A.8.3 — Einschränkung des Informationszugriffs

Auf dem Dateiserver hat die gesamte Belegschaft Zugriff auf den Ordner „Management” — inklusive Gehaltslisten, Kündigungsschreiben und strategischer Planungen. Die Zugriffskontrollrichtlinie existiert, aber niemand hat sie technisch umgesetzt. A.8.3 schließt diese Lücke: Die Kontrolle verlangt, dass dokumentierte Zugriffsbeschränkungen auch tatsächlich in den Systemen durchgesetzt werden.

Während A.5.15 die Regeln definiert, verlangt A.8.3 deren technische Umsetzung. Das umfasst Identitätsprüfung, rollenbasierte Zugriffskontrolle und die dynamische Steuerung, wer wann auf welche Daten zugreifen darf.

Was verlangt die Norm?

Zugriff gemäß Richtlinie einschränken. Der Zugang zu Informationen und zugehörigen Werten muss technisch entsprechend der Zugriffskontrollrichtlinie beschränkt werden.
Identitäts- und rollenbasierte Kontrolle. Zugriff wird auf Basis der Benutzeridentität, der Rolle und spezifischer Berechtigungen (Lesen, Schreiben, Löschen) gesteuert.
Dynamisches Zugriffsmanagement. Echtzeitkontrollen ermöglichen es, Zugriff abhängig von Kontext (Zeitpunkt, Standort, Gerät) zu gewähren oder einzuschränken.
Ausgabefunktionen beschränken. Drucken, Kopieren, Export und ähnliche Funktionen können für sensible Daten eingeschränkt werden.
Verschlüsselung ergänzt Zugriffskontrolle. Für besonders sensible Daten kann Verschlüsselung sicherstellen, dass selbst bei Zugriff auf das Speichermedium kein Lesezugriff möglich ist.

In der Praxis

Rollenmodell erstellen und pflegen. Definiere für jede Abteilung und Funktion, welche Zugriffsrechte benötigt werden. Dieses Rollenmodell bildet die Brücke zwischen der organisatorischen Richtlinie (A.5.15) und der technischen Umsetzung (A.8.3).

Berechtigungsgruppen in Verzeichnisdiensten abbilden. Active Directory, Azure AD oder LDAP-Gruppen bilden die Rollen technisch ab. Jede Gruppe hat definierte Zugriffsrechte auf Dateiserver, Anwendungen und Systeme. Individuelle Berechtigungen sind ein Warnsignal — sie lassen sich kaum sinnvoll verwalten.

Zugriffsmatrix aktuell halten. Die Zugriffskontrollmatrix aus A.5.15 muss mit der technischen Realität übereinstimmen. Quartalsweise Abgleiche zwischen dokumentierten und tatsächlichen Berechtigungen decken Abweichungen auf, bevor der Auditor sie findet.

Typische Audit-Nachweise

Auditoren erwarten bei A.8.3 typischerweise diese Nachweise:

Zugriffskontrollmatrix — Rolle-System-Zuordnung mit Berechtigungsniveaus (→ Zugriffskontrollrichtlinie im Starter Kit)
AD-/LDAP-Gruppenstruktur — Export der Berechtigungsgruppen mit zugeordneten Mitgliedern
Anwendungsspezifische Berechtigungen — Rollenmodelle in ERP, CRM und Fachanwendungen
Abgleichprotokolle — Nachweis des Soll-Ist-Vergleichs zwischen Richtlinie und technischer Umsetzung
Zugriffsprotokoll-Stichprobe — Logs, die zeigen, dass unbefugte Zugriffsversuche erkannt und blockiert werden

KPI

Anteil der Systeme mit durchgesetzter rollenbasierter Zugriffsbeschränkung

Gemessen als Prozentsatz: Wie viele deiner informationsverarbeitenden Systeme setzen die Zugriffskontrollrichtlinie technisch durch? Ziel: 100%. Systeme ohne rollenbasierte Beschränkung müssen über kompensatorische Maßnahmen abgesichert werden.

Ergänzende KPIs:

Anzahl der individuellen (nicht rollenbasierten) Berechtigungen (Ziel: abnehmend)
Anteil der Systeme mit aktuellem Soll-Ist-Abgleich der Berechtigungen
Anzahl der erkannten unbefugten Zugriffsversuche pro Monat

BSI IT-Grundschutz

A.8.3 mappt auf den BSI-Baustein für Berechtigungsmanagement und die Verzeichnisdienste:

ORP.4 (Identitäts- und Berechtigungsmanagement) — definiert die organisatorischen und technischen Anforderungen an Zugriffsbeschränkungen: Berechtigungskonzept, Dokumentation, Rezertifizierung, Funktionstrennung.
APP.2.1–APP.2.3 (Verzeichnisdienste) — technische Umsetzung über Active Directory, LDAP und vergleichbare Systeme. Verlangt sichere Konfiguration, Gruppenrichtlinien und Protokollierung.

Quellen

ISO/IEC 27001:2022 Annex A, Control A.8.3 — Einschränkung des Informationszugriffs
ISO/IEC 27002:2022 Abschnitt 8.3 — Umsetzungshinweise zur Zugriffsbeschränkung
BSI IT-Grundschutz, ORP.4 — Identitäts- und Berechtigungsmanagement

Häufig gestellte Fragen

Was ist der Unterschied zwischen A.5.15 und A.8.3?

A.5.15 definiert die organisatorischen Regeln (wer darf was). A.8.3 verlangt die technische Durchsetzung dieser Regeln in den Systemen — über Rollenmodelle, Berechtigungsgruppen und Zugriffskontrollen auf Anwendungsebene.

Muss jedes System rollenbasierte Zugriffskontrolle unterstützen?

Die Norm verlangt, dass der Zugriff entsprechend der Richtlinie eingeschränkt wird. Rollenbasierte Zugriffskontrolle (RBAC) ist die gängigste Umsetzung. Systeme, die kein RBAC unterstützen, brauchen alternative Maßnahmen — etwa manuelle Berechtigungslisten mit regelmäßiger Überprüfung.

Gehört die Einschränkung von Druckfunktionen oder Screenshots zu A.8.3?

Ja. Die Kontrolle umfasst alle Formen der Zugriffsbeschränkung, einschließlich Lesen, Schreiben, Löschen, Drucken und Exportieren. Wenn sensible Daten vor Abfluss geschützt werden sollen, kann die Einschränkung von Drucken, Screenshots oder Copy-Paste Teil der Umsetzung sein.

Responsible	IT-Administrator
Accountable	ISB
Consulted	Asset-Eigentümer, IT-Leitung, IT-Sicherheitsbeauftragter, Rechtsabteilung
Informed	Alle Beschäftigten, Asset-Eigentümer, Abteilungsleitung, IT-Leitung, Incident-Response-Team, Interne Revision, Rechtsabteilung, Geschäftsführung