A.8.2 — Privilegierte Zugriffsrechte

In vielen Organisationen kennt der IT-Leiter das Passwort für den Domain-Admin, zwei Kollegen teilen sich ein generisches Root-Konto, und der ehemalige Praktikant hat immer noch lokale Admin-Rechte auf seinem alten Rechner. Privilegierte Zugriffsrechte sind der Generalschlüssel zur IT-Infrastruktur — und A.8.2 verlangt, dass dieser Schlüssel streng kontrolliert wird.

Ein kompromittiertes Admin-Konto kann in Minuten die gesamte IT-Umgebung lahmlegen. Die Kontrolle fordert deshalb, dass privilegierte Rechte ausschließlich an autorisierte Personen vergeben, zeitlich begrenzt, separat authentifiziert und regelmäßig überprüft werden.

Was verlangt die Norm?

Restriktive Vergabe. Privilegierte Rechte werden nur an Personen vergeben, die sie für ihre Aufgabe nachweislich benötigen — nach einem formalen Genehmigungsprozess.
Separate Authentifizierung. Für privilegierte Aktionen ist eine erneute Authentifizierung erforderlich. Separate Benutzer-IDs für administrative Aufgaben sind der Standard.
Zeitliche Begrenzung. Privilegierte Rechte werden nur so lange gewährt, wie sie benötigt werden. Dauerhafte Admin-Rechte sind die Ausnahme.
Protokollierung aller Aktionen. Jede mit privilegierten Rechten durchgeführte Aktion wird protokolliert und ist nachvollziehbar.
Regelmäßige Überprüfung. Die Berechtigung wird periodisch überprüft und bei Bedarf entzogen.

In der Praxis

Privilegierte Konten inventarisieren. Erstelle eine vollständige Liste aller privilegierten Konten — Domain-Admins, lokale Admins, Root-Konten, Datenbankadmins, Firewall-Konten, Dienstkonten. Viele Organisationen entdecken bei dieser Übung Konten, von deren Existenz niemand wusste.

Just-in-Time-Zugriff einführen. Statt permanenter Admin-Rechte erhalten Benutzer Zugriff nur bei Bedarf und für einen definierten Zeitraum. Privileged Access Management (PAM) Tools wie CyberArk, BeyondTrust oder open-source-Alternativen automatisieren diesen Prozess.

Generische Konten eliminieren. Das „admin”-Konto, das sich fünf Leute teilen, macht jede Nachvollziehbarkeit unmöglich. Jede Person bekommt ein eigenes privilegiertes Konto. Dienstkonten werden einem verantwortlichen Eigentümer zugeordnet.

Notfallzugriff definieren. Für den Fall, dass ein Admin ausfällt, braucht es ein dokumentiertes Break-Glass-Verfahren: versiegelter Umschlag, Vier-Augen-Prinzip, sofortige Protokollierung und Passwort-Rotation nach Nutzung.

Typische Audit-Nachweise

Auditoren erwarten bei A.8.2 typischerweise diese Nachweise:

Inventar privilegierter Konten — vollständige Liste mit Eigentümer, Berechtigungsniveau und letzter Überprüfung
Genehmigungsnachweise — dokumentierte Anträge und Freigaben für privilegierte Rechte
Rezertifizierungsprotokolle — Nachweis der quartalsweisen Überprüfung (→ Zugriffskontrollrichtlinie im Starter Kit)
Protokolle privilegierter Sitzungen — Audit-Logs aller Admin-Aktionen
Break-Glass-Dokumentation — Verfahren und Nutzungsprotokolle des Notfallzugriffs

KPI

Anteil der privilegierten Konten, die im definierten Zyklus überprüft und revalidiert wurden

Gemessen als Prozentsatz: Wie viele deiner privilegierten Konten wurden innerhalb des definierten Zeitraums (typisch: Quartal) überprüft und bestätigt oder entzogen? Ziel: 100%. Ein Wert unter 100% bedeutet, dass unkontrollierte Admin-Rechte existieren.

Ergänzende KPIs:

Anzahl generischer/gemeinsam genutzter Admin-Konten (Ziel: 0)
Anteil der privilegierten Zugriffe über PAM-Lösung (Ziel: 100%)
Mittlere Dauer zwischen Rollenänderung und Entzug privilegierter Rechte

BSI IT-Grundschutz

A.8.2 mappt primär auf den BSI-Baustein für die Administration von IT-Systemen:

OPS.1.1.2 (Ordnungsgemäße IT-Administration) — der Kernbaustein. Verlangt separate Admin-Konten, Protokollierung administrativer Tätigkeiten, Vier-Augen-Prinzip bei kritischen Änderungen und regelmäßige Überprüfung der Berechtigungen.
ORP.4 (Identitäts- und Berechtigungsmanagement) — ergänzende Anforderungen zur Verwaltung privilegierter Berechtigungen im Rahmen des übergreifenden Berechtigungskonzepts.

Quellen

ISO/IEC 27001:2022 Annex A, Control A.8.2 — Privilegierte Zugriffsrechte
ISO/IEC 27002:2022 Abschnitt 8.2 — Umsetzungshinweise zu privilegierten Zugriffsrechten
BSI IT-Grundschutz, OPS.1.1.2 — Ordnungsgemäße IT-Administration

Häufig gestellte Fragen

Was genau sind privilegierte Zugriffsrechte?

Alle Rechte, die über den normalen Benutzerzugriff hinausgehen: lokale Administrator-Rechte, Root-Zugang, Domain-Admin, Datenbankadministration, Firewall-Konfiguration. Auch Dienstkonten mit weitreichenden Berechtigungen fallen darunter.

Dürfen Entwickler Admin-Rechte auf ihren Entwicklungsrechnern haben?

Ja, wenn es dokumentiert, genehmigt und zeitlich begrenzt ist. Die Norm verlangt Least Privilege — Entwickler brauchen oft erweiterte Rechte, aber diese sollten auf die Entwicklungsumgebung beschränkt bleiben und regelmäßig überprüft werden.

Wie oft sollten privilegierte Konten rezertifiziert werden?

Quartalsweise ist gängige Praxis. Bei besonders kritischen Systemen (Domain Controller, Firewall, Datenbank-Server) empfiehlt sich eine monatliche Überprüfung. Jede Rezertifizierung muss dokumentiert werden.

Responsible	IT-Administrator
Accountable	ISB
Consulted	Asset-Eigentümer, Abteilungsleitung, HR-Leitung, IT-Sicherheitsbeauftragter, Risikoeigentümer, Geschäftsführung
Informed	Alle Beschäftigten, IT-Leitung, Interne Revision, Geschäftsführung