Richtlinie zur Benutzerkonten- und Privilegienverwaltung

Die Richtlinie zur Benutzerkonten- und Privilegienverwaltung (Dokument P11) stellt ein strukturiertes und verpflichtendes Rahmenwerk bereit, um zu steuern, wie Benutzerkonten und Zugriffsberechtigungen in allen Informationssystemen der Organisation und Technologien verwaltet werden. Ihr Kernzweck besteht darin, sicherzustellen, dass auf Ressourcen der Organisation nur durch autorisierte Personen zugegriffen wird, im Einklang mit geprüften Rollen und betrieblichen Erfordernissen. Die Richtlinie erkennt zentrale Grundsätze der Informationssicherheit an und setzt diese durch, wie das Prinzip der minimalen Berechtigung und Funktionstrennung, und schreibt auditierbare Prozesse für die Zugriffsbereitstellung, Verwaltung, Überwachung und den Entzug von Zugriffsberechtigungen für Benutzerkonten vor. Anwendbar auf alle Benutzer, einschließlich Mitarbeiter, Auftragnehmer, Drittdienstleister und Berater, regelt diese Richtlinie jedes System, in dem Nutzerauthentifizierung vorhanden ist. Dieser umfassende Geltungsbereich umfasst Geschäftsanwendungen, Cloud- und SaaS-Umgebungen, administrative Systeme und Fernzugriff-Werkzeuge sowie Identitäts- und Zugriffsmanagement (IAM)-Plattformen. Sowohl Standard- als auch privilegierte Konten fallen unter ihre Anforderungen, mit starkem Fokus auf die eindeutige Identifizierung jedes Kontos und die Vermeidung gemeinsam genutzter Zugangsdaten oder generischer Konten (außer in eng kontrollierten Notfallszenarien). Zu den zentralen Zielen der Richtlinie gehören die Durchsetzung eindeutiger, begründbarer und nachverfolgbarer Benutzerkonten; die Implementierung von Kontrollen nach dem Prinzip der minimalen Berechtigung zum Schutz vor übermäßigen Zugriffsrechten; die Anforderung zeitnaher Änderungen des Kontostatus nach Rollenänderungen oder Beendigungen; sowie die Zentralisierung von Aktivitäten des Zugriffslebenszyklusmanagements zur Sicherstellung von Konsistenz und Auditierbarkeit. Es werden Regelungen zur proaktiven Erkennung inaktiver Benutzerzugangsdaten oder missbrauchter Konten durch regelmäßige Berechtigungsüberprüfung und den Einsatz automatisierter Werkzeuge festgelegt. Die Richtlinie ist ausdrücklich darauf ausgelegt, sich an führenden Sicherheitsnormen auszurichten (wie ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, GDPR und COBIT 2019), um sowohl regulatorische als auch Best-Practice-Anforderungen zu erfüllen. Rollen und Verantwortlichkeiten sind klar definiert – von der Aufsicht des Chief Information Security Officer (CISO) und seiner Rolle im Ausnahmemanagement bis hin zu den technischen Maßnahmen der Zugriffskontrolladministratoren, den Zugriffsautorisierungen der Abteilungsleiter sowie der Integration des Personalwesens in Eintritts-, Wechsel- und Austrittsprozesse. Verfahren stellen sicher, dass Kontoerstellung, -änderung und -deaktivierung streng geregelt sind; privilegierter Zugriff unterliegt zusätzlicher Prüfung, Genehmigungen, zeitlich begrenztem Zugriff und erweiterter Audit-Protokollierung. Authentifizierungskontrollen, einschließlich verpflichtender Passwortschutz-Richtlinien, Multi-Faktor-Authentifizierung für Schlüsselkonten, Sitzungssperrung und sichere Fernzugriff-Protokolle, bilden eine Kernanforderung und stellen sicher, dass die Identitätsprüfung nicht umgangen werden kann. Robuste Überwachung, Audit-Protokollierung und regelmäßige Überprüfungsmaßnahmen helfen, genaue Inventare der Werte für Konten zu pflegen und Richtlinieneinhaltung durchzusetzen. Die Ausnahmebehandlung ist risikobasiert und kontrolliert; Notfallzugriffsszenarien („break-glass“) erhalten besondere verfahrensbezogene Aufmerksamkeit. Die verpflichtende Einhaltung wird durch ein progressives Durchsetzungsmodell unterstrichen, einschließlich Deaktivierung von Zugriff, gezielter Nachschulung, Disziplinarmaßnahmen sowie rechtlicher und regulatorischer Eskalation bei Verstößen. Die Integration mit verwandten organisatorischen Richtlinien stellt einen kohärenten Ansatz über alle Sicherheitskontrollbereiche hinweg sicher, und die Anforderung an jährliche (oder ereignisgesteuerte) Richtlinienüberprüfungen gewährleistet kontinuierliche Verbesserung und fortlaufende Ausrichtung an sich entwickelnden Systemen, Geschäftsmodellen und regulatorischen Rahmenbedingungen. Die Richtlinie zur Benutzerkonten- und Privilegienverwaltung ist grundlegend für die Risikomanagementstrategie der Organisation und stärkt die operative Sicherheit und regulatorische Compliance.