Elementare Gefährdung · BSI IT-Grundschutz

G 0.32 — Missbrauch von Berechtigungen

Aktualisiert am 17. April 2026 3 Min. Geprüft von: Cenedril-Redaktion

A.5.3A.5.9A.5.15A.5.16A.5.17A.5.18A.5.23A.5.24A.5.25A.5.26A.5.27A.5.29A.5.34A.6.2A.6.4A.6.5A.6.6A.6.7A.6.8A.7.13A.8.1A.8.2A.8.3A.8.4A.8.5A.8.7A.8.15A.8.16A.8.18A.8.19A.8.20A.8.21A.8.22A.8.26A.8.27A.8.28A.8.29A.8.31 BSI IT-GrundschutzISO 27001ISO 27002

Eine Mitarbeiterin der Personalabteilung hat Lesezugriff auf die Gehaltsdaten aller Beschäftigten — technisch notwendig für ihre Aufgabe in der Lohnabrechnung. Eines Tages durchsucht sie gezielt die Gehaltsdaten der Geschäftsführung und der neuen Kollegin, mit der sie im Streit liegt. Der Zugriff ist technisch erlaubt, aber zweckfremd — ein klassischer Berechtigungsmissbrauch.

Missbrauch von Berechtigungen (G 0.32) gehört zu den Insider-Bedrohungen, die besonders schwer zu erkennen sind. Die handelnde Person hat gültige Zugangsdaten, bewegt sich innerhalb der technisch erlaubten Grenzen und hinterlässt Protokolleinträge, die auf den ersten Blick unauffällig wirken.

Was steckt dahinter?

Personen erhalten Berechtigungen, um bestimmte Aufgaben zu erfüllen. Missbrauch liegt vor, wenn diese Möglichkeiten vorsätzlich außerhalb des vorgesehenen Rahmens genutzt werden — sei es, um sich persönliche Vorteile zu verschaffen, Neugier zu befriedigen oder einer Organisation oder Person zu schaden.

Begünstigende Faktoren

Historisch gewachsene Rechte (Privilege Creep) — Bei Abteilungswechseln werden neue Rechte vergeben, alte aber nicht entzogen. Nach mehreren Wechseln verfügt eine Person über ein Vielfaches der tatsächlich benötigten Berechtigungen.
Fehlende Feingranularität — Je gröber das Berechtigungsmodell, desto größer der Spielraum für Missbrauch. Wenn „Leserecht auf alle HR-Daten” statt „Leserecht auf Lohnabrechnungsdaten der eigenen Organisationseinheit” vergeben wird, entsteht eine unnötige Angriffsfläche.
Schwache Protokollierung — Wenn Zugriffe nicht oder nicht auswertbar protokolliert werden, fehlt die Abschreckung und die Möglichkeit zur Aufklärung.
Mangelnde Funktionstrennung — Wenn dieselbe Person Berechtigungen vergeben, nutzen und kontrollieren kann, fehlt jede Kontrollinstanz.

Schadensausmass

Der Schaden hängt direkt von der Reichweite der missbrauchten Berechtigungen ab. Ein Sachbearbeiter, der unbefugt Kundendaten einsieht, verursacht einen begrenzten Vertraulichkeitsbruch. Ein Administrator, der seine Root-Rechte für Datendiebstahl oder Sabotage nutzt, kann existenzbedrohenden Schaden anrichten. In beiden Fällen ist das Vertrauen der Organisation in die eigene Zugriffskontrolle erschüttert.

Praxisbeispiele

IT-Administrator kopiert Kundendatenbank. Ein Administrator mit Vollzugriff auf die Produktionsdatenbanken erstellt regelmäßig vollständige Datenbankexporte — offiziell für Backup-Zwecke. Tatsächlich speichert er Kopien der Kundendatenbank auf einem privaten Datenträger. Der Missbrauch fällt erst auf, als er das Unternehmen verlässt und bei einem Wettbewerber Kundenlisten auftauchen.

Ehemaliger Projektleiter behält Zugriffsrechte. Ein Projektleiter wechselt in eine andere Abteilung. Seine Projektrechte — einschließlich Zugang zu vertraulichen Finanzplanungen — werden nicht entzogen. Monate später greift er auf Projektdokumente zu, die für seine neue Rolle irrelevant sind, und teilt Informationen über anstehende Budgetkürzungen mit Kollegen im Projektteam.

Zugriffsrechte in gemeinsam genutzter Anwendung. Eine Fachanwendung speichert Zugriffsrechte in einem Systembereich, auf den auch andere Benutzer zugreifen können. Ein technisch versierter Mitarbeiter entdeckt dies und ändert seine eigenen Berechtigungen, um auf Daten zuzugreifen, die eigentlich der Geschäftsführung vorbehalten sind.

Relevante Kontrollen

Die folgenden ISO-27001-Kontrollen wirken dieser Gefährdung entgegen. (Die vollständige Liste der 38 zugeordneten Kontrollen findest du unten im Abschnitt „Abdeckende ISO-27001-Kontrollen”.)

Prävention:

A.5.18 — Zugangsrechte: Formaler Prozess für Vergabe, Änderung und Entzug — einschließlich Rezertifizierung.
A.8.3 — Beschränkung des Informationszugangs: Least-Privilege-Prinzip auf Anwendungsebene.
A.5.3 — Aufgabentrennung: Funktionstrennung verhindert, dass eine Person alle Schritte eines kritischen Prozesses kontrolliert.
A.6.6 — Vertraulichkeits- oder Geheimhaltungsvereinbarungen: Vertraglich verankerte Pflichten zur vertraulichen Behandlung von Informationen.
A.5.15 — Zugangssteuerung: Dokumentiertes Zugangssteuerungskonzept als Grundlage für alle Berechtigungsentscheidungen.

