Logo der activeMind AG

ISO 27002Kapitel 5.18 Zugangsrechte

Zugriff auf Informationen und Systeme sollten stets nur autorisierte Personen erhalten. Nach Sicherheitsnorm ISO 27002 kommen dafür einige organisatorische und technische Maßnahmen infrage, wie sie Kapitel 5.18 Zugangsrechte vorsieht.

Hinweis: Die folgenden Erklärungen beziehen sich auf die deutschen Versionen der Normen DIN EN ISO/IEC 27001:2024 sowie ISO 27002:2022.

Technische und organisatorische Maßnahmen bei Zugangsrechten

Erstellung und Umsetzung von Zugangsrichtlinien

Es ist grundlegend wichtig, die Voraussetzungen und den Prozess zu Vergabe, Änderung und Entzug von Zugangsrechten aufzustellen. Hierbei sollte neben den geschäftlichen Anforderungen beispielsweise auch berücksichtigt werden, welche Aufgaben voneinander getrennt sein müssen.

Regelmäßige Überprüfung von Zugangsrechten

Besonders wichtig ist auch die Aktualität der Zugriffsrechte und die Anpassung an die tatsächliche Situation und etwaige Änderungen im Unternehmen (z.B. neue Mitarbeiter, Stellenwechsel, Beförderungen, Kündigungen, etc.). Das schließt beispielsweise die Aufhebung bzw. Entfernung, Änderung, Anpassung des Umfangs und zeitliche Begrenzung von Rechten ein. Voraussetzung ist eine stetige Kontrolle und Überprüfung der Zugriffsrechte und der Unternehmenssituation. Ein regelmäßiger Überprüfungsprozess sollte also implementiert werden, um sicherzustellen, dass Benutzer nur die erforderlichen Rechte besitzen. Dies umfasst die Überprüfung von Benutzerkonten, Berechtigungen, Rollen und Zugriffsprotokollen. Die korrekte und aktuelle Dokumentation aller Zugriffrechte ist wesentliche Voraussetzung, diese Überprüfung überhaupt durchführen zu können.

Umsetzung eines Change-Management-Prozesses

Ein gut durchdachter Change-Management-Prozess ist wichtig, um Änderungen an Zugangsrechten zu überwachen und zu kontrollieren. Jede Änderung an Zugriffsrechten sollte dokumentiert, genehmigt und überwacht werden, um sicherzustellen, dass nur autorisierte Änderungen vorgenommen werden und keine unbefugten Zugriffsrechte entstehen. Dabei sollten Durchführung und Genehmigung durch verschiedene Personen vorgenommen werden (Aufgabentrennung).

Identitäts- und Zugriffsmanagement-System (Identity and Access Management, IAM)

Durch die Implementierung eines IAM-Systems können Zugriffsrechte basierend auf den Rollen und Verantwortlichkeiten der Benutzer effektiv verwaltet werden. Das IAM ermöglicht eine zentrale Verwaltung von Benutzerkonten, Berechtigungen und Passwörtern sowie die Durchführung von Authentifizierungs- und Autorisierungsprozessen. Es gibt verschiedene kommerzielle IAM-Systeme wie Microsoft Azure Active Directory, Okta oder IBM Security Identity Manager.

Berechtigungsmanagement und rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC)

Ein effektives Berechtigungsmanagement in Kombination mit RBAC ermöglicht es, Zugriffsrechte auf Basis von vordefinierten Rollen und Verantwortlichkeiten zu vergeben. Durch die Vergabe von Berechtigungen auf Rollenebene können Zugriffsrechte effizient verwaltet und die Gefahr von Überprivilegierung oder unbefugtem Zugriff reduziert werden.

Zugangsrechte in der ISO 27002

Die Zugangsrechte spielen eine entscheidende Rolle in der Informationssicherheit. Die oben genannten Vorgehensweisen und Maßnahmen tragen den Anforderungen des Abschnitts 5.18 der ISO 27002 Rechnung und ermöglichen einen verantwortungsvollen Umgang mit Daten in einem Unternehmen.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Die activeMind AG stellt ihren Mandanten ein maßgeschneidertes Berechtigungskonzept zur Verfügung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.