Compliance-Lexikon · Praxis
Access Control – Praxis
Access Control ist in jedem Framework als Basisanforderung gelistet – trotzdem scheitern Audits regelmäßig daran, dass Zugriffsrechte nicht dokumentiert, nicht aktuell oder nicht nachweisbar durchgesetzt sind. Dieser Artikel zeigt, was konkret vorzubereiten ist.
Was Auditoren konkret prüfen
Der Auditor erwartet kein perfektes System, aber einen nachweisbaren Prozess: Wer vergibt Rechte, nach welchen Kriterien, und wer prüft regelmäßig, ob die Vergabe noch korrekt ist?
Häufige Fehler
- Access Reviews werden durchgeführt, aber nicht datiert dokumentiert
- Berechtigungskonzept existiert, wird aber nicht gelebt
- Privilegierte Accounts ohne separate Kontrolle
Praxis-Tipp
Ein Access Review, der nicht schriftlich dokumentiert ist, zählt im Audit nicht. Datum, Scope, Reviewer und Ergebnis müssen festgehalten sein – am besten als BAM-Evidence-Objekt mit Zeitstempel.
Berechtigungskonzept: Mindestinhalt
Ein Berechtigungskonzept für NIS-2 und ISO 27001 muss mindestens enthalten: Rollenmodell mit Beschreibung der Zugriffsrechte je Rolle, Prozess zur Rechtevergabe und zum Rechtsentzug, Regelung für privilegierte Accounts, Reviewzyklus (mindestens jährlich) und Verantwortlichkeiten. Ein einseitiges Dokument, das diese Punkte abdeckt, ist auditrelevanter als ein 50-seitiges Konzept ohne nachweisbare Umsetzung.
Evidence-Anforderungen im Audit
Vorzulegen sind: aktuelles Berechtigungskonzept mit Datum, Protokoll des letzten Access Reviews, Nachweis, dass ausgeschiedene Mitarbeiter-Accounts deaktiviert wurden, und eine Liste privilegierter Konten mit MFA-Status. Das BAM-Objekt GOV-AC-01 strukturiert diese Evidence-Anforderungen als prüfbare Liste.
Nächster Schritt
NIS-2-Stresstest starten
Kostenloser Compliance-Stresstest auf Basis der BAM-Objekte – unverbindlich, 20 Minuten.
Die strategische Einordnung – warum Access Control als Steuerungsinstrument weit über die technische Kontrolle hinausgeht – findet sich auf Ebene 3.