Zugriffskontrollrichtlinie – KMU

Diese Zugriffskontrollrichtlinie (P04S) bietet ein umfassendes Rahmenwerk für kleine und mittelständische Unternehmen (KMU), um den Zugriff auf Informationssysteme der Organisation, Daten und physische Zutrittspunkte zu verwalten und abzusichern. Als KMU-spezifische Richtlinie weist sie Verantwortlichkeiten vereinfachten Rollen wie dem General Manager sowie dem IT-Manager/externen IT-Anbieter zu und trägt damit der Realität Rechnung, dass viele KMU keine dedizierten IT-Sicherheitsteams wie Chief Information Security Officer (CISO) oder Security Operations Center (SOC) haben. Wichtig ist, dass diese Richtlinie vollständig ausgerichtet und konform mit international anerkannten Normen bleibt – insbesondere ISO/IEC 27001:2022 – und zugleich eine praktikable Umsetzung für Organisationen ohne komplexe interne Ressourcen ermöglicht. Die Richtlinie beschreibt detailliert Verfahren zur Zugriffsbereitstellung, Änderung und zum Entzug von Zugriffsrechten und adressiert jede Phase des Benutzerlebenszyklus. Sie gilt für alle Benutzer, Mitarbeiter und Auftragnehmer, temporäre Mitarbeitende sowie Drittdienstleister und findet Anwendung auf unternehmenseigene oder Bring-Your-Own-Device (BYOD)-Geräte, Cloud-basierte Systeme und On-Premises-Systeme sowie physische Räumlichkeiten wie Büros und sichere Serverräume. Durch die konsequente Verankerung des Prinzips der minimalen Berechtigung wird Zugriff ausschließlich nach geschäftlichem Bedarf gewährt und das Risiko von unbefugtem Zugriff oder übermäßiger Nutzung sensibler Assets umfassend minimiert. Zentral sind klare, umsetzbare Rollen und Verantwortlichkeiten: Der General Manager verantwortet Richtlinienfreigabe, Ressourcenzuweisung und Ausnahmebehandlung; der IT-Manager (oder ein vertrauenswürdiger externer Anbieter) setzt Zugriffsbereitstellung und Deprovisionierung um, führt ein auditierbares Zugriffskontrollregister, konfiguriert rollenbasierte Zugriffskontrolle (RBAC) und Multi-Faktor-Authentifizierung und führt die Prüfung von Zugriffsprotokollen durch. Abteilungsleiter autorisieren den Zugriff für ihre Teams und veranlassen Aktualisierungen bei Rollenänderungen, während Mitarbeitende sichere Zugriffs- und Nutzungsprotokolle einhalten müssen. Die Richtlinie löst regelmäßige Berechtigungsüberprüfungen aus, mindestens jährlich, und verlangt sowohl automatisierte als auch manuelle Dokumentation von Zugriffsänderungen und Audits. Robuste Risikobehandlung, Verstoßmanagement und kontinuierliche Überwachung der Einhaltung sind integriert. Abweichungen vom Standardprozess, wie zeitlich begrenzter Zugriff nach dem Ausscheiden, sind nur mit Genehmigung auf oberster Ebene und umfassender Dokumentation zulässig. Klare Disziplinarmaßnahmen bei Nichteinhaltung sind vorgesehen – von gezielter Nachschulung bis zur Vertragsbeendigung oder rechtlicher und regulatorischer Eskalation. Die Richtlinie reagiert zudem zeitnah auf Auslöser wie technologische Änderungen, organisatorische Verschiebungen oder Sicherheitsvorfälle und verlangt aktualisierte Überprüfungen sowie angepasste Kontrollen. Abschließend ist diese Richtlinie für eine nahtlose Integration mit verwandten kritischen KMU-Richtlinien ausgelegt, darunter Richtlinie zur zulässigen Nutzung, Änderungsmanagement, Onboarding- und Offboarding-Richtlinie, Datenschutz und Incident-Response. Der jährliche Überprüfungszyklus und die verpflichtende Security-Awareness-Schulung stellen sicher, dass sie wirksam bleibt und auf sich wandelnde Geschäfts- und Compliance-Anforderungen anwendbar ist, sodass KMU eine starke, praktikable und auditbereite Zugangskontrolle aufrechterhalten können.