Funktionstrennung (Separation of Duties) ist ein Organisationsprinzip, bei dem kritische Aufgaben auf mehrere Personen verteilt werden, damit keine einzelne Person einen sicherheitsrelevanten Prozess allein durchführen kann. Das Prinzip reduziert das Risiko von Betrug, Fehlern und Machtmissbrauch.
Klassische Beispiele: Wer eine Zahlung anweist, darf sie nicht selbst freigeben. Wer Zugriffsrechte beantragt, darf sie nicht selbst genehmigen. Wer Code schreibt, darf ihn nicht allein in Produktion bringen. ISO 27001 Annex A (A.5.3) fordert Funktionstrennung explizit. In kleineren Organisationen, wo eine strikte Trennung personell nicht möglich ist, kompensieren zusätzliche Kontrollen wie Vier-Augen-Prinzip, Audit-Logs und regelmäßige Überprüfungen.