Identität ist der neue Perimeter
Mit hybrider Arbeit, Cloud-Services und API-Integrationen hat sich der traditionelle Netzwerkperimeter aufgelöst. Heute sind Identität und Zugangskontrolle die wichtigste Verteidigungslinie.
NIS2 erkennt dies an, indem es explizit die Kontrolle über den Zugang zu Netzwerken und Systemen verlangt.
Grundfrage: Können Sie heute exakt auflisten, wer Zugang zu Ihren kritischen Systemen hat und warum diese Person diesen Zugang hat?
NIS2-Anforderungen an Zugangskontrolle
Artikel 21.2j — Personalschulung, Zugangskontrolle und Asset-Management:
Organisationen müssen angemessene Maßnahmen ergreifen für:
- Kontrolle des Zugangs zu Netzwerk- und Informationssystemen
- Verwaltung von Assets (Vermögenswerten)
- Personalschulung und Bewusstseinsbildung
In der Praxis:
- Dokumentieren Sie, wer Zugang zu was hat
- Stellen Sie sicher, dass Berechtigungen gerechtfertigt sind
- Prüfen Sie Berechtigungen regelmäßig
- Entfernen Sie Berechtigungen bei Rollenwechsel/Beendigung
- Implementieren Sie starke Authentifizierung
Grundprinzipien
Gewähren Sie nur notwendige Berechtigungen. Beginnen Sie mit null und fügen Sie hinzu, was benötigt wird, nicht umgekehrt.
Zugang zu Informationen nur für diejenigen, die sie für ihre Arbeitsaufgaben benötigen.
Kritische Prozesse erfordern mehrere Personen. Niemand soll allein in sensiblen Prozessen handeln können.
Mehrere Kontrollschichten. Wenn eine Schicht versagt, gibt es die nächste.
Der Access-Review-Prozess
- Berechtigungen inventarisieren Sammeln Sie Daten darüber, wer Zugang zu welchen Systemen hat. Einschließlich Benutzerkonten, Dienstkonten, API-Schlüssel und externe Benutzer.
- Abweichungen identifizieren Vergleichen Sie tatsächliche Berechtigungen mit Rollen und Verantwortlichkeiten. Haben Benutzer mehr Zugang als nötig? Gibt es Konten für ausgeschiedene Mitarbeiter?
- Entscheidung: behalten oder entfernen Für jede Berechtigung: ist sie gerechtfertigt? Falls ja, dokumentieren Sie warum. Falls nein, entfernen Sie sie.
- Änderungen implementieren Entfernen Sie ungerechtfertigte Berechtigungen. Aktualisieren Sie die Access-Dokumentation. Kommunizieren Sie Änderungen.
- Dokumentieren und nachverfolgen Speichern Sie Entscheidungen und Begründungen. Planen Sie die nächste Prüfung. Berichten Sie den Status an die Geschäftsleitung.
Häufigkeit für Access Reviews
| Kategorie | Häufigkeit | Beispiele |
|---|---|---|
| Privilegierte Konten | Vierteljährlich | Administratoren, Root, Service Accounts mit hohem Zugang |
| Kritische Systeme | Vierteljährlich | Finanzsysteme, Kundendaten, Produktion |
| Sensible Daten | Halbjährlich | Personenbezogene Daten, Geschäftsgeheimnisse |
| Übrige Systeme | Jährlich | Support-Systeme, interne Tools |
| Bei Änderungen | Sofort | Rollenwechsel, Beendigung, Organisationsänderungen |
Häufige Fehler
Benutzer wechseln die Rolle, behalten aber alte Berechtigungen. Nach einigen Jahren haben sie mehr Zugang als der Geschäftsführer.
Das "Admin"-Konto, das alle kennen. Keine Nachverfolgbarkeit, keine Verantwortlichkeit.
Konten ausgeschiedener Mitarbeiter, die nie geschlossen werden. Potenzielle Hintertür.
