Logo der activeMind AG

ISO 27002Kapitel 5.3 Aufgabentrennung

Die ISO 27002 definiert den Grundsatz der Aufgabentrennung in Kapitel 5.3 als eine der organisatorischen Maßnahmen zur Umsetzung von Informationssicherheit. Wir beleuchten verschiedene organisatorische Lösungen im Rahmen der Aufgabentrennung in der Informationssicherheit.

Hinweis: Die folgenden Erklärungen beziehen sich auf die deutschen Versionen der Normen DIN EN ISO/IEC 27001:2024 sowie ISO 27002:2022.

Aufgabentrennung nach ISO 27002

Die Aufgabentrennung ist ein wichtiger Grundsatz der Informationssicherheit, der die Notwendigkeit der Aufteilung von Verantwortlichkeiten und Befugnissen im Zusammenhang mit der Verwaltung von Informationssicherheitssystemen und -ressourcen betont. Die Einhaltung dieses Prinzips kann das Risiko von Interessenkonflikten und Fehlern bei der Informationsverarbeitung und -nutzung reduzieren.

Folgende Lösungen bieten sich zur Aufgabentrennung im Sinne des Kapitel 5.3 der ISO 27002 an:

Klare Definition und Verteilung von Aufgaben

Zunächst ist es erforderlich, die einzelnen Verantwortungsberieche klar voneinander abzugrenzen. Dazu müssen die Aufgaben konkret definiert und die zugrundeliegenden Interessen und mögliche Konflikte ermittelt werden.

Rollenbasierte Zugriffssteuerung (RBAC)

Die Rollenbasierte Zugriffskontrolle (RBAC) ist ein Verfahren zur Aufgabentrennung, das auf der Zuweisung von Rollen und Berechtigungen basiert. Dabei werden den Mitarbeitern nur (Zugriffs-) Rechte zugewiesen, die für ihre jeweilige Rolle innerhalb der Organisation erforderlich sind. RBAC kann dazu beitragen, das Risiko von Interessenkonflikten und Fehlern zu minimieren, indem es sicherstellt, dass Mitarbeiter nur auf die Informationen und Ressourcen zugreifen können, die für ihre Arbeit relevant sind.

Least Privilege

Ergänzend zur RBAC fungiert Least Privilege. Das Prinzip besagt, dass Mitarbeiter nur die geringsten Zugriffsrechte haben sollten, die für die Ausführung ihrer Aufgaben erforderlich sind. Dadurch wird das Risiko von unbefugtem Handeln und Missbrauch eingeschränkt, da Mitarbeiter nur auf die Informationen und Ressourcen zugreifen können, die sie benötigen, um ihre Arbeit zu erledigen.

Vier-Augen-Prinzip/Dual Control

Dual Control ist eine weitere Möglichkeit der Aufgabentrennung, die insbesondere bei kritischen Geschäftsprozessen und -systemen eingesetzt wird. Dual Control bedeutet, dass zwei oder mehr Personen zusammenarbeiten müssen, um eine bestimmte Aufgabe auszuführen. Dadurch wird sichergestellt, dass kein Mitarbeiter allein in der Lage ist, kritische Entscheidungen zu treffen oder Zugriff auf kritische Ressourcen zu haben. Die Aufgabenbearbeitung ist nur möglich, wenn sich mindestens zwei verschiedene Personen damit befasst haben.

Segregation of Duties

Die Segregation of Duties (SoD) ist ein bewährtes Verfahren zur Aufgabentrennung, das in vielen Organisationen angewendet wird. SoD bezieht sich auf die Verteilung von Aufgaben und Verantwortlichkeiten auf verschiedene Personen, um sicherzustellen, dass keine Person allein in der Lage ist, kritische Prozesse oder Systeme zu steuern oder zu kontrollieren. SoD kann dazu beitragen, das Risiko von Fehlern, Betrug und Missbrauch zu minimieren, indem sie die Verantwortlichkeiten und Befugnisse auf verschiedene Personen aufteilt und somit eine effektive gegenseitige Kontrolle ermöglicht.

Räumlich getrennte Arbeitsbereiche

Getrennte Arbeitsbereiche stellen sicher, dass Aufgaben, die einer speziellen Arbeitsteilung unterliegen, nur in bestimmten Räumlichkeiten durchgeführt werden können. Dadurch wird verhindert, dass Mitarbeiter Zugang zu Informationen erlangen, für die sie nicht zuständig sind.

Aufgabenrotation

Eine weitere mögliche Lösung zur Umsetzung der Aufgabentrennung in der Informationssicherheit besteht darin, die Aufgaben und Verantwortlichkeiten der Mitarbeiter regelmäßig zu rotieren. Dadurch, dass kein Mitarbeiter zu lange in einer Rolle bleibt, die ihm weitreichende Befugnisse verleiht, können Fähigkeiten und Erfahrungen verbessert, aber auch die Effektivität der Sicherheitsmaßnahmen erhöht werden.

Der Beitrag von Aufgabentrennung zur Informationssicherheit

Die Aufgabentrennung bei entgegenstehenden Interessen und kritischen Prozessen ist wichtig, um keine Konflikte zu verursachen oder ein Missbrauchspotential zu eröffnen. Damit gehört die gezielte Differenzierung der Zuständigkeitsbereiche von Mitarbeitern zu einem funktionierenden Informationssicherheitssystem. Die obigen Maßnahmen tragen zu einem verantwortungsvollen Umgang diesbezüglich bei und helfen Sicherheitslücken zu vermeiden.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Für die Zertifizierung nach ISO 27001 erstellen wir für unsere Kunden ein Organisationskonzept, in dem Rollen im Bereich der Informationssicherheit einzeln definiert werden. Hierbei achten wir insbesondere auf notwendige Funktionstrennung und Abgrenzung. Die zu empfehlenden technischen Maßnahmen werden dann im Rahmen eines Berechtigungskonzeptes konsequent umgesetzt.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.