Der kontrollierte Zugriff auf Informationen, Systeme und andere damit verbundene Werte ist ein zentrales Element der Informationssicherheit. Unzureichende oder unklare Zugangskontrollen erhöhen das Risiko unbefugter Zugriffe, Datenmanipulationen oder -verluste. Dieses Control stellt sicher, dass der Zugang zu Informationen und Informationsverarbeitungseinrichtungen ausschließlich autorisierten Personen, Prozessen und Systemen entsprechend dem festgelegten Schutzbedarf gewährt wird.
Zweck des Controls
A 5.15 soll gewährleisten, dass geeignete Zugangskontrollen eingerichtet und angewendet werden, um den Zugriff auf Informationen und Systeme auf das notwendige Maß zu beschränken. Ziel ist es, sicherzustellen, dass nur berechtigte Nutzer Zugriff erhalten, dass Zugriffsrechte nachvollziehbar vergeben und überprüft werden und dass unbefugte Zugriffe wirksam verhindert werden. Das Control unterstützt damit unmittelbar den Schutz von Vertraulichkeit, Integrität und Verfügbarkeit.
Anforderungen und Maßnahmen
1. Festlegung einer Zugangskontrollrichtlinie
Organisationen müssen eine verbindliche Zugangskontrollrichtlinie definieren, die unter anderem regelt:
Grundsätze für die Vergabe und Nutzung von Zugriffsrechten
Anforderungen an Authentifizierungs- und Autorisierungsmechanismen
Rollen- und Berechtigungskonzepte
Umgang mit privilegierten Zugängen
Verfahren für Beantragung, Genehmigung und Entzug von Zugriffen
Die Richtlinie muss dokumentiert, kommuniziert und regelmäßig überprüft werden.
2. Umsetzung des Prinzips der minimalen Berechtigung
Zugriffsrechte müssen nach dem Prinzip der minimalen Berechtigung vergeben werden:
Zugriff ausschließlich auf für die Aufgabenerfüllung notwendige Informationen
zeitlich begrenzte oder kontextabhängige Berechtigungen
Einschränkung privilegierter Zugriffe auf ein Minimum
regelmäßige Überprüfung der Angemessenheit von Berechtigungen
So werden Risiken durch übermäßige oder nicht benötigte Zugriffe reduziert.
3. Rollenbasierte Zugriffskontrolle
Zugriffsrechte sollten nach Möglichkeit rollenbasiert vergeben werden:
Definition klarer Rollen mit zugehörigen Berechtigungen
Zuordnung von Nutzern zu Rollen
Vermeidung individueller Sonderberechtigungen
Nachvollziehbarkeit und Konsistenz der Zugriffsvergabe
Rollenbasierte Modelle erhöhen Transparenz und Verwaltungsfähigkeit.
4. Steuerung privilegierter Zugriffe
Besondere Aufmerksamkeit ist privilegierten Zugriffen zu widmen:
Identifikation und Dokumentation privilegierter Konten
Einschränkung und Kontrolle administrativer Berechtigungen
Einsatz zusätzlicher Schutzmaßnahmen (z. B. Mehrfaktor-Authentifizierung)
Protokollierung und Überwachung privilegierter Aktivitäten
Dies reduziert das Risiko schwerwiegender Sicherheitsvorfälle.
5. Integration in Identitäts- und Zugriffsmanagement
Die Zugangskontrolle muss in geeignete Managementprozesse eingebettet sein:
Integration mit Identitäts- und Berechtigungsmanagement
Automatisierung von Provisionierung und Deprovisionierung
Kopplung an Onboarding-, Rollenwechsel- und Offboarding-Prozesse
Sicherstellung der Aktualität von Benutzer- und Rolleninformationen
So wird eine konsistente und zeitnahe Steuerung von Zugriffen ermöglicht.
Einsatz von Mehrfaktor-Authentifizierung, wo angemessen
Schutz von Zugangsdaten vor Missbrauch
Regelungen zur Nutzung gemeinsamer oder technischer Konten
Die Verfahren müssen dem Schutzbedarf der Informationen entsprechen.
7. Überwachung und Überprüfung von Zugriffen
Zugriffsrechte und deren Nutzung müssen regelmäßig überprüft werden:
periodische Rezertifizierung von Berechtigungen
Überprüfung auf ungenutzte oder veraltete Konten
Auswertung von Zugriffsprotokollen
Erkennung und Behandlung ungewöhnlicher Zugriffsmuster
Dies unterstützt die frühzeitige Erkennung von Missbrauch oder Fehlern.
8. Dokumentation und Nachweisführung
Die Zugangskontrolle muss nachvollziehbar dokumentiert sein:
Zugangskontrollrichtlinien und -verfahren
Rollen- und Berechtigungsmodelle
Nachweise über Genehmigungen und Überprüfungen
Protokolle sicherheitsrelevanter Zugriffe
Diese Dokumentation ist wichtig für Audits und Compliance.
Zusammenfassung
A 5.15 fordert, dass Organisationen den Zugang zu Informationen und Systemen wirksam steuern und kontrollieren. Durch klare Richtlinien, das Prinzip der minimalen Berechtigung, rollenbasierte Zugriffskontrolle, besondere Absicherung privilegierter Zugänge sowie regelmäßige Überprüfung wird sichergestellt, dass nur autorisierte Zugriffe erfolgen. Das Control ist eine zentrale Grundlage für den Schutz sensibler Informationen und für ein wirksames Informationssicherheitsmanagementsystem.
Leave a comment