Richtlinie zur Benutzerkonten- und Berechtigungsverwaltung – KMU

Die Richtlinie zur Benutzerkonten- und Berechtigungsverwaltung (P11S) ist ein umfassendes, KMU-fokussiertes Angebot zur Steuerung der Erstellung, Nutzung, Überwachung und Entfernung von Benutzerkonten und Zugriffsberechtigungen innerhalb einer Organisation. Als eine aus globalen Normen und regulatorischen Vorgaben abgeleitete Richtlinie etabliert sie ein Rahmenwerk, das sicherstellt, dass nur autorisierte Benutzer über angemessenen Zugriff verfügen – eine kritische Zugangskontrolle zur Verhinderung unbefugter Aktivitäten und zur Eindämmung von Insider-Bedrohungen. P11S ist ausdrücklich für kleine und mittlere Unternehmen (KMU) verfasst, erkennbar an der Rechenschaftspflicht des General Managers (GM) und dem Verzicht auf komplexe IT-Governance-Strukturen wie dedizierte SOCs oder CISOs. Dieser Ansatz macht eine hochsichere Zugangskontrolle für Organisationen ohne große Sicherheitsteams umsetzbar und beherrschbar, bei gleichzeitiger Ausrichtung an ISO/IEC 27001:2022 und verwandten Rahmenwerken. Die Richtlinie gilt für alle Mitarbeiter, Auftragnehmer, Praktikanten und Drittparteien mit Zugriff auf die Informationssysteme der Organisation. Sie umfasst klassische Benutzerkonten, Administrator- und Dienstkonten sowie temporäre oder Gast-Zugangsdaten. Die Regeln decken den gesamten Kontolebenszyklus ab – vom initialen Onboarding und der Zugriffsbereitstellung über die regelmäßige Berechtigungsüberprüfung bis hin zum Entzug von Zugriffsrechten im Rahmen des Offboardings. Jedem Benutzer wird eine eindeutige, nachvollziehbare Identität zugewiesen, um Rechenschaftspflicht sicherzustellen; gemeinsam genutzte Zugangsdaten sind ausdrücklich untersagt, außer im Rahmen kontrollierter, dokumentierter Ausnahmen. Erhöhte Zugriffsberechtigungen müssen eine zusätzliche Ebene der Begründung und Autorisierung durchlaufen und unterliegen stets Dokumentation und regelmäßiger Berechtigungsüberprüfung. Rollen und Verantwortlichkeiten sind vereinfacht und klar: Der GM übernimmt die Gesamtaufsicht, stellt die Richtlinieneinhaltung sicher und adressiert Sicherheitsvorfälle im Zusammenhang mit Benutzerkonten. Umsetzung und technische Durchsetzung liegen beim IT Lead (oder einem externen IT-Dienstleister), der Zugriffsbereitstellung, Deaktivierung, Überwachung und Protokollierung verwaltet – strikt auf Basis dokumentierter Genehmigungen. Linienvorgesetzte spielen eine zentrale Rolle bei der Beantragung, Überprüfung und Validierung von Zugriffen, wenn sich Rollen ihrer Teammitglieder ändern, während jeder Benutzer für den Schutz seiner Zugangsdaten und die Meldung verdächtiger Aktivitäten verantwortlich ist. Die Richtlinie ist streng geregelt und verlangt, dass alle Kontoänderungen, -erstellungen, -deaktivierungen und Privilegieneskalationen protokolliert und benannten Personen zugeordnet werden. Regelmäßige Zugriffsüberprüfungen sind mindestens alle sechs Monate vorgeschrieben. Passwortkomplexität, Mehrfaktor-Authentifizierung, wo immer möglich, Kontosperrung nach fehlgeschlagenen Versuchen sowie die systematische Überprüfung von Dienst- und Drittparteienkonten sind fest in den Regeln verankert. Offboarding-Verfahren stellen die zeitnahe Entfernung von Zugriffen sowie die Rückgabe aller Sicherheitstoken oder Geräte sicher und reduzieren so verbleibende Zugriffsrisiken. Das Ausnahmemanagement unterliegt hohen Anforderungen: Jede Abweichung von der Kernrichtlinie (z. B. die seltene Nutzung gemeinsam genutzter oder Testkonten) muss schriftlich begründet, durch kompensierende Kontrollen abgesichert, quartalsweise überprüft und einer späteren Aufhebung unterworfen werden. Notfall-„Break-Glass“-Konten sind nur unter definierten, dokumentierten Bedingungen zulässig und müssen nach der Nutzung zurückgesetzt werden. Die Richtlinie schreibt regelmäßige Audits, Sicherheitsvorfallsnachbereitung und jährliche Aktualisierungen vor, um die Ausrichtung an sich entwickelnden regulatorischen und geschäftlichen Anforderungen aufrechtzuerhalten. Schließlich verweist sie ausdrücklich auf begleitende Richtlinien zu Governance, Zugangskontrolle, Onboarding- und Offboarding-Richtlinie, Informationssicherheits-Sensibilisierungs- und Schulungsrichtlinie sowie Incident Response, um einen ganzheitlichen Ansatz für Zugriffsmanagement und Compliance sicherzustellen.