Access Control

Warum Access Control zentral ist

Unkontrollierter Zugriff ist die häufigste Ursache für Datenschutzverletzungen und Compliance-Verstöße. Jedes Framework – von ISO 27001 bis DORA – fordert Access Control als Grundkontrolle. Ohne strukturierte Zugriffsvergabe lässt sich weder Segregation of Duties noch ein belastbares Audit Trail umsetzen.

Wo Access Control gefordert wird

Framework	Referenz	Anforderung
ISO 27001:2022	A.8.3	Zugriff auf Informationen und Systeme muss nach dem Need-to-know-Prinzip vergeben und dokumentiert sein.
NIS-2 / BSIG	§ 30 Abs. 2d	Zugangs- und Zugriffskontrollen sind als technische Basismaßnahme verpflichtend.
DORA	Art. 9 Abs. 2	Finanzunternehmen müssen strikte Zugriffskontrollen für IKT-Systeme implementieren.
DSGVO	Art. 32	Geeignete technische Maßnahmen zur Sicherung personenbezogener Daten, inkl. Zugriffsbeschränkung.

BAM-Objektreferenz

Häufige Audit-Fehler

• Zugriffsrechte werden nach Rollenwechsel nicht entzogen (Stale Permissions)
• Shared Accounts ohne individuelle Zuordnung
• Keine regelmäßigen Access Reviews dokumentiert
• Privilegierte Konten ohne MFA-Schutz

Abgrenzung: Access Control vs. Identity Management

Identity Management (IdM) befasst sich damit, wer jemand ist – also die Verwaltung digitaler Identitäten. Access Control regelt, was diese Identität darf. Beide greifen ineinander: Ein IdM-System ohne durchgesetzte Access-Control-Regeln ist ebenso wirkungslos wie Access Control ohne saubere Identitätsverwaltung. Für NIS-2 und ISO 27001 müssen beide Ebenen nachweisbar implementiert sein.

Modelle der Zugriffskontrolle

Die gängigsten Modelle sind Role-Based Access Control (RBAC), bei dem Rechte über Rollen vergeben werden, Attribute-Based Access Control (ABAC), das kontextabhängige Regeln ermöglicht, und das Prinzip der minimalen Rechtevergabe (Least Privilege). Für Audit-Zwecke ist RBAC am verbreitetsten, weil Rollenzuweisungen einfach dokumentierbar und prüfbar sind.

Verwandte Begriffe