Zugang & Identitäten (5.15–5.18)

Identität & Zugang

Die Maßnahmen 5.15–5.18 bilden den organisatorischen Kern des Identitäts- und Zugangsmanagements (IAM). Sie regeln, wer auf was zugreifen darf – ein Lieblingsziel von Angreifern und damit eine der wichtigsten Maßnahmengruppen. Die technische Umsetzung folgt in 8.1–8.5.

5.15 Zugangssteuerung

Regeln für den physischen und logischen Zugriff auf Informationen werden auf Basis von Geschäfts- und Sicherheitsanforderungen festgelegt. Zwei Leitprinzipien:

• Need-to-know: Zugriff nur auf das, was man für die Aufgabe wirklich braucht.
• Least Privilege: so wenige Rechte wie möglich.

Oft umgesetzt als rollenbasierte Zugriffssteuerung (RBAC): Rechte hängen an Rollen, nicht an Einzelpersonen.

5.16 Identitätsmanagement

Der gesamte Lebenszyklus von Identitäten wird verwaltet – von der Erstellung über Änderungen bis zur Löschung. Jede Identität ist eindeutig; geteilte Konten sind zu vermeiden, weil sie die Nachvollziehbarkeit zerstören.

Joiner ──► Mover ──► Leaver   (JML-Prozess)
anlegen   Rolle      sperren &
& Rechte  ändern     entziehen

5.17 Authentisierungsinformationen

Umfasst die Verwaltung von Passwörtern, Schlüsseln und anderen Geheimnissen: sichere Vergabe, Speicherung (gehasht, nie im Klartext) und Beratung der Nutzer. Hier zahlen Mehr-Faktor-Authentisierung (MFA) und gute Passwortpraxis ein.

Praktisch ausprobieren: Passwort-Stärke prüfen, einen sicheren Passwort-Generator nutzen oder TOTP (zweiter Faktor) verstehen.

5.18 Zugangsrechte

Zugangsrechte werden gemäß den Regeln bereitgestellt, überprüft, geändert und entfernt. Besonders wichtig sind regelmäßige Rezertifizierungen: Hat die Person die Rechte noch nötig? So wird „Privilege Creep" (angesammelte Altrechte) verhindert. Beim Austritt müssen Rechte unverzüglich entzogen werden.

Das Zusammenspiel