Zum Hauptinhalt springen
Informationssicherheit / NIS2

Zugriffskontrolle

Die Zugriffskontrolle umfasst alle organisatorischen und technischen Maßnahmen, mit denen Berechtigungen auf IT-Systeme, Anwendungen und Daten geregelt, vergeben und durchgesetzt werden, sodass nur befugte Personen auf für sie freigegebene Ressourcen zugreifen können.

Zugriffskontrolle bezeichnet die Gesamtheit der Regeln und Mechanismen, die festlegen, welche Identität (Benutzer, Dienst oder System) unter welchen Bedingungen auf welche Ressource in welcher Form (lesen, schreiben, ausführen, löschen) zugreifen darf. Sie ist ein zentraler Baustein der Informationssicherheit und verbindet die Vergabe von Berechtigungen (Rechteverwaltung) mit deren technischer Durchsetzung. Konzeptionell wird zwischen Identifikation, Authentifizierung (Nachweis der Identität) und Autorisierung (Prüfung der konkreten Berechtigung) unterschieden. Verbreitete Modelle sind die rollenbasierte (RBAC), attributbasierte (ABAC) sowie die diskretionäre und die obligatorische Zugriffskontrolle.

Eine wirksame Zugriffskontrolle setzt grundlegende Prinzipien wie das Prinzip der minimalen Rechtevergabe (Least Privilege) und das Need-to-know-Prinzip um: Berechtigungen werden nur in dem Umfang erteilt, der für die jeweilige Aufgabe tatsächlich erforderlich ist, und regelmäßig überprüft (Rezertifizierung). Hinzu kommen die Trennung kritischer Funktionen (Funktionstrennung), die besondere Absicherung privilegierter Konten (Privileged Access Management) sowie eine vollständige Protokollierung von Zugriffen, um Nachvollziehbarkeit und die Erkennung von Missbrauch sicherzustellen. Starke Authentifizierungsverfahren wie die Multi-Faktor-Authentifizierung erhöhen die Verlässlichkeit der Identitätsprüfung.

Rechtlich und normativ ist die Zugriffskontrolle fest verankert. Die ISO/IEC 27001 widmet ihr im Anhang A eigene Maßnahmen (u. a. A.5.15 Zugriffssteuerung, A.5.18 Zugriffsrechte, A.8.2 privilegierte Zugriffsrechte). Der BSI IT-Grundschutz behandelt sie im Baustein ORP.4 (Identitäts- und Berechtigungsmanagement). Für besonders wichtige und wichtige Einrichtungen nach der NIS2-Richtlinie zählt die Zugriffskontrolle einschließlich Multi-Faktor-Authentifizierung zu den verpflichtenden Risikomanagementmaßnahmen (Art. 21 NIS2). Im Datenschutz ist sie als technisch-organisatorische Maßnahme nach Art. 32 DSGVO zur Gewährleistung von Vertraulichkeit und Integrität personenbezogener Daten gefordert.

Rechtliche Grundlage

Art. 21 Abs. 2 NIS2-Richtlinie (EU) 2022/2555; ISO/IEC 27001:2022 Anhang A (u. a. A.5.15, A.5.18, A.8.2); BSI IT-Grundschutz Baustein ORP.4; Art. 32 DSGVO

Praxisbeispiel

Ein mittelständisches Unternehmen, das als wichtige Einrichtung unter NIS2 fällt, stellt bei einem internen Audit fest, dass ausgeschiedene Mitarbeitende noch aktive Konten besitzen und mehrere Beschäftigte über Administratorrechte verfügen, die sie für ihre Tätigkeit nicht benötigen. Der Informationssicherheitsbeauftragte führt daraufhin ein rollenbasiertes Berechtigungskonzept ein, verknüpft die Kontenverwaltung mit dem HR-Prozess für automatisches Deprovisioning, aktiviert Multi-Faktor-Authentifizierung für alle privilegierten Zugänge und etabliert eine halbjährliche Rezertifizierung der Zugriffsrechte durch die jeweiligen Fachverantwortlichen. Die Maßnahmen und Nachweise werden dokumentiert, um die Erfüllung der Risikomanagementpflichten gegenüber der Aufsicht belegen zu können.

Häufige Fragen

Die Authentifizierung weist nach, dass eine Identität tatsächlich diejenige ist, die sie vorgibt zu sein, etwa über Passwort und zweiten Faktor. Die Autorisierung prüft anschließend, welche konkreten Berechtigungen diese bereits authentifizierte Identität auf eine Ressource besitzt. Beide Schritte zusammen bilden den Kern der Zugriffskontrolle.
Die NIS2-Richtlinie nennt in Art. 21 Zugriffskontrollkonzepte und Multi-Faktor-Authentifizierung ausdrücklich als Mindestmaßnahmen des Risikomanagements. Sie gibt keine konkrete Technologie vor, verlangt aber risikoangemessene und nach dem Stand der Technik wirksame Maßnahmen. Die konkrete Ausgestaltung orientiert sich häufig an ISO/IEC 27001 oder dem BSI IT-Grundschutz.
Das Least-Privilege-Prinzip begrenzt jede Identität auf die minimal notwendigen Rechte und reduziert dadurch die Angriffsfläche sowie den potenziellen Schaden bei kompromittierten Konten. Es verhindert die schleichende Anhäufung überflüssiger Berechtigungen und ist Voraussetzung für eine prüffähige, nachvollziehbare Rechtevergabe.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Identity- und Access-Management Rollenbasierte Zugriffskontrolle Least-Privilege-Prinzip Multi-Faktor-Authentifizierung Privileged-Access-Management
Zurück zum Glossar