(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Privilegierte Zugangsrechte ermöglichen weitreichende Zugriffe auf Systeme, Anwendungen und Daten und stellen daher ein besonders hohes Risiko für die Informationssicherheit dar. Missbrauch, Fehlkonfiguration oder unzureichende Kontrolle privilegierter Konten können zu schwerwiegenden Sicherheitsvorfällen führen. Dieses Control stellt sicher, dass privilegierte Zugangsrechte streng geregelt, überwacht und auf das notwendige Maß beschränkt werden.

Zweck des Controls

A 8.2 soll gewährleisten, dass privilegierte Zugangsrechte nur berechtigten Personen in angemessenem Umfang gewährt werden. Ziel ist es, Risiken durch übermäßige oder missbräuchliche Berechtigungen zu minimieren und die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Systemen zu schützen.

Anforderungen und Maßnahmen

1. Identifikation privilegierter Zugangsrechte

Organisationen müssen privilegierte Zugangsrechte identifizieren, insbesondere:

• administrative Benutzerkonten
• System- und Servicekonten
• Konten mit erweiterten Konfigurations- oder Steuerungsrechten
• Notfall- oder Sonderkonten
• Die Identifikation muss vollständig und aktuell sein.

2. Festlegung von Vergabekriterien

Die Vergabe privilegierter Zugangsrechte muss klar geregelt sein:

• Vergabe nur bei nachgewiesenem Bedarf
• formale Genehmigung durch zuständige Stellen
• zeitliche Begrenzung, sofern möglich
• Dokumentation der Vergabe

So wird das Least-Privilege-Prinzip umgesetzt.

3. Trennung von Benutzer- und Administrationskonten

Privilegierte Tätigkeiten müssen getrennt erfolgen:

• separate Konten für administrative Aufgaben
• Vermeidung dauerhafter administrativer Rechte
• Nutzung erhöhter Rechte nur bei Bedarf
• klare Zuordnung von Konten zu Personen

Dies reduziert das Missbrauchsrisiko.

4. Schutz privilegierter Zugangsrechte

Privilegierte Konten müssen besonders geschützt werden:

• starke Authentifizierungsmechanismen
• Mehrfaktor-Authentifizierung, sofern angemessen
• Schutz vor unbefugter Nutzung oder Weitergabe
• sichere Verwaltung von Zugangsdaten

So wird unbefugter Zugriff verhindert.

5. Überwachung und Protokollierung

Die Nutzung privilegierter Zugangsrechte muss überwacht werden:

• Protokollierung administrativer Tätigkeiten
• Überwachung auf ungewöhnliche Aktivitäten
• regelmäßige Auswertung von Protokollen
• Integration in Incident-Management-Prozesse

Dies ermöglicht eine frühzeitige Erkennung von Missbrauch.

6. Regelmäßige Überprüfung und Rezertifizierung

Privilegierte Zugangsrechte müssen regelmäßig überprüft werden:

• Überprüfung der Notwendigkeit
• Entzug nicht mehr benötigter Rechte
• Anpassung bei Rollen- oder Aufgabenänderungen
• dokumentierte Rezertifizierungsprozesse

So bleiben Berechtigungen aktuell.

7. Umgang mit Notfall- und Sonderrechten

Notfall- oder Sonderrechte müssen besonders geregelt sein:

• klar definierte Einsatzszenarien
• zeitlich begrenzte Aktivierung
• vollständige Protokollierung
• nachträgliche Überprüfung der Nutzung

Dies stellt Kontrolle auch in Ausnahmesituationen sicher.

8. Sensibilisierung und Verantwortlichkeiten

Personen mit privilegierten Zugangsrechten müssen besonders sensibilisiert werden:

• Schulungen zu Risiken und Pflichten
• klare Verantwortlichkeiten
• Verpflichtung zur Einhaltung von Richtlinien
• Sanktionen bei Missbrauch

Der verantwortungsvolle Umgang ist entscheidend.

Zusammenfassung

A 8.2 fordert, dass Organisationen privilegierte Zugangsrechte streng kontrollieren und überwachen. Durch klare Vergabekriterien, Trennung von Konten, starken Schutz, kontinuierliche Überwachung, regelmäßige Überprüfung sowie Sensibilisierung der Berechtigten wird sichergestellt, dass privilegierte Zugriffe nicht zur Schwachstelle der Informationssicherheit werden. Das Control ist ein zentraler Bestandteil der technischen Sicherheitsmaßnahmen im Informationssicherheitsmanagementsystem.