Ein wirksames Identitätsmanagement ist eine grundlegende Voraussetzung für die sichere Steuerung von Zugriffen auf Informationen, Systeme und andere damit verbundene Werte. Nur wenn Identitäten eindeutig vergeben, verwaltet und kontrolliert werden, können Zugriffsrechte korrekt zugeordnet und Missbrauch wirksam verhindert werden. Dieses Control stellt sicher, dass Identitäten über ihren gesamten Lebenszyklus hinweg sicher und nachvollziehbar verwaltet werden.
Zweck des Controls
A 5.16 soll gewährleisten, dass Identitäten von Personen, Systemen und Diensten eindeutig identifiziert, verwaltet und kontrolliert werden. Ziel ist es, sicherzustellen, dass nur autorisierte Identitäten Zugriff auf Informationswerte erhalten und dass Änderungen im Lebenszyklus von Identitäten zeitnah und korrekt umgesetzt werden. Das Identitätsmanagement bildet die Grundlage für eine wirksame Zugangskontrolle und den Schutz vor unbefugten Zugriffen.
Anforderungen und Maßnahmen
1. Definition von Identitätstypen
Organisationen müssen festlegen, welche Arten von Identitäten verwaltet werden, insbesondere:
Benutzeridentitäten von Mitarbeitenden
Identitäten externer Nutzer oder Dienstleister
technische Identitäten von Systemen oder Anwendungen
Service- und Funktionskonten
Die Identitätstypen müssen klar unterschieden und dokumentiert werden.
2. Lebenszyklusmanagement von Identitäten
Identitäten müssen über ihren gesamten Lebenszyklus hinweg verwaltet werden:
Anlage von Identitäten bei Eintritt oder Bedarf
Änderungen bei Rollen- oder Aufgabenwechsel
temporäre oder projektbezogene Identitäten
Deaktivierung und Löschung bei Austritt oder Wegfall des Bedarfs
Alle Schritte müssen klar definiert und nachvollziehbar sein.
3. Eindeutigkeit und Nachvollziehbarkeit
Jede Identität muss eindeutig einer Person oder einem System zugeordnet sein:
Dies ist Voraussetzung für Verantwortlichkeit und Protokollierung.
4. Genehmigung und Kontrolle der Identitätsvergabe
Die Vergabe von Identitäten muss kontrolliert erfolgen:
formalisierte Beantragung und Genehmigung
Prüfung der Notwendigkeit und Berechtigung
Einbindung zuständiger Rollen oder Fachbereiche
Dokumentation der Entscheidungen
So wird sichergestellt, dass Identitäten nur bei berechtigtem Bedarf vergeben werden.
5. Schutz von Identitätsinformationen
Informationen zu Identitäten müssen angemessen geschützt werden:
Schutz personenbezogener Identitätsdaten
Einschränkung des Zugriffs auf Identitätsinformationen
sichere Speicherung und Übertragung
Einhaltung datenschutzrechtlicher Anforderungen
Dies verhindert Missbrauch oder unbefugte Offenlegung.
6. Integration mit Zugriffs- und Berechtigungsmanagement
Das Identitätsmanagement muss mit der Zugangskontrolle verzahnt sein:
Kopplung an Rollen- und Berechtigungskonzepte
automatische Zuordnung von Rechten auf Basis von Identitäten
Unterstützung des Prinzips der minimalen Berechtigung
Integration in Onboarding- und Offboarding-Prozesse
So wird eine konsistente Steuerung von Zugriffen ermöglicht.
7. Überwachung und Überprüfung von Identitäten
Identitäten müssen regelmäßig überprüft werden:
Kontrolle auf veraltete oder inaktive Identitäten
Überprüfung temporärer oder privilegierter Identitäten
regelmäßige Rezertifizierung
Behandlung von Abweichungen oder Unklarheiten
Dies reduziert das Risiko unberechtigter Zugriffe.
8. Dokumentation und Nachweisführung
Das Identitätsmanagement muss nachvollziehbar dokumentiert sein:
Richtlinien und Verfahren zum Identitätsmanagement
Nachweise über Anlage, Änderung und Löschung von Identitäten
Dokumentation von Genehmigungen und Prüfungen
Protokolle relevanter Aktivitäten
Diese Dokumentation ist essenziell für Audits und Compliance.
Zusammenfassung
A 5.16 fordert, dass Organisationen Identitäten systematisch und sicher verwalten. Durch klare Definition von Identitätstypen, ein strukturiertes Lebenszyklusmanagement, kontrollierte Vergabe, Schutz von Identitätsinformationen sowie regelmäßige Überprüfung wird sichergestellt, dass Zugriffe auf Informationen und Systeme wirksam gesteuert werden. Das Control bildet eine zentrale Grundlage für Zugangskontrolle, Nachvollziehbarkeit und die Gesamtwirksamkeit des Informationssicherheitsmanagementsystems.
Leave a comment