Logo der activeMind AG

ISO 27002Kapitel 8.3 Informationszugangsbeschränkungen

Kapitel 8.3 der ISO 27002 enthält Vorschläge zur Beschränkung des Zugangs zu Informationen und anderen damit verbundenen Werten.

Hinweis: Die folgenden Erklärungen beziehen sich auf die deutschen Versionen der Normen DIN EN ISO/IEC 27001:2024 sowie ISO 27002:2022.

Worum geht es?

Dass es sinnvoll ist, wirksame Mechanismen einzusetzen, die den freien Zugang zu Informationen und Werten verwehren, dürfte einleuchtend sein. Am Ende des Tages kann das erstrebte Ziel allerdings nur erreicht werden, wenn nicht beliebig viele Personen die Möglichkeit erhalten, die Schutzmechanismen zu überwinden.

Kapitel 8.3 der ISO 27002 macht konkrete Vorschläge, wie sichergestellt werden kann, dass nur eindeutig dazu befugte Benutzer Zugang zu bestