Zugangsrechte bestimmen, welche Personen, Systeme oder Dienste auf Informationen und informationsverarbeitende Einrichtungen zugreifen dürfen. Unzureichend geregelte oder nicht regelmäßig überprüfte Zugangsrechte stellen ein erhebliches Risiko für die Informationssicherheit dar, da sie zu unbefugten Zugriffen, Datenmanipulation oder Informationsabfluss führen können. Dieses Control stellt sicher, dass Zugangsrechte kontrolliert vergeben, überprüft, angepasst und entzogen werden.
Zweck des Controls
A 5.18 soll gewährleisten, dass Zugangsrechte auf Grundlage definierter Anforderungen vergeben und verwaltet werden. Ziel ist es, sicherzustellen, dass nur berechtigte Identitäten Zugriff auf Informationen und Systeme erhalten und dass Zugangsrechte stets dem aktuellen Aufgaben- und Rollenprofil entsprechen. Das Control unterstützt damit unmittelbar die Wirksamkeit von Zugangskontrolle, Identitätsmanagement und dem Prinzip der minimalen Berechtigung.
Anforderungen und Maßnahmen
1. Festlegung von Regeln für Zugangsrechte
Organisationen müssen verbindliche Regeln für die Vergabe und Verwaltung von Zugangsrechten definieren, insbesondere:
Kriterien für die Zuweisung von Zugangsrechten
Rollen- oder aufgabenbasierte Berechtigungsmodelle
Genehmigungsprozesse für neue oder geänderte Zugangsrechte
Umgang mit privilegierten Zugangsrechten
Anforderungen an Dokumentation und Nachvollziehbarkeit
Diese Regeln müssen dokumentiert und organisationsweit angewendet werden.
2. Vergabe von Zugangsrechten nach dem Need-to-know-Prinzip
Zugangsrechte müssen nach dem Prinzip der minimalen Berechtigung vergeben werden:
Zugriff nur auf Informationen und Systeme, die für die Aufgabenerfüllung erforderlich sind
Vermeidung übermäßiger oder pauschaler Berechtigungen
zeitliche Begrenzung von Zugangsrechten, sofern sinnvoll
regelmäßige Überprüfung der Angemessenheit
So wird das Risiko durch unnötige Zugriffe reduziert.
3. Formale Beantragung und Genehmigung
Die Vergabe von Zugangsrechten muss kontrolliert erfolgen:
formalisierte Beantragung von Zugängen
Genehmigung durch verantwortliche Stellen
Prüfung der fachlichen Notwendigkeit
Dokumentation der Entscheidung
Dies stellt sicher, dass Zugangsrechte nicht unkontrolliert vergeben werden.
4. Anpassung von Zugangsrechten bei Änderungen
Zugangsrechte müssen bei Änderungen zeitnah angepasst werden:
Rollen- oder Aufgabenwechsel
organisatorische Veränderungen
Projekt- oder Einsatzende
Änderung des Schutzbedarfs von Informationen
Nicht mehr benötigte Zugänge müssen unverzüglich entzogen werden.
5. Entzug von Zugangsrechten
Beim Ausscheiden von Personen oder Wegfall des Bedarfs müssen Zugangsrechte entzogen werden:
Deaktivierung von Benutzerkonten
Entzug von System-, Netzwerk- oder Anwendungszugängen
Widerruf privilegierter Rechte
Sicherstellung, dass keine aktiven Zugänge verbleiben
Der Entzug muss zeitnah und vollständig erfolgen.
6. Regelmäßige Überprüfung und Rezertifizierung
Zugangsrechte müssen regelmäßig überprüft werden:
periodische Rezertifizierung von Berechtigungen
Überprüfung auf veraltete, ungenutzte oder überhöhte Rechte
Einbindung der Fachbereiche oder Rollenverantwortlichen
Dokumentation der Ergebnisse und Maßnahmen
Dies erhöht Transparenz und Sicherheit.
7. Protokollierung und Überwachung
Die Nutzung von Zugangsrechten sollte überwacht werden:
Protokollierung sicherheitsrelevanter Zugriffe
Überwachung privilegierter Aktivitäten
Erkennung ungewöhnlicher Zugriffsmuster
Einbindung in Incident-Management-Prozesse
So können Missbrauch oder Fehlkonfigurationen frühzeitig erkannt werden.
8. Dokumentation und Nachweisführung
Die Verwaltung von Zugangsrechten muss nachvollziehbar dokumentiert sein:
Richtlinien und Verfahren zu Zugangsrechten
Nachweise über Genehmigungen und Entzüge
Ergebnisse von Überprüfungen und Rezertifizierungen
Protokolle relevanter Zugriffsaktivitäten
Diese Dokumentation ist essenziell für Audits und Compliance.
Zusammenfassung
A 5.18 fordert, dass Zugangsrechte kontrolliert, nachvollziehbar und risikoorientiert verwaltet werden. Durch klare Regeln, formalisierte Vergabe- und Entzugsprozesse, regelmäßige Überprüfung sowie Überwachung der Nutzung wird sichergestellt, dass nur berechtigte Zugriffe erfolgen. Das Control ist eine zentrale Voraussetzung für den Schutz von Informationen und Systemen und für die nachhaltige Wirksamkeit des Informationssicherheitsmanagementsystems.
Leave a comment