Compliance-Lexikon · Governance
Need to Know
[niːd tuː nəʊ] · auch: Kenntnis-auf-Notwendigkeit-Prinzip, Need-to-Know-Prinzip
Das Need-to-Know-Prinzip besagt, dass Zugang zu Informationen nur für Personen gewährt wird, die diese Informationen für ihre Aufgaben tatsächlich benötigen – als ergänzendes Prinzip zu Least Privilege mit dem Fokus auf inhaltliche statt technische Zugriffsbeschränkung.
Warum Need to Know ein Governance-Kernbegriff ist
Need to Know ist eine der Grundanforderungen jedes reifen IT-Compliance-Programms. Die relevanten Frameworks – ISO 27001, NIS-2 und DORA – setzen Need to Know als Voraussetzung für ein wirksames Sicherheits- und Compliance-Programm voraus. Im Audit ist es ein Standardpruefpunkt: nicht ob die Organisation den Begriff kennt, sondern ob sie ihn nachweislich umsetzt.
Wo Need to Know gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | A.5.15 | Zugriffskontrolle: Need-to-Know als Prinzip für die Rechtevergabe auf Informationsebene. |
| NIS-2 / BSIG | § 30 Abs. 2b | Zugriffskontrolle und Informationsklassifizierung als Mindestmassnahmen. |
| DSGVO | Art. 5 Abs. 1b | Zweckbindung: Personenbezogene Daten dürfen nur für den festgelegten Zweck verarbeitet werden. |
| VS-NfD | vollständig | Verschlusssachen-Regelwerk: Need-to-Know als zentrales Prinzip für den Umgang mit Verschlusssachen. |
| BSI IT-Grundschutz | ORP.4 / CON.3 | Zugriffsberechtigungen und Datenschutz: Need-to-Know als Grundschutz-Prinzip. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Konzept verstanden, aber nicht formal dokumentiert
- Richtlinie vorhanden, aber nicht genehmigt und nicht kommuniziert
- Keine regelmäßige Überprüfung der Umsetzung
- Fehlende Evidence für den Auditor
Kernelemente in der Praxis
Ein wirksames Need to Know-Programm benötigt vier Elemente: erstens eine dokumentierte Richtlinie oder Rollendefinition, die formal genehmigt und kommuniziert wurde; zweitens die operative Umsetzung mit konkreten Massnahmen und Verantwortlichkeiten; drittens regelmäßige Überprüfung der Wirksamkeit – mindestens jährlich; und viertens lueckenlose Evidence für den Audit-Nachweis. Fehlt eines dieser Elemente, entsteht ein klassischer Audit-Befund: Richtlinie vorhanden, aber nicht gelebt, oder gelebt, aber nicht nachgewiesen.
Abgrenzung und Einordnung
Need to Know steht nicht allein, sondern in einem Zusammenhang mit anderen Governance-Instrumenten. Die Wirksamkeit hängt davon ab, dass übergeordnete Strukturen – Board Oversight, CISO-Funktion, Compliance-Framework – vorhanden und aktiv sind. Ein Need to Know-Programm ohne eingebundenes Leitungsorgan und ohne ausreichende Ressourcen wird formal erfüllt, aber nicht wirksam sein.
Nächste Ebene
Need to Know in der Praxis: Umsetzung, Nachweise und Evidence
Was Auditoren bei Need to Know konkret prüfen und welche Evidence benötigt wird.