Prüfungsergebnisse
Sie sind hier: Startseite / Prüfungsergebnisse / Produkte / Leitsätze der externen Finanzkontrolle / Leitsatzsammlung / 01 Finanzen / Haushalt / Bewirtschaftung / 2018 Leitsatz 01/07 - Zugangs- und Zugriffskontrollen bei automatisierten Verfahren zur Bewirtschaftung von Haushaltsmitteln des Bundes

Artikelaktionen

2018 Leitsatz 01/07 - Zugangs- und Zugriffskontrollen bei automatisierten Verfahren zur Bewirtschaftung von Haushaltsmitteln des Bundes

23.01.2020

Leitsätzepdf - download

(1) Zu automatisierten Verfahren im Haushalts-, Kassen und Rechnungs­wesen des Bundes dürfen nur befugte Personen Zugang haben. Dies ist durch geeignete technische Vorkehrungen abzusichern (z. B. personenbezogene und ausreichend starke Passwörter, Zugangssperren nach mehreren Fehleingaben).

(2) Der Beauftragte für den Haushalt muss regeln, wer bei diesen Verfahren auf welche zahlungsrelevanten Daten und Funktionen zugreifen darf. Basis der Zugriffsrechtevergabe muss ein aktuelles und vollständiges Berechtigungskonzept sein. Seine Einhaltung ist regelmäßig zu kontrollieren.

(3) Die Zugriffsrechte müssen aufgabenbezogen auf das notwendige Maß beschränkt sein. Hierbei sind das Vier-Augen-Prinzip und weitere Funktionstrennungen zu beachten. Entwickler dürfen allenfalls lesende Zugriffsrechte auf produktiv eingesetzte automatisierte Verfahren haben.

(4) Benutzerkennungen für automatisierte Verfahren dürfen grundsätzlich nur personenbezogen vergeben werden.

(5) In den automatisierten Verfahren ist systemseitig zu protokollieren, wer zu welchem Zeitpunkt über welche Zugriffsrechte verfügte und wann welche Daten geändert hat.

(6) Nicht bzw. seit längerem nicht verwendete Benutzerkennungen sind generell zu sperren oder zu löschen.

Hintergründe

Beim Einsatz automatisierter Verfahren zur Bewirtschaftung von Haushaltsmitteln des Bundes sind verschiedene haushaltsrechtliche Vorschriften zu beachten. So fordern die vom Bundesministerium der Finanzen herausgegebenen Mindestan­forderungen für den Einsatz automatisierter Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes (BestMaVB-HKR) in Verbindung mit den Vor­gaben zum IT-Grundschutz[1] des Bundesamtes für Sicherheit in der Informations­technik u. a. wirksame Zugangs- und Zugriffskontrollen. Die Bewirtschafter müs­sen vor allem dafür Sorge tragen, dass

  • ausschließlich berechtigte Benutzer Zugang zum automatisierten Verfahren haben,
  • die Benutzer innerhalb des automatisierten Verfahrens nur Zugriff auf die von ihnen benötigten haushaltsrelevanten Daten haben,
  • dokumentiert ist, welche Zugriffsrechte den Benutzern eingerichtet werden sollen und
  • die eingerichteten Zugriffsrechte und die haushaltswirksamen Datenände­rungen anhand von Systemprotokollen nachvollziehbar sind.

(1) Der Bundesrechnungshof stellt bei seinen Prüfungen regelmäßig fest, dass bei automatisierten Verfahren der Zugangsschutz unzureichend umgesetzt wurde. So ist die Passwortstärke nicht ausreichend und entspricht nicht dem IT-Grundschutz.[2] Benutzerkennungen werden nach mehreren Falschanmeldungen häufig nicht gesperrt. Folglich können Angreifer Passwörter im Extremfall beliebig oft ausprobieren. Das Kennwortrücksetzungsverfahren ist teilweise missbrauchs­anfällig, indem z. B. neue Passwörter nicht nur für die eigene, sondern auch für andere Benutzerkennungen angefordert und eingesetzt werden können.

(2) Die Bewirtschafter dürfen ein automatisiertes Verfahren erst produktiv nutzen, nachdem sie ein Berechtigungskonzept in Kraft gesetzt und systemseitig umgesetzt haben.[3] Im Berechtigungskonzept sind Befugnisse festzulegen und die dafür benötigten Zugriffsrechte möglichst in Rollen zusammenzufassen. Die geprüften Einrichtungen hatten vielfach kein oder kein aktuelles Berechtigungs­konzept. Sofern ein Berechtigungskonzept vorhanden war, entsprachen die in dem automatisierten Verfahren vergebenen Zugriffsrechte diesem oft nicht. Zudem verzichteten die geprüften Einrichtungen häufig darauf, die Berechti­gungskonzepte und die eingerichteten Zugriffsrechte regelmäßig zu überprüfen. Damit war nicht sichergestellt, dass die vergebenen Zugriffsrechte zur Aufgaben­erfüllung noch erforderlich waren.

(3) Benutzer dürfen nur die Zugriffsrechte haben, die sie zur Aufgabenerfüllung benötigen. Das Berechtigungskonzept hat als Teil des Ordnungsmäßigkeits­konzeptes die haushaltsrechtlich geforderten Funktionstrennungen vorzusehen. Dabei ist die Einhaltung des Vier-Augen-Prinzips[4] sicherzustellen.

Zudem muss ein Zugriff auf Programme, die sich im Wirkbetrieb befinden, für die Funktionsbereiche Systemprogrammierung, Verfahrensentwicklung und –pflege ausgeschlossen sein.[5] Dies bedeutet, dass Entwickler zu keinem Zeitpunkt in der Lage sein dürfen, produktiv genutzte automatisierte Verfahren nach deren Ab­nahme bzw. Freigabe unautorisiert und unprotokolliert zu modifizieren. Auch dürfen Entwickler niemals Rechte zum Haushaltsvollzug haben.

