Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Organisatorische Kontrolle

A.5.18 — Zugriffsrechte

Aktualisiert am 3 Min. Geprüft von: Cenedril-Redaktion
A.5.18 ISO 27001ISO 27002BSI ORP.4

Der häufigste Befund in ISO-27001-Audits lautet sinngemäß: „Zugriffsrechte werden bei Rollenwechsel nicht angepasst.” Eine Mitarbeiterin wechselt vom Vertrieb ins Marketing — die Vertriebsrechte behält sie. Nach drei Abteilungswechseln hat sie Zugriff auf Systeme, die sie nie wieder braucht. A.5.18 fordert einen vollständigen Prozess für die Vergabe, Überprüfung, Änderung und den Entzug von Zugriffsrechten.

Was verlangt die Norm?

  • Vergabeprozess definieren. Zugriffsrechte werden nur auf Antrag und nach Genehmigung durch den Asset-Eigentümer vergeben.
  • Least Privilege durchsetzen. Der Standardzustand ist kein Zugriff. Rechte werden auf das notwendige Minimum beschränkt.
  • Änderungen und Entzug regeln. Bei Rollenwechsel, Abteilungswechsel oder Austritt werden Rechte zeitnah angepasst oder entzogen.
  • Regelmäßige Rezertifizierung. Alle Zugriffsrechte werden periodisch überprüft und aktiv bestätigt oder entzogen.
  • Funktionstrennung beachten. Bei der Vergabe wird geprüft, ob die neuen Rechte einen SoD-Konflikt erzeugen (A.5.3).

In der Praxis

Antrags-Workflow einrichten. Jede Berechtigungsänderung durchläuft: Antrag (durch Mitarbeitenden oder Führungskraft) → Genehmigung (durch Asset-Eigentümer) → Umsetzung (durch IT) → Dokumentation. Kein Zugriff ohne dokumentierte Genehmigung.

Automatischen Entzug bei Austritt implementieren. HR meldet den Austritt → IAM-System deaktiviert alle Konten und entzieht alle Berechtigungen → IT bestätigt. Die Kette muss automatisiert oder mindestens in einer verbindlichen Checkliste verankert sein.

Rezertifizierungskampagnen planen. Quartalsweise erhalten Asset-Eigentümer eine Liste der Personen mit Zugriff auf ihre Systeme. Sie prüfen und bestätigen oder entziehen. Nicht bestätigte Rechte werden nach Frist automatisch entzogen.

Privilege Creep aktiv bekämpfen. Bei jedem Rollenwechsel: alte Rolle prüfen und nicht mehr benötigte Rechte entziehen, bevor die neue Rolle zugewiesen wird. Das ist der Schritt, der in der Praxis am häufigsten fehlt.

Typische Audit-Nachweise

Auditoren erwarten bei A.5.18 typischerweise diese Nachweise:

  • Berechtigungsanträge — dokumentierte Anträge mit Genehmigung des Asset-Eigentümers
  • Rezertifizierungsprotokolle — Nachweis der regelmäßigen Überprüfung aller Zugriffsrechte
  • Entzugsnachweise — Belege, dass Rechte bei Austritt oder Rollenwechsel entzogen wurden
  • IAM-Konfiguration — Nachweis der technischen Durchsetzung (RBAC, SoD-Regeln)
  • Berechtigungsübersicht — aktueller Stand aller Berechtigungen pro Person und System

KPI

% der Zugriffsrechte, die in den letzten 12 Monaten überprüft und bestätigt wurden

Ziel: 100%. Gemessen über die Rezertifizierungskampagnen. Rechte, die nicht innerhalb des festgelegten Intervalls rezertifiziert wurden, senken den Wert. Typischer Startwert: 50–70%, da viele Organisationen keine systematische Rezertifizierung haben.

Ergänzende KPIs:

  • Durchschnittliche Dauer zwischen Rollenwechsel und Anpassung der Berechtigungen
  • Anteil der Berechtigungsänderungen mit dokumentierter Genehmigung
  • Anzahl der identifizierten Privilege-Creep-Fälle pro Rezertifizierungszyklus

BSI IT-Grundschutz

A.5.18 mappt auf die BSI-Anforderungen zur Berechtigungsverwaltung:

  • ORP.4 (Identitäts- und Berechtigungsmanagement) — verlangt dokumentierte Vergabe, regelmäßige Überprüfung und zeitnahen Entzug von Berechtigungen.
  • OPS.1.1.1.A2 (Ordnungsgemäße IT-Administration) — administrative Berechtigungen müssen besonders sorgfältig vergeben und überwacht werden.
  • OPS.1.1.2.A21 (Regelung der Zugriffsmöglichkeiten bei Fernwartung) — Fernwartungszugriffe brauchen eigene Berechtigungsregeln.

Verwandte Kontrollen

A.5.18 bildet den operativen Kern des Zugriffskontroll-Blocks:

Quellen

Häufig gestellte Fragen

Was bedeutet Rezertifizierung von Zugriffsrechten?

Rezertifizierung heißt: Die zugewiesenen Berechtigungen werden regelmäßig überprüft und aktiv bestätigt oder entzogen. Der Asset-Eigentümer oder die Führungskraft bestätigt: ‚Ja, diese Person braucht diesen Zugriff noch.' Berechtigungen, die nicht bestätigt werden, werden entzogen.

Wie oft muss rezertifiziert werden?

ISO 27001 nennt keine Frequenz. Bewährte Praxis: vierteljährlich für privilegierte Zugriffe, jährlich für alle anderen. Zusätzlich anlassbezogen bei Rollenwechsel, Abteilungswechsel oder Organisationsänderungen.

Was ist das Least-Privilege-Prinzip?

Jede Person erhält nur die Berechtigungen, die sie für ihre aktuelle Aufgabe benötigt — und keine darüber hinaus. Der Standardzustand ist ‚kein Zugriff'. Rechte werden aktiv beantragt und genehmigt, nie pauschal vergeben.