Dienstkonten mit statischen Passwörtern, die nie geändert werden. Auf ewig kompromittiert.
"Gib Admin-Rechte, dann löst es sich" — die Standardantwort, die Risiken schafft.
Kritische Systeme ohne Multi-Faktor-Authentifizierung. Gestohlene Passwörter reichen für Einbrüche.
MFA überall
Wo MFA implementiert werden sollte:
- Alle externen Zugriffspunkte (VPN, RDP, Webmail)
- Kritische Systeme und Anwendungen
- Privilegierte Konten (Administratoren)
- Cloud-Services und SaaS
- Konsolen-Zugang zu Servern und Netzwerkausrüstung
Nicht nur Passwort + SMS: SMS ist besser als nichts, aber schwächer als:
- Authenticator-Apps (TOTP)
- Hardware-Schlüssel (FIDO2/WebAuthn)
- Push-Benachrichtigungen mit Number Matching
Automatisierung
Provisioning
- Automatisierte Zuweisung von Standardberechtigungen basierend auf Rolle
- Verbindung zwischen HR-System und Identitätsmanagement
- Reduzierung manueller Fehler und Verzögerungen
Deprovisioning
- Automatische Deaktivierung bei Arbeitsende
- Verbindung zu HR-Beendigung
- Keine vergessenen Konten
Access Certification
- Automatisierte Erinnerungen für Access Reviews
- Workflow für Genehmigung/Ablehnung
- Nachverfolgbarkeit und Dokumentation
Checkliste
Grundlagen:
- Inventarisierung aller Benutzerkonten
- Dokumentation von Dienstkonten
- MFA auf kritischen Systemen
- Prozess für Onboarding/Offboarding
Access Review:
- Zeitplan für regelmäßige Prüfung
- Prozess zur Identifizierung von Abweichungen
- Dokumentation von Entscheidungen
- Berichterstattung an die Geschäftsleitung
Automatisierung:
- Integration mit HR-System
- Automatisiertes Provisioning
- Automatisiertes Deprovisioning
- Workflow für Access-Anfragen
Zugangskontrolle ist einer von mehreren Anforderungsbereichen in NIS2. Siehe unsere NIS2-Framework-Übersicht für ein vollständiges Bild aller Anforderungen, oder verwenden Sie unser NIS2-Klassifizierungstool, um zu prüfen, ob Sie betroffen sind.
So kann Securapilot helfen
Securapilot unterstützt Zugangskontrolle und Access Reviews:
- Risikomanagement — Identifizierung von Risiken im Zusammenhang mit Zugang
- Dokumentation — Richtlinien und Verfahren
- Nachverfolgung — Überwachung von Prüfungen und Entscheidungen
- Berichterstattung — Status für die Geschäftsleitung
- Lieferanten — Kontrolle über externen Zugang
Buchen Sie eine Demo und sehen Sie, wie wir Ihre Zugangskontrolle unterstützen können.
Häufig gestellte Fragen
Was ist Least Privilege?
Das Prinzip, Benutzern nur die Berechtigungen zu gewähren, die für ihre Arbeitsaufgaben erforderlich sind, nicht mehr. Reduziert Schäden, falls ein Konto kompromittiert wird.
Wie oft sollten Access Reviews durchgeführt werden?
Je nach Risiko. Kritische Systeme und privilegierte Konten: vierteljährlich oder häufiger. Übrige Systeme: halbjährlich oder jährlich. Alle Änderungen sollten dokumentiert werden.
Was ist Separation of Duties?
Die Aufteilung kritischer Aufgaben auf mehrere Personen, sodass niemand allein eine schädliche Handlung durchführen kann. Beispiel: Wer Zahlungen genehmigt, sollte sie nicht registrieren können.
Ist MFA nach NIS2 obligatorisch?
NIS2 erwähnt MFA nicht explizit, verlangt aber angemessene technische Maßnahmen für Zugangskontrolle. In der Praxis ist MFA eine grundlegende Kontrolle, die erwartet wird.