Der Bundesrechnungshof hat regelmäßig festgestellt, dass die vorgeschriebenen Funktionstrennungen nicht umgesetzt waren. So hatten in den produktiv genutzten automatisierten Verfahren vielfach Entwickler umfassende Buchungs­rechte. Viele nicht-personenbezogene Benutzerkennungen hatten ebenfalls Rechte zum Haushaltsvollzug und zur Systemadministration. Den Beauftragten für den Haushalt war dies oft nicht bekannt. Hierdurch waren sensible Buchhal­tungsbereiche nicht hinreichend aufgabenbezogen abgrenzt.

(4) Die oder der Beauftragte für den Haushalt muss die im Berechtigungskonzept festgelegten Befugnisse verantwortlichen Personen zuweisen.[6] Damit dies auch systemseitig nachvollzogen werden kann, dürfen Zugriffsrechte grundsätzlich nur personenbezogen vergeben werden.[7] Hiervon ausgenommen sind systemtech­nische Benutzerkennungen, z. B. für Schnittstellenprogramme.

Der Bundesrechnungshof hat wiederholt festgestellt, dass in automatisierten Verfahren auch nicht-personenbezogene Benutzerkennungen mit haushalts­relevanten Zugriffsrechten für den Dialogbetrieb eingerichtet waren (z. B. 'AZUBI', 'ERFASSER' für mehrere Beschäftigte). Bei diesen Benutzerkennungen lässt sich nicht nachweisen, welche Person hiermit beispielsweise zahlungs­relevante Belegdaten erfasste oder Auszahlungen anordnete. Oftmals verfügen nicht-personenbezogene Benutzerkennungen (z. B. 'SYSTEM', 'NOTFALL' oder 'ADMIN') zudem über sehr umfassende Zugriffsberechtigungen (z. B. über um­fassende Rollen oder Profile wie 'SAP_All' und 'SAP_NEW'). Sie bergen damit ein hohes Risiko für dolose Handlungen.

Der Bundesrechnungshof hat teilweise auch festgestellt, dass Beschäftigte ihre Benutzerkennungen an Kolleginnen oder Kollegen weitergaben und hierdurch das Vier-Augen-Prinzip wirkungslos wurde.

(5) Die Bewirtschafter protokollierten in ihren automatisierten Verfahren teil­weise die Zugriffsrechteverwaltung sowie die Zugriffe auf haushaltsrelevante Daten nicht in der Form einer Änderungshistorie.

Entsprechend des IT-Grundschutzes ist zu protokollieren, wer zu welchem Zeit­punkt welche Zugriffsrechte hatte.[8] Darüber hinaus müssen Datenänderungen systemseitig revisionssicher protokolliert werden.[9] Diese Systemprotokolle ermöglichen nachgelagerte Kontrollen. Sie bilden damit eine wesentliche Grund­lage, um eventuelle Unregelmäßigkeiten aufzudecken.

(6) Der Bundesrechnungshof hat bei seinen Prüfungen automatisierter Verfahren festgestellt, dass nicht bzw. seit längerer Zeit nicht mehr verwendete Benutzer­kennungen nach wie vor verwendbar waren. Dies betraf z. B. Benutzerken­nungen von Beschäftigten, die zwischenzeitlich andere Aufgaben übernommen hatten oder ausgeschieden waren.

Benutzerkennungen sollten nur für den Zeitraum eingerichtet werden, für den sie benötigt werden. Oft findet der Bundesrechnungshof Benutzerkennungen, die seit mehr als 90 Tagen nicht oder noch nie verwendet wurden. Entsprechend des


IT-Grundschutzes sollten nicht mehr zu verwendende Benutzerkennungen ge­sperrt bzw. gelöscht werden. [10]

 

Anmerkungen

Weitere Prüfungserkenntnisse des Bundesrechnungshofes finden sich auch in den Bemerkungen 2014, Nr. 3 sowie einem Bericht nach § 88 Absatz 2 BHO an den Rechnungsprüfungsausschuss des Haushaltsausschusses des Deutschen Bundes­tages vom 13. Mai 2016. Der RPA hat das Bundesministerium der Finanzen und die anderen Ressorts aufgefordert, die haushaltsrechtlichen Vorgaben für den Betrieb aller zahlungsrelevanten IT-Systeme in ihrem jeweiligen Verantwortungs­bereich einzuhalten.



[1] Diese Empfehlungen sind gemäß Nummer 2 Absatz 1 BestMaVB-HKR (Stand 09/2019) zu beachten.

[2] ORP.4.A8 IT-Grundschutz-Kompendium.

[3] Als Teil des in Nummer 6.4 VV-ZBR BHO geforderten Ordnungsmäßigkeitskonzeptes.

[4] Nummer 5.1 i.V.m. Nummer 4 BestMaVB-HKR.

[5] Nummer 2 Absatz 1 Satz 4 BestMaVB-HKR.

[6] Nummer 6.5.1 VV-ZBR BHO.

[7] Siehe hierzu auch ORP.4.A15 IT-Grundschutz-Kompendium.

[8] ORP.4.A3 IT-Grundschutz-Kompendium.

[9] Nummer 6.2.1 der Grundsätze ordnungsgemäßer Buchführung bei Einsatz automatisierter Verfahren
  im Haushalts-, Kassen- und Rechnungswesen des Bundes (GoBIT-HKR).

[10] ORP.4.A6-8 IT-Grundschutz-Kompendium.

© 2020 Bundesrechnungshof