Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Organisatorische Kontrolle

A.5.15 — Zugriffskontrolle

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.5.15 ISO 27001ISO 27002BSI ORP.4

Ein neuer Mitarbeiter fängt an. Am ersten Tag bekommt er ein Active-Directory-Konto, VPN-Zugang und Zugriff auf das CRM, das Ticketsystem und den Dateiserver. Sechs Monate später wechselt er die Abteilung — die alten Rechte bleiben bestehen. Nach zwei Jahren hat er Zugang zu Systemen, von deren Existenz er selbst nichts mehr weiß. A.5.15 verhindert genau dieses Szenario.

Die Kontrolle verlangt, dass Organisationen explizite Regeln definieren, wer auf welche Informationen und Systeme zugreifen darf — und diese Regeln durchsetzen, überprüfen und aktualisieren. Das klingt selbstverständlich. In der Praxis scheitert es regelmäßig an drei Dingen: fehlende Dokumentation, fehlender Entzug und fehlende Überprüfung.

Was verlangt die Norm?

Die Kernforderung lässt sich in fünf Punkten zusammenfassen:

  • Zugriffskontrollregeln definieren. Für jede Art von Zugriff (physisch und logisch) muss eine dokumentierte Regelung existieren, die festlegt, wer unter welchen Bedingungen zugreifen darf.
  • Geschäftsanforderungen als Grundlage. Zugriffsrechte leiten sich aus den Geschäftsprozessen ab — welche Rolle braucht welche Informationen, um ihre Aufgabe zu erfüllen?
  • Need-to-know und Least Privilege. Der Standardzustand ist „kein Zugriff”. Rechte werden nur gewährt, wenn ein dokumentierter Bedarf besteht, und beschränken sich auf das Minimum.
  • Physisch und logisch. Die Kontrolle umfasst beides: Zutritt zu Gebäuden und Räumen (physisch) sowie Anmeldung an Systemen und Zugriff auf Daten (logisch).
  • Regelmäßige Überprüfung. Zugriffsrechte werden periodisch überprüft und bei organisatorischen Änderungen angepasst — Rollenwechsel, Austritt, Umstrukturierung.

In der Praxis

Zugriffskontrollmatrix erstellen. Eine Matrix, die Rollen (Zeilen) und Systeme (Spalten) kreuzt und für jede Kombination das Zugriffsniveau definiert (kein Zugriff, Lesen, Schreiben, Admin). Diese Matrix ist das zentrale Artefakt, das Auditoren sehen wollen.

Beantragungsprozess formalisieren. Jeder Zugriff wird beantragt, von einer autorisierten Person genehmigt und dokumentiert. In der Praxis heißt das: ein Ticket, eine Genehmigung, ein Log-Eintrag. Ohne diesen Dreiklang fehlt der Audit-Trail.

Rezertifizierung einplanen. Einmal im Quartal prüft die IT gemeinsam mit den Fachabteilungen, ob die vergebenen Rechte noch aktuell sind. Privilegierte Zugriffe (Admin, Root) werden häufiger geprüft. Das ist der Schritt, an dem die meisten Organisationen scheitern — die initiale Vergabe funktioniert, die laufende Pflege nicht.

Automatisierung hilft. Ab 50 Mitarbeitenden wird manuelle Verwaltung fehleranfällig. IAM-Tools (Identity & Access Management) automatisieren Provisionierung, Rezertifizierung und Entzug. Für kleinere Organisationen reicht ein sauberer Prozess mit dokumentierten Schritten.

Typische Audit-Nachweise

Auditoren erwarten bei A.5.15 typischerweise diese Nachweise:

  • Zugriffskontrollrichtlinie — das dokumentierte Regelwerk (→ Zugriffskontrollrichtlinie im Starter Kit)
  • Zugriffskontrollmatrix — Rolle-System-Zuordnung mit Zugriffsniveaus
  • Antragsbelege — Tickets oder Formulare für Zugriffsanträge mit Genehmigung
  • Rezertifizierungsprotokolle — Nachweis der periodischen Überprüfung
  • Entzugsnachweise — Belege, dass Rechte bei Austritt oder Rollenwechsel entzogen wurden
  • IAM-System-Export — aktueller Stand aller Berechtigungen pro Benutzer

KPI

Anteil der Systeme mit dokumentierten und durchgesetzten Zugriffskontrollregeln

Gemessen als Prozentsatz: Wie viele deiner informationsverarbeitenden Systeme haben eine dokumentierte Zugriffskontrollregelung, die nachweislich durchgesetzt wird? Ziel: 100%. In der Praxis beginnen viele Organisationen bei 40–60% und erreichen 100% innerhalb von zwei Audit-Zyklen.

Ergänzende KPIs:

  • Anteil der Zugriffsrechte, die innerhalb der letzten 12 Monate rezertifiziert wurden
  • Mittlere Dauer zwischen Austritt und Entzug aller Zugriffsrechte (Ziel: unter 1 Arbeitstag)
  • Anzahl der festgestellten Privilege-Creep-Fälle pro Quartal

BSI IT-Grundschutz

A.5.15 mappt auf eine Vielzahl von BSI-Bausteinen, weil Zugriffskontrolle ein Querschnittsthema ist:

  • ORP.4 (Identitäts- und Berechtigungsmanagement) — der Kernbaustein. Verlangt ein Berechtigungskonzept, Dokumentation aller Zugriffsrechte, regelmäßige Rezertifizierung und Funktionstrennung.
  • APP.2.1–2.3 (Verzeichnisdienste) — technische Umsetzung der Zugriffskontrolle in Active Directory, LDAP und vergleichbaren Systemen.
  • NET.1.1–1.2 (Netzarchitektur, Netzmanagement) — Zugriffskontrolle auf Netzwerkebene: Segmentierung, Firewall-Regeln, VPN-Zugang.
  • NET.2.1–2.2 (WLAN, Mobilfunk) — Zugriffskontrolle für drahtlose Netze: 802.1X-Authentisierung, Gäste-Isolation.
  • NET.3.2–3.4 (Firewall, VPN, NAC) — Zugriffskontrolle durch Netzwerkkomponenten.
  • INF.1.A7 (Zutrittskontrolle) — physischer Zutritt zu Gebäuden und Räumen.

Verwandte Kontrollen

A.5.15 bildet zusammen mit drei weiteren Kontrollen den Zugriffskontroll-Block:

Ergänzt wird der Block durch die technologischen Kontrollen A.8.2 (Privilegierte Zugriffsrechte), A.8.3 (Einschränkung des Informationszugangs), A.8.4 (Quellcode-Zugriff) und A.8.5 (Sichere Authentifizierung).

Quellen

Häufig gestellte Fragen

Was ist der Unterschied zwischen A.5.15 (Zugriffskontrolle) und A.8.2 (Privilegierte Zugriffsrechte)?

A.5.15 legt die grundlegenden Regeln fest: Wer darf auf welche Informationen und Systeme zugreifen? A.8.2 regelt den Sonderfall der privilegierten Zugriffe (Admin-Rechte, Root-Zugang). A.5.15 definiert die Richtlinie, A.8.2 die technische Umsetzung für die sensibelste Teilmenge.

Muss ich physischen und logischen Zugriff in einer Kontrolle behandeln?

ISO 27001 fasst beides unter A.5.15 zusammen. In der Praxis empfiehlt sich eine gemeinsame Zugriffskontrollrichtlinie mit separaten Abschnitten für physischen Zutritt (Gebäude, Serverraum) und logischen Zugang (Systeme, Daten). Die BSI-Terminologie unterscheidet Zutritt, Zugang und Zugriff — alle drei gehören hierher.

Wie oft müssen Zugriffsregeln überprüft werden?

ISO 27001 nennt keine feste Frequenz. In der Praxis haben sich vierteljährliche Reviews für privilegierte Zugriffe und jährliche Reviews für alle anderen bewährt. Zusätzlich muss ein Review stattfinden bei jeder organisatorischen Änderung (Abteilungswechsel, Austritt, Umstrukturierung) und nach Sicherheitsvorfällen.

Reicht eine Excel-Liste als Zugriffskontrollmatrix?

Für den Audit ja — solange sie aktuell, vollständig und genehmigt ist. Entscheidend ist, dass du jederzeit nachweisen kannst, wer auf welche Systeme zugreifen darf und wer das genehmigt hat. Ab etwa 50 Mitarbeitenden wird eine Excel-Liste unpraktisch; dann lohnt sich ein IAM-Tool.