Erkennung:

A.8.15 — Protokollierung: Detaillierte Protokollierung aller Zugriffe, insbesondere auf sensible Datenbestände.
A.8.16 — Überwachungsaktivitäten: User-Behaviour-Analytics erkennt Zugriffsmuster, die vom normalen Arbeitsverhalten abweichen.

Reaktion:

A.5.24 — Planung der Informationssicherheitsvorfallreaktion: Verfahren für den Umgang mit Insider-Vorfällen, einschließlich arbeitsrechtlicher und forensischer Aspekte.
A.6.4 — Maßregelungsverfahren: Definierte Konsequenzen bei nachgewiesenem Berechtigungsmissbrauch.

BSI IT-Grundschutz

G 0.32 verknüpft der BSI-Grundschutzkatalog mit den folgenden Bausteinen:

ORP.4 (Identitäts- und Berechtigungsmanagement) — Anforderungen an feingranulare Berechtigungsmodelle und regelmäßige Überprüfung.
DER.2.3 (Bereinigung weitreichender Sicherheitsvorfälle) — Verfahren für den Umgang mit Insider-Angriffen.
ORP.2 (Personal) — Personalmaßnahmen bei Missbrauch, einschließlich arbeitsrechtlicher Konsequenzen.
OPS.1.1.5 (Protokollierung) — Anforderungen an die Nachvollziehbarkeit von Zugriffen.

Quellen

BSI: Die Lage der IT-Sicherheit in Deutschland — Jahreslagebericht mit Erkenntnissen zu Insider-Bedrohungen
BSI IT-Grundschutz: Elementare Gefährdungen, G 0.32 — Originalbeschreibung der elementaren Gefährdung
ISO/IEC 27002:2022 Abschnitt 5.18 — Umsetzungshinweise zu Zugangsrechten

Abdeckende ISO-27001-Kontrollen

A.5.3 Aufgabentrennung A.5.9 Inventar der Informationswerte A.5.15 Zugriffskontrolle A.5.16 Identitätsmanagement A.5.17 Authentifizierungsinformationen A.5.18 Zugriffsrechte A.5.23 Informationssicherheit bei Cloud-Diensten A.5.24 Planung des Vorfallmanagements A.5.25 Bewertung von Sicherheitsereignissen A.5.26 Reaktion auf Sicherheitsvorfälle A.5.27 Erkenntnisse aus Sicherheitsvorfällen A.5.29 Informationssicherheit bei Störungen A.5.34 Datenschutz und PII A.6.2 Beschäftigungsbedingungen A.6.4 Disziplinarverfahren A.6.5 Verantwortlichkeiten bei Beendigung A.6.6 Vertraulichkeitsvereinbarungen A.6.7 Telearbeit A.6.8 Meldung von Sicherheitsereignissen A.7.13 Instandhaltung von Geräten A.8.1 Benutzerendgeräte A.8.2 Privilegierte Zugriffsrechte A.8.3 Einschränkung des Informationszugangs A.8.4 Zugang zu Quellcode A.8.5 Sichere Authentifizierung A.8.7 Schutz gegen Schadsoftware A.8.15 Protokollierung A.8.16 Überwachung von Aktivitäten A.8.18 Nutzung privilegierter Hilfsprogramme A.8.19 Installation von Software auf Betriebssystemen A.8.20 Netzwerksicherheit A.8.21 Sicherheit von Netzwerkdiensten A.8.22 Trennung von Netzwerken A.8.26 Anforderungen an die Anwendungssicherheit A.8.27 Sichere Systemarchitektur A.8.28 Sicheres Programmieren A.8.29 Sicherheitstests in Entwicklung und Abnahme A.8.31 Trennung von Entwicklungs-, Test- und Produktionsumgebungen

Häufig gestellte Fragen

Warum ist der Missbrauch von Berechtigungen so schwer zu erkennen?

Der Missbrauch erfolgt mit legitimen Zugangsdaten und innerhalb der technisch erlaubten Grenzen. Die Aktionen erscheinen im Protokoll als normaler Zugriff. Erst eine Analyse des Kontexts (Zeitpunkt, Häufigkeit, zugegriffene Daten im Verhältnis zur Aufgabe) macht den Missbrauch sichtbar. User-Behaviour-Analytics-Systeme (UBA) helfen dabei.

Wie entstehen übermäßige Berechtigungen in der Praxis?

Häufig durch Rechtevererbung bei Abteilungswechseln: Ein Mitarbeiter erhält die Rechte für die neue Rolle, ohne dass die alten entzogen werden (Privilege Creep). Weitere Ursachen: Gruppenberechtigungen, die zu breit definiert sind, temporäre Zusatzrechte, die nie zurückgenommen werden, und Standardprofile mit zu vielen Privilegien.

Was ist das Least-Privilege-Prinzip?

Jeder Benutzer und jeder Prozess erhält ausschließlich die Berechtigungen, die für die jeweilige Aufgabe tatsächlich erforderlich sind — und keinen Zugang darüber hinaus. Das Prinzip minimiert das Schadensausmass bei einem Missbrauch und reduziert gleichzeitig die Angriffsfläche für externe Angreifer, die ein Benutzerkonto kompromittieren.