Zum Inhalt springen
📞 Praxisbezogene & bezahlbare ISO 27001 / TISAX Beratung: Jetzt kostenloses Erstgespräch sichern → Termin vereinbaren
Anfrage
NIS2
TISAX®
Startseite » Unser Blog » Access Control Policy

Access Control Policy

Access Control Policy (A.5.15 & A.5.16)

Der kontrollierte Zugriff auf Informationen ist eines der Kernprinzipien der Informationssicherheit. Die Access Control Policy (Zugriffskontrollrichtlinie) legt fest, wer, wann und worauf in Ihrem Unternehmen zugreifen darf. Nach ISO/IEC 27001:2022 und den Controls A.5.15 und A.5.16 müssen Organisationen sicherstellen, dass Zugangs- und Zugriffsrechte klar geregelt, regelmäßig überprüft und bei Bedarf entzogen werden. Besonders in Zeiten von Remote Work und Cloud-Systemen ist eine konsequente Zugriffskontrolle unverzichtbar.

🔹 Definition

Die Access Control Policy definiert die Grundsätze, Verfahren und Verantwortlichkeiten für den Zugriff auf Systeme, Anwendungen und Informationen. Ziel ist es, sicherzustellen, dass nur berechtigte Personen Zugriff auf Daten und Ressourcen haben – und zwar nur im erforderlichen Umfang („Need-to-know“- bzw. „Least Privilege“-Prinzip).

🎯 Ziele der Zugriffskontrolle

✅ Eindeutige Identifikation und Authentifizierung aller Nutzer und Systeme.
✅ Sicherstellung, dass Berechtigungen rollenbasiert vergeben und dokumentiert werden.
✅ Regelmäßige Überprüfung von Benutzerrechten, um unberechtigte Zugriffe zu vermeiden.
✅ Kontrolle und Protokollierung sämtlicher Zugriffsvorgänge auf sensible Systeme oder Daten.

🛡️ Zentrale Maßnahmen nach ISO 27001

📋 Einrichtung und Löschung von Benutzerkonten müssen geregelt, dokumentiert und freigegeben werden.
🔐 Zugriffsrechte werden ausschließlich nach dem Need-to-know-Prinzip vergeben.
🔑 Verwendung sicherer Authentisierungsverfahren, z. B. Mehr-Faktor-Authentisierung (MFA).
🧩 Regelmäßige Überprüfung der Rechte auf Aktualität und Angemessenheit – mindestens jährlich.
📁 Protokollierung von Anmelde- und Zugriffsereignissen auf sicherheitsrelevante Systeme.
☁️ Zentraler Authentifizierungsdienst (z. B. Active Directory, Azure AD, LDAP) zur Vereinheitlichung der Verwaltung.

👥 Zuständigkeiten

Informationssicherheitsbeauftragter (ISB): Überwacht das IAM, prüft Einhaltung der Richtlinien und führt Stichprobenprüfungen durch.
IT-Betrieb: Verantwortlich für die technische Umsetzung, Verwaltung und Sperrung von Benutzerkonten.
Führungskräfte: Entscheiden über Rollen und Berechtigungen innerhalb ihrer Abteilungen.
Mitarbeitende: Verpflichtet zur sicheren Nutzung ihrer Zugänge (Passwortschutz, kein Teilen von Anmeldedaten).

💡 Vorteile einer Access Control Policy

✔️ Schutz sensibler Informationen vor unbefugtem Zugriff.
✔️ Erfüllung regulatorischer Anforderungen (ISO 27001, NIS2, DSGVO).
✔️ Vereinfachte Verwaltung von Benutzerrechten durch klare Prozesse.
✔️ Erhöhte Transparenz und Nachvollziehbarkeit im Audit.

📘 Fazit

Eine gut dokumentierte Access Control Policy ist ein zentrales Element der ISO 27001 und Basis jedes funktionierenden ISMS. Sie regelt, wer worauf zugreifen darf, und schafft die Voraussetzung für Compliance, Transparenz und Sicherheit – insbesondere in hybriden Arbeitsmodellen und Cloud-Infrastrukturen. Regelmäßige Überprüfungen und eine klare Verantwortlichkeitsverteilung sind entscheidend, um Risiken nachhaltig zu minimieren und Ihr Unternehmen auditfest aufzustellen.

How-To: Access Control Policy nach ISO 27001 erstellen

Diese Anleitung zeigt Schritt für Schritt, wie du eine Access Control Policy nach den Anforderungen von ISO 27001:2022 (Controls A.5.15 und A.5.16) implementierst. Ziel: klare Rollen, dokumentierte Berechtigungen und sichere Zugriffsprozesse – auch für KMU mit Cloud- oder Remote-Infrastruktur.

1️⃣ Richtlinienrahmen und Ziel definieren

Lege fest, welche Systeme, Anwendungen und Daten in die Zugriffskontrolle einbezogen werden. Beschreibe, wie die Richtlinie zu Informationssicherheit und Datenschutz beiträgt.
📌 Beispiel: „Diese Richtlinie gilt für alle IT-Systeme, Cloud-Dienste und mobilen Endgeräte, die Unternehmensdaten verarbeiten.“

2️⃣ Rollen, Verantwortlichkeiten & Prozesse festlegen

Definiere Zuständigkeiten:
  • Der Informationssicherheitsbeauftragte (ISB) überwacht Einhaltung und Reviews.
  • Die IT-Abteilung setzt technische Maßnahmen um (Konten, Passwörter, MFA).
  • Vorgesetzte entscheiden über Berechtigungen im On-/Offboarding.
Ergänze einen Freigabeprozess mit Audit-Nachweis.

3️⃣ Technische Zugriffskontrollen umsetzen

Implementiere folgende Sicherheitsmaßnahmen:
🔐 Multi-Faktor-Authentifizierung (MFA) für kritische Systeme
🧩 Zentralisierte Benutzerverwaltung (z. B. Active Directory, Azure AD)
📁 Protokollierung aller Anmelde- und Zugriffsereignisse

4️⃣ Regelmäßige Überprüfung & Entzug von Berechtigungen

Überprüfe mindestens einmal jährlich oder bei Rollenwechseln, ob Zugriffsrechte noch gerechtfertigt sind.
🗂️ Verwende eine Access-Review-Liste oder ein IAM-Tool, um Konten systematisch zu prüfen und verwaiste Zugänge zu entfernen.

5️⃣ Schulung & Bewusstsein schaffen

Führe Awareness-Trainings durch, um Mitarbeitende über sichere Passwortnutzung, Social Engineering und Zugriffsrichtlinien aufzuklären.
👉 Vertiefende Informationen findest du im Artikel Identity and Access Management (IAM).

📘 Fazit

Eine funktionierende Access Control Policy ist das Rückgrat sicherer Informationssysteme. Sie definiert Zuständigkeiten, sorgt für Compliance nach ISO 27001 und reduziert Risiken durch klare, überprüfbare Prozesse. Besonders in Kombination mit einem modernen IAM-System lassen sich Berechtigungen effizient verwalten, dokumentieren und auditfest prüfen.

FAQ – Access Control Policy

1Was regelt die Access Control Policy nach ISO 27001?
Die Access Control Policy definiert, wie und durch wen Zugriffsrechte auf Systeme und Daten vergeben, überprüft und entzogen werden. Sie sorgt dafür, dass der Zugriff nur berechtigten Personen gewährt wird und basiert auf den Prinzipien Need-to-know und Least Privilege. Eine detaillierte Beschreibung der zugrunde liegenden Prozesse findest du im Artikel 👉 Identity and Access Management (IAM).
2Was ist der Unterschied zwischen Zugang und Zugriff?
Zugang bezeichnet die Berechtigung, sich in ein System einzuloggen (z. B. Benutzername/Passwort). Zugriff beschreibt die tatsächliche Berechtigung, Daten oder Funktionen zu nutzen – etwa Dateien zu lesen oder zu ändern. Beide Ebenen müssen durch Richtlinien klar voneinander getrennt und regelmäßig überprüft werden.
3Wie oft müssen Zugriffsrechte überprüft werden?
Gemäß ISO 27001:2022 (Control A.5.16) sind regelmäßige Prüfungen der Berechtigungen erforderlich – üblicherweise mindestens einmal jährlich oder bei organisatorischen Änderungen (z. B. Rollenwechsel, Austritt, Systemmigration). Die Ergebnisse sollten dokumentiert und durch den Informationssicherheitsbeauftragten (ISB) freigegeben werden.
4Wie wird die Access Control Policy in der Cloud umgesetzt?
Cloud-Dienste erfordern ein zentrales Identity & Access Management (IAM) mit automatisierter Benutzerverwaltung, Rollenvergabe und Multi-Faktor-Authentifizierung (MFA). Systeme wie Azure AD, Okta oder Keycloak ermöglichen eine einheitliche Umsetzung von Zugangskontrollen über alle Cloud-Anwendungen hinweg. Weitere praktische Tipps findest du im Beitrag 👉 Identity and Access Management.
5Welche Risiken bestehen ohne Access Control Policy?
Fehlende Zugriffskontrolle führt schnell zu unbefugtem Datenzugriff, Datenlecks und Compliance-Verstößen. Besonders kritisch sind verwaiste Konten, unklare Verantwortlichkeiten oder unprotokollierte Administratorrechte. Eine Access Control Policy stellt sicher, dass alle Berechtigungen nachvollziehbar, genehmigt und überprüfbar sind.
6Wie kann ein KMU eine Access Control Policy effizient umsetzen?
Kleine und mittlere Unternehmen profitieren von klaren, einfachen Prozessen:
  • Einheitliche Benutzerverwaltung über zentrale Systeme (z. B. Microsoft 365)
  • Rollenbasiertes Berechtigungskonzept mit dokumentierten Freigaben
  • Standardprozess für Eintritt, Wechsel und Austritt
  • Einsatz von Mehr-Faktor-Authentifizierung für sensible Anwendungen
  • Halbjährliche Überprüfung der Benutzerrechte durch den ISB
So erfüllt das Unternehmen die Anforderungen der ISO 27001 effizient und auditfest. Ergänzende Best Practices findest du unter 👉 Identity and Access Management (IAM).

Weiterführende Themen zur Informationssicherheit

Entdecken Sie weitere praxisorientierte Artikel rund um ISO 27001, Zugriffskontrolle und Informationssicherheitsmanagement in KMU – ideal zur Ergänzung Ihrer Access Control Policy:

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel