Skip to main content

Sicherheitsrichtlinien

Sicherheit der Anwendung und Features

Die Anwendungssicherheit muss schon früh berücksichtigt werden, zum Beispiel in der Prepare-Phase des Projekts, also bevor Sie die Anwendung fertigstellen und konfigurieren. Zum Schutz Ihrer Anwendung vor Hackern sowie unbefugtem Zugriff und Gebrauch müssen Sie zwei Arten von Sicherheit verwalten: die Anwendungs- und die Feature-Sicherheit.

Anwendungssicherheit

Der Schwerpunkt der Anwendungssicherheit liegt auf dem Schutz der Anwendung vor unternehmensexternen und unbefugten Benutzern. Mit der Anwendungssicherheit können Sie beispielsweise:

  • das Risiko des Zugriffs auf oder des Diebstahls von Daten aus Ihrer Anwendung durch unbefugte Benutzer verringern
  • befugte Benutzer identifizieren, die Zugriff auf die Anwendung benötigen
  • Passwort- und Authentifizierungsrichtlinien erstellen

Für die Anwendungssicherheit sollten Sie alle Möglichkeiten zum Schutz der Anwendung (wie Sicherheitstools von Drittanbietern oder die Einrichtung einer Multi-Faktor-Authentifizierung) erwägen. Das Ziel der Anwendungssicherheit besteht darin, es unbefugten Benutzern unmöglich zu machen, die Anwendung zu verwenden, zu manipulieren, anzuzeigen oder anderweitig auf sie zuzugreifen.

Feature-Sicherheit

Der Schwerpunkt der Feature-Sicherheit liegt innerhalb der Anwendung. Hierbei wird festgelegt, auf welche Case-Typen, Features und Daten autorisierte Benutzer zugreifen dürfen. Mit der Feature-Sicherheit können Sie beispielsweise:

  • Sicherheitsrollen für die in den einzelnen Case-Typen festgelegten Personas einrichten, damit autorisierte Benutzer auf benötigte Anwendungs-Features zugreifen können
  • verhindern, dass Benutzer Features sehen oder auf Daten zugreifen, auf die sie keinen Zugriff haben dürften
  • Design einer rollenbasierten Zugriffskontrolle (Role-based Access Control, RBAC), attributbasierten Zugriffskontrolle (Attribute-based Access Control, ABAC) und clientbasierten Zugriffskontrolle (Client-based Access Control, CBAC).
Hinweis: Informationen zum Einrichten von Benutzern und Personas finden Sie unter Benutzer zu einer Anwendung einladen

Zum Beispiel kann der Business Owner einer Gehaltsanwendung jedem Manager die Möglichkeit geben wollen, den Gehaltsverlauf ihrer direkten Untergebenen abzufragen, nicht aber den von Kollegen oder anderen Arbeitnehmern. Außerdem soll kein Manager die Gehaltshöhe des Angestellten manuell ändern dürfen. Hingegen dürfen Gehaltsmanager und der CFO den Gehaltsverlauf aller Angestellten sehen sowie die Gehaltshöhe ändern. Bei der Dokumentation der User Story eines Managers müssen Sie dann berücksichtigen, auf welche Gehalts-Features dieser zugreifen darf.

Hinweis: Als Best Practice sollten SSA- und LSA-Teammitglieder in der Discover-Phase (Verkauf) eines Projekts die Sicherheitsbedürfnisse ermitteln und diese in der Design-Phase dokumentieren. Näheres zu den Phasen von Pega Express erfahren Sie unter Pega Express Delivery

Prüfen Sie mit der folgenden Interaktion Ihr Wissen:

Anwendungssicherheit innerhalb der Pega-Plattform konfigurieren

Eine Möglichkeit, um den unbefugten Zugriff auf Ihre Anwendungen einzuschränken, besteht darin, auf der Startseite Authentication in App Studio die Einstellungen im Tab Security Policies zu konfigurieren. Öffnen Sie in Dev Studio das Menü Configure und wählen Sie Org & Security > Authentication > Security Policies aus, um die Sicherheitsrichtlinien für den gesamten Server mit der Pega-Plattform anzuzeigen und zu aktualisieren.

Vorsicht: Die Einstellungen für einen bestimmten Authentifizierungsdienst können die Einstellungen auf der Startseite für die Authentifizierung überschreiben.

Nach der Aktualisierung einer Einstellung klicken Sie am Seitenende auf Submit, um die Aktualisierung zu erfassen. Änderungen der Sicherheitsrichtlinien werden sofort beim Absenden des Formulars aktiv.

Hinweis: Die Anwendung geeigneter Sicherheitsrichtlinien ist nur ein Aspekt der Anwendungssicherheit. Eine vollständige Liste empfohlener Sicherheitspraktiken finden Sie in der Security-Checkliste für die Pega-Plattform-Implementierung. 

Der Tab „Security Policies“ ist in einen Abschnitt Frequently required policies und einen Abschnitt Other policies unterteilt. Passwort, CAPTCHA, Sperre und Audit sind häufig benötigte Richtlinien, Multi-Faktor-Authentifizierung und Operator-Deaktivierung fallen unter „Sonstige Richtlinien“.

