auswertung von Protokollen, soweit zulässig, aufgesetzt. Eine Leistungskontrolle durch das Landesamt für Finanzen erfolgt nicht.
Die Trennung der Benutzer- und Berechtigungsverwaltung kann nur mit der notwendigen personellen Ausstattung durchgeführt werden. Bis zur Umsetzung der organisatorischen Lösung in 2022 wird die fehlende Trennung der Benutzer- und Berechtigungsverwaltung durch Kontrollen und andere Maßnahmen (z. B. Protokollierung der betroffenen Benutzer und Erweiterung der Dokumentation in der Benutzerverwaltung) kompensiert.
Das Berechtigungs- sowie das Protokollierungskonzept wurden, nebst einer Zusammenfassung zu den einzelnen im Prüfbericht aufgezählten Feststellungen (Randnummern), dem Rechnungshof am 3. November 2021 übermittelt."
Der Haushalts- und Finanzausschuss hat auf der Grundlage des Vorschlags der Rechnungsprüfungskommission dem Landtag empfohlen, die Angelegenheit im Rahmen des Entlastungsverfahrens für erledigt zu erklären (Drucksache 18/4302 S. 22).
Der Landtag hat diesen Beschluss im November 2022 gefasst.