A.5.3 — Aufgabentrennung

Ein IT-Administrator beantragt sich selbst Admin-Zugriff auf ein Produktionssystem, genehmigt den Antrag und dokumentiert anschließend die Prüfung. Drei Rollen, eine Person, null Kontrolle. A.5.3 fordert, dass konfliktträchtige Aufgaben und Verantwortlichkeiten auf verschiedene Personen verteilt werden.

Die Aufgabentrennung (Segregation of Duties) ist eine der ältesten Kontrollen der internen Revision. Sie reduziert das Risiko von Betrug, unbeabsichtigten Fehlern und der Umgehung anderer Sicherheitskontrollen.

Was verlangt die Norm?

Konfligierende Aufgaben identifizieren. Die Organisation muss analysieren, welche Aufgaben und Rollen sich gegenseitig ausschließen sollten, weil ihre Kombination ein erhöhtes Risiko darstellt.
Aufgaben auf verschiedene Personen verteilen. Wo eine Rollenkombination zu Betrug oder Fehlern führen könnte, werden die Aufgaben getrennt.
Kompensierende Maßnahmen bei Nicht-Trennbarkeit. Wenn Trennung organisatorisch unmöglich ist (z. B. bei sehr kleinen Teams), müssen kompensierende Kontrollen greifen — Überwachung, Protokollierung, Management-Review.
Technische Durchsetzung. Die Funktionstrennung wird durch technische Maßnahmen unterstützt — etwa rollenbasierte Zugriffskontrolle, die verhindert, dass eine Person beide Rollen gleichzeitig ausübt.

In der Praxis

Kritische Prozesskombinationen identifizieren. Gehe deine sicherheitsrelevanten Prozesse durch und markiere, wo eine Personenidentität zwischen Beantragung, Genehmigung, Durchführung und Kontrolle ein Risiko darstellt. Typische Fälle: Berechtigungsverwaltung, Änderungsmanagement, Beschaffung, Finanzprozesse.

Rollenbasierte Zugriffskontrolle nutzen. Definiere technische Rollen in deinem IAM-System, die eine gleichzeitige Zuweisung konfligierender Berechtigungen verhindern. Viele IAM-Tools bieten native SoD-Regeln (Segregation of Duties).

Ausnahmen dokumentieren und kompensieren. In kleinen Teams ist vollständige Trennung oft unrealistisch. Dokumentiere jede Ausnahme mit Begründung und kompensierenden Maßnahmen. Typische Kompensationen: Vier-Augen-Prinzip, Protokollierung mit regelmäßigem Review, Stichprobenprüfung durch die Geschäftsführung.

Regelmäßig überprüfen. Rollenzuweisungen verändern sich mit der Zeit. Prüfe mindestens jährlich, ob die Funktionstrennung noch eingehalten wird — besonders nach Umstrukturierungen oder Personalwechseln.

Typische Audit-Nachweise

Auditoren erwarten bei A.5.3 typischerweise diese Nachweise:

Konflikttabelle — dokumentierte Aufstellung der Rollen, die sich gegenseitig ausschließen
Rollenzuweisungen — aktueller Stand der Rollenvergabe im IAM-System oder in einer Matrix
Ausnahmendokumentation — Begründung und kompensierende Maßnahmen für nicht trennbare Rollen
Prüfprotokolle — Nachweis der regelmäßigen Überprüfung der Funktionstrennung
Systemkonfiguration — Screenshots oder Exporte, die technische SoD-Regeln belegen

KPI

% der kritischen Prozesse mit dokumentierter und umgesetzter Funktionstrennung

Dieser KPI misst, wie konsequent du Funktionstrennung umsetzt. Ziel: 100% für alle als kritisch eingestuften Prozesse. Prozesse ohne Funktionstrennung, die keine dokumentierte Ausnahme mit Kompensation haben, senken den Wert.

Ergänzende KPIs:

Anzahl der identifizierten SoD-Konflikte pro Quartal
Anteil der SoD-Konflikte mit dokumentierten kompensierenden Maßnahmen
Mittlere Behebungsdauer für identifizierte SoD-Verstöße

BSI IT-Grundschutz

A.5.3 mappt auf die BSI-Anforderungen zur Funktionstrennung:

ORP.1.A4 (Funktionstrennung zwischen operativen und kontrollierenden Aufgaben) — verlangt, dass operative Durchführung und Kontrolle in sicherheitsrelevanten Bereichen nicht von derselben Person wahrgenommen werden.
ORP.4.A4 (Vergabe von Berechtigungen) — die Vergabe von Berechtigungen muss durch eine andere Person als den Antragsteller genehmigt werden.

Quellen

ISO/IEC 27001:2022 Annex A, Control A.5.3 — Aufgabentrennung
ISO/IEC 27002:2022 Abschnitt 5.3 — Umsetzungshinweise
BSI IT-Grundschutz, ORP.1 — Organisation und Personal

Häufig gestellte Fragen

Was mache ich, wenn mein Team zu klein für Funktionstrennung ist?

Bei kleinen Teams ist vollständige Funktionstrennung oft nicht möglich. ISO 27002 sieht das vor: Wenn Trennung nicht umsetzbar ist, musst du kompensierende Maßnahmen einführen — etwa verstärkte Protokollierung, regelmäßige Management-Reviews oder unabhängige Stichprobenkontrollen.

Welche Prozesse erfordern zwingend Funktionstrennung?

Typische Kandidaten: Berechtigungsvergabe (Beantragung vs. Genehmigung), Änderungsmanagement (Entwicklung vs. Freigabe vs. Deployment), Finanztransaktionen (Buchung vs. Freigabe), Audit (Prüfung vs. geprüfter Bereich). Je höher das Schadensausmass bei Missbrauch, desto wichtiger die Trennung.

Wie prüfe ich, ob Funktionstrennung eingehalten wird?

Erstelle eine Konflikttabelle: Für jeden kritischen Prozess dokumentierst du, welche Rollen sich gegenseitig ausschließen. Dann gleichst du die Tabelle mit den tatsächlichen Rollenzuweisungen ab. IAM-Systeme können diese Prüfung automatisieren (Segregation-of-Duties-Regeln).

Responsible	IT-Admin
Accountable	Geschäftsführung
Consulted	Asset-Eigentümer, HR, IT-Leitung, IT-Admin, IT-Sicherheitsbeauftragter, interne Revision, Risikoverantwortliche, Software-Entwicklungsleitung
Informed	IT-Admin, IT-Sicherheitsbeauftragter, Software-Entwicklung