Richtlinienname Description Optionen für die Richtlinienkonfiguration
Passwort Regelt die Stärke der Benutzerpasswörter Im Abschnitt Password policies können Sie die Anforderungen an die Passwortlänge, Komplexität und Vorhersagbarkeit individuell festlegen.
CAPTCHA Prüft, ob ein Mensch das Passwort eingegeben hat.

 

 Verwenden Sie den Abschnitt CAPTCHA policies, um ein CAPTCHA, um Anmeldeversuche zu aktivieren und zu konfigurieren und so Anmeldeversuche zu überprüfen. Bei Aktivierung können Sie:
  • zwischen der Standardimplementierung oder einer benutzerdefinierten Implementierung auswählen
  • ein CAPTCHA bei der Erstanmeldung verwenden
  • die Wahrscheinlichkeit festlegen, wann dem Benutzer nach einem gescheiterten Anmeldeversuch ein CAPTCHA angezeigt wird
Lockout Definiert das Systemverhalten bei der Eingabe eines falschen Passworts durch einen Benutzer.

 

 Passen Sie im Abschnitt Lockout policies an, wann und wie lange Benutzer nach einem fehlgeschlagenen Anmeldeversuch warten müssen. Die angeführten Möglichkeiten orientieren sich daran, ob die Sperrrichtlinie aktiviert oder deaktiviert ist. Bei aktivierter Sperrsanktion können Sie:
  • einen Schwellenwert für fehlgeschlagene Anmeldeversuche einstellen
  • die Dauer der Erstsperre in Sekunden festlegen (wiederholte Anmeldefehler erhöhen die Sperrsanktion erheblich)
  • ein Protokoll mit Anmeldefehlern führen, das eine bestimmte Minutenanzahl umfasst

Bei deaktivierter Sperrsanktion können Sie:

  • die Anzahl der zulässigen fehlgeschlagenen Anmeldeversuche festlegen, ehe ein Konto gesperrt wird
  • die Sperrdauer des Benutzerkontos in Minuten festlegen
Audit Bestimmt den Umfang der Details, die bei einem Sicherheitsproblem im Systemprotokoll erfasst werden. Verwenden Sie den Abschnitt Audit policies, um die Detailtiefe der erfassten Anmeldeversuche anzupassen.
Multi-Faktor-Authentifizierung Definiert mehrere Faktoren oder Nachweise, die Benutzer zur Überprüfung ihrer Identität vorlegen müssen. Im Abschnitt Multi-Faktor-Authentifizierungs-Richtlinien (mit Einmalpasswort) konfigurieren und richten Sie ein Einmalpasswort ein, das den Benutzern per E-Mail oder SMS mitgeteilt wird. Zum Abschließen des Anmeldevorgangs müssen die Benutzer das Einmalpasswort innerhalb der vorgegebenen Zeit eingeben. 
Operator-Deaktivierung Legt die Dauer der Inaktivität fest, bevor der Zugang für einen Benutzer gesperrt wird. Im Abschnitt Operator disablement policy wird automatisch der Zugriff für Benutzer deaktiviert, die für die angegebene Anzahl von Tagen inaktiv sind. Damit das System den Zugriff für Benutzer, die Zugriff benötigen, nicht sperrt, fügen Sie den Operator-ID-Datensatz für diese Benutzer zur Liste Exclusion list of operator IDs hinzu.
Hinweis: Eine ausführliche Erklärung hinsichtlich der Einstellungen für jeden Richtlinientyp, einschließlich der zulässigen Mindest- und Höchstwerte, finden Sie unter Sicherheitsrichtlinien-Einstellungen.

Multi-Faktor-Authentifizierungs-Richtlinien

Passwörter stellen eine Möglichkeit der Benutzerauthentifizierung dar. Um die Sicherheit zu erhöhen, aktivieren Sie im Hinblick auf die Benutzerprüfung die Multi-Faktor-Authentifizierung. Mit der Multi-Faktor-Authentifizierung erlangen Benutzer Zugriff, nachdem sie mehrere Faktoren oder Angaben bereitstellen, die ihre Identität bestätigen.

Hinweis: Bei der Zwei-Faktoren-Authentifizierung handelt es sich um eine Untergruppe der Multi-Faktor-Authentifizierung, bei der die Benutzer bei der Anmeldung zwei Beweiselemente erbringen.

Weitere Informationen zu den verschiedenen Faktoren der Multi-Faktor-Authentifizierung erhalten Sie durch Klicken auf die Pluszeichen (+) in der folgenden Abbildung.

Prüfen Sie mit der folgenden Interaktion Ihr Wissen:

Dieses Thema ist im folgenden Modul verfügbar:
If you are having problems with your training, please review the Pega Academy Support FAQs.

Fanden Sie diesen Inhalt hilfreich?

Ja
Nein

100% fanden diesen Inhalt hilfreich

Möchten Sie uns dabei helfen, diesen Inhalt zu verbessern?
Änderung vorschlagen

We'd prefer it if you saw us at our best.

Pega Academy has detected you are using a browser which may prevent you from experiencing the site as intended. To improve your experience, please update your browser.

Close Deprecation Notice