(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Die Trennung von Aufgaben ist ein zentrales organisatorisches Prinzip zur Reduzierung von Risiken im Informationssicherheitsmanagement. Werden sicherheitskritische Tätigkeiten von einer einzelnen Person ausgeführt, erhöht sich das Risiko von Fehlhandlungen, Missbrauch oder unentdeckten Sicherheitsverstößen. Dieses Control stellt sicher, dass Verantwortlichkeiten, Befugnisse und Kontrollfunktionen so verteilt werden, dass Risiken durch Interessenkonflikte, Fehlbedienung oder vorsätzliche Handlungen minimiert werden.

Zweck des Controls

A 5.3 soll gewährleisten, dass sicherheitsrelevante Aufgaben innerhalb der Organisation angemessen getrennt werden. Ziel ist es, zu verhindern, dass einzelne Personen in der Lage sind, sicherheitskritische Prozesse vollständig und unkontrolliert auszuführen. Durch eine wirksame Aufgabentrennung werden Kontrollmechanismen gestärkt, Manipulationen erschwert und die Transparenz sowie Nachvollziehbarkeit von Tätigkeiten erhöht.

Anforderungen und Maßnahmen

1. Identifikation sicherheitskritischer Aufgaben

Organisationen müssen Tätigkeiten identifizieren, bei denen eine unzureichende Aufgabentrennung zu erhöhten Risiken führen kann, insbesondere:

• Administration von IT-Systemen und Netzwerken
• Vergabe, Änderung und Entzug von Zugriffsrechten
• Entwicklung, Test und Freigabe von Software
• Verarbeitung besonders schützenswerter Informationen
• Überwachung sicherheitsrelevanter Protokolle und Logs
• Bearbeitung und Freigabe sicherheitsrelevanter Änderungen
• Behandlung von Informationssicherheitsvorfällen

Diese Aufgaben sind gezielt zu analysieren und abzusichern.

2. Trennung von verantwortlichen Rollen und Tätigkeiten

Sicherheitskritische Aufgaben müssen auf unterschiedliche Rollen verteilt werden, zum Beispiel:

• Trennung von Entwicklung, Test und Produktion
• Trennung zwischen operativem Betrieb und Kontrolle bzw. Überwachung
• Trennung von Antrag, Genehmigung und Umsetzung von Berechtigungen
• Trennung zwischen Systemadministration und Sicherheitsüberwachung
• Trennung zwischen Incident-Bearbeitung und deren Bewertung

Diese Trennung reduziert das Risiko unbeabsichtigter oder vorsätzlicher Fehlhandlungen.

3. Vermeidung von Interessenkonflikten

Organisationen müssen sicherstellen, dass Aufgabenverteilungen keine Interessenkonflikte erzeugen:

• Bewertung von Rollen mit weitreichenden Berechtigungen
• Identifikation von Funktionen mit potenziellen Zielkonflikten
• Einschränkung von Alleinverantwortung bei kritischen Tätigkeiten
• Dokumentation von Entscheidungen zur Aufgabenverteilung

Durch präventive Maßnahmen werden Missbrauch und Manipulation erschwert.

4. Umsetzung kompensierender Kontrollen

In kleineren Organisationen oder bei begrenzten Ressourcen ist eine vollständige Aufgabentrennung nicht immer möglich. In diesen Fällen müssen geeignete kompensierende Maßnahmen umgesetzt werden, wie zum Beispiel:

• Zusätzliche Freigabe- oder Vier-Augen-Prinzipien
• Regelmäßige nachgelagerte Kontrollen durch unabhängige Stellen
• Verstärkte Protokollierung und Monitoring
• Zeitlich begrenzte oder eingeschränkte Berechtigungen
• Externe Prüfungen oder Reviews

Diese Maßnahmen müssen dokumentiert und regelmäßig überprüft werden.

5. Dokumentation der Aufgabentrennung

Die Organisation muss festlegen und dokumentieren, wie die Aufgabentrennung umgesetzt wird:

• Beschreibung der Rollen, Zuständigkeiten und Abgrenzungen
• Darstellung in Rollenmodellen oder RACI-Matrizen
• Dokumentation von Ausnahmen und kompensierenden Kontrollen
• Nachvollziehbarkeit für interne und externe Prüfungen

Die Dokumentation dient als Nachweis und Steuerungsinstrument.

6. Integration in Prozesse und Systeme

Aufgabentrennung muss systematisch umgesetzt werden:

• Abbildung der Trennung in IT-Systemen und Berechtigungskonzepten
• Unterstützung durch technische Kontrollen (z. B. Rollenmodelle, Genehmigungsworkflows)
• Integration in Change-, Access- und Incident-Management-Prozesse
• Regelmäßige Überprüfung der technischen Umsetzung

So wird sichergestellt, dass organisatorische Vorgaben technisch wirksam umgesetzt werden.

7. Überprüfung und Überwachung der Wirksamkeit

Die Organisation muss die Wirksamkeit der Aufgabentrennung regelmäßig überprüfen:

• Überprüfung im Rahmen interner Audits
• Kontrolle von Berechtigungen und Rollen
• Bewertung von Sicherheitsvorfällen im Hinblick auf Aufgabenverteilung
• Anpassung bei organisatorischen oder technischen Änderungen

Dies stellt sicher, dass die Aufgabentrennung dauerhaft wirksam bleibt.

8. Sensibilisierung der Mitarbeitenden

Mitarbeitende müssen für die Bedeutung der Aufgabentrennung sensibilisiert werden:

• Schulungen zu Rollen, Verantwortlichkeiten und Grenzen
• Bewusstsein für Risiken durch fehlende Trennung
• Klar kommunizierte Meldewege bei Unklarheiten oder Regelverstößen

Dies unterstützt die Akzeptanz und korrekte Umsetzung der Maßnahmen.

Zusammenfassung

A 5.3 fordert die angemessene Trennung sicherheitskritischer Aufgaben, um Risiken durch Fehlhandlungen, Missbrauch und Interessenkonflikte zu reduzieren. Durch die Identifikation kritischer Tätigkeiten, klare Rollenverteilung, kompensierende Kontrollen bei Einschränkungen sowie regelmäßige Überprüfung wird die Transparenz, Kontrollierbarkeit und Wirksamkeit des Informationssicherheitsmanagementsystems nachhaltig gestärkt.