Jedes Benutzerkonto erzählt eine Geschichte: Wann wurde es angelegt? Wer hat es beantragt? Welche Rechte hat es bekommen? Wann wurde es zuletzt verwendet? Und die entscheidende Frage: Gehört es noch jemandem, der in der Organisation arbeitet? A.5.16 fordert, dass digitale Identitäten über ihren gesamten Lebenszyklus verwaltet werden — von der Erstellung bis zur Deaktivierung.
Was verlangt die Norm?
- Eindeutige Identitäten zuweisen. Jede Person und jedes System erhält eine eindeutige Identität. Aktivitäten müssen zu einer konkreten Identität rückverfolgbar sein.
- Geteilte Konten vermeiden. Gemeinsam genutzte Konten sind nur in begründeten Ausnahmefällen zulässig und müssen gesondert dokumentiert und überwacht werden.
- Lebenszyklus abbilden. Erstellung, Änderung, Deaktivierung und Löschung von Identitäten folgen einem definierten Prozess.
- Zeitnahe Deaktivierung. Beim Austritt oder Rollenwechsel werden Identitäten unverzüglich angepasst oder deaktiviert.
In der Praxis
Provisioning-Prozess formalisieren. Jede neue Identität wird über einen definierten Prozess erstellt: Antrag → Genehmigung → Erstellung → Dokumentation. Der Antrag muss die Begründung und die benötigten Berechtigungen enthalten.
Konten-Review durchführen. Quartalsweise: Welche Konten sind aktiv? Welche wurden seit über 90 Tagen nicht verwendet? Welche gehören zu Personen, die die Organisation verlassen haben? Deaktiviere inaktive Konten nach definierter Frist.
Shared Accounts eliminieren. Ersetze geteilte Konten durch individuelle Konten mit rollenbasierter Berechtigung. Wo Shared Accounts unvermeidbar sind (z. B. Social-Media-Konten): Dokumentiere die verantwortliche Person, führe ein Zugriffslog und rotiere die Zugangsdaten bei Personalwechsel.
Automatisierung zwischen HR und IT. Der Trigger für die Identitätserstellung ist der HR-Eintritt, der Trigger für die Deaktivierung der HR-Austritt. Eine Schnittstelle zwischen HR-System und IAM-System automatisiert beide Schritte und eliminiert manuelle Verzögerungen.
Typische Audit-Nachweise
Auditoren erwarten bei A.5.16 typischerweise diese Nachweise:
- Identitätsinventar — vollständige Liste aller Benutzer- und Dienstkonten mit zugewiesener verantwortlicher Person
- Provisioning-Belege — Anträge und Genehmigungen für Kontenerstellung
- Deaktivierungsnachweise — Belege, dass Konten bei Austritt zeitnah deaktiviert wurden
- Konten-Review-Protokolle — Nachweis der regelmäßigen Überprüfung aktiver Konten
- Shared-Account-Register — Dokumentation unvermeidlicher geteilter Konten mit Begründung
KPI
% der Identitäten mit vollständigem Lebenszyklus-Management (Erstellung bis Deaktivierung)
Gemessen als Prozentsatz aller Identitäten im IAM-System. Ziel: 100%. „Vollständiges Lebenszyklus-Management” heißt: Erstellung dokumentiert, Berechtigungen zugewiesen, Review durchgeführt, Deaktivierung bei Austritt nachgewiesen.
Ergänzende KPIs:
- Anzahl der verwaisten Konten (Ziel: 0)
- Durchschnittliche Dauer zwischen Austritt und Kontodeaktivierung
- Anzahl der aktiven Shared Accounts (Ziel: minimieren)
BSI IT-Grundschutz
A.5.16 mappt direkt auf den BSI-Kernbaustein zum Identitätsmanagement:
- ORP.4 (Identitäts- und Berechtigungsmanagement) — verlangt eindeutige Zuordnung, dokumentierte Erstellung und zeitnahe Deaktivierung aller Benutzerkonten.
- OPS.1.1.2.A4 (Regelungen für Wartungs- und Reparaturarbeiten) — Dienstkonten für Wartungszugriffe müssen ebenfalls verwaltet werden.
Verwandte Kontrollen
A.5.16 bildet mit drei weiteren Kontrollen den Zugriffskontroll-Block:
- A.5.15 — Zugriffskontrolle: Die Zugriffskontrollregeln bauen auf den verwalteten Identitäten auf.
- A.5.17 — Authentifizierungsinformationen: Regelt die Zugangsdaten, die einer Identität zugeordnet sind.
- A.5.18 — Zugriffsrechte: Die Berechtigungen, die einer Identität zugewiesen werden.
Quellen
- ISO/IEC 27001:2022 Annex A, Control A.5.16 — Identitätsmanagement
- ISO/IEC 27002:2022 Abschnitt 5.16 — Umsetzungshinweise
- BSI IT-Grundschutz, ORP.4 — Identitäts- und Berechtigungsmanagement