Zugriffskontrolle
2025-01-01

Überblick#

Zugriffskontrolle regelt, wie Identitäten ihre Berechtigung nachweisen und welche Ressourcen sie nutzen dürfen. Reife Programme kombinieren starke Authentifizierung, präzise Autorisierungsrichtlinien und kontinuierliche Bewertung (z. B. Gerätezustand oder Risikosignale), um Least-Privilege ohne Geschäftsblockaden sicherzustellen.

Kernziele#

  • Verantwortlichkeiten für Richtlinien, Durchsetzungspunkte und zugrunde liegende Identitätsquellen klar festlegen.
  • Berechtigungen eng an Rollen binden und zügig entziehen, wenn sie nicht mehr benötigt werden.
  • Nachvollziehbare Protokolle bereitstellen, wer wann worauf zugegriffen hat und mit welcher Genehmigung.
  • Anforderungen aus Normen und Verträgen erfüllen (z. B. ISO 27001 A.9, SOC 2 CC6).

Umsetzungshinweise#

  • Einen zentralen Identity Provider für Belegschaftsidentitäten standardisieren; Ausnahmen dokumentieren.
  • Rollenbasierte Modelle für vorhersehbare Zugriffe nutzen und attributbasierte Regeln für kontextabhängige Risiken (Geräte-Health, Standort, Zeit).
  • Starke Authentifizierung (FIDO2/WebAuthn, wo möglich) und Conditional Access für Administrationsrollen erzwingen.
  • Aufgaben trennen: Bereitstellung (HR-Feed), Genehmigung (Vorgesetzte/Datenverantwortliche) und Durchsetzung (PDP/PEP wie IAM-Gateways, Cloud-IAM oder Service-Meshes).

Betriebssignale#

  • Frühindikatoren: Anstieg privilegierter Rollenzuweisungen, umgangene MFA-Prüfungen, veraltete Notfallkonten oder überfällige Rezertifizierungen.
  • Spätindikatoren: Unautorisierte Datenzugriffe, Auditbefunde oder Vorfälle durch überprivilegierte Dienstkonten.
  • Feedback-Schleifen: Monatliche Reviews, automatischer Entzug bei Offboarding und Nachkontrollen der Genehmigungsqualität.

Runbook-Essentials#

  • Standardablauf: Antragsteller → Vorgesetztenfreigabe → Daten-/Applikationsowner → automatisierte Bereitstellung.
  • Notfallzugriff: Break-Glass-Konten mit Hardware-Token, kurzer Laufzeit und verpflichtender Nachprüfung.
  • Rezertifizierung: Quartalsweise für kritische Systeme, halbjährlich für Standardanwendungen; Nachweise für Audits aufbewahren.

Verwandte Praktiken#

  • Mit Identity Proofing für Hochrisikorollen und Just-in-Time-Elevation für Admin-Sessions kombinieren.
  • In SIEM integrieren, um ungewöhnliche Privileg-Eskalationen oder Zugriffe von unsicheren Geräten zu melden.
  • Mit Netzsegmentierung und Datenklassifizierung koppeln, damit technische Kontrollen zur Datensensitivität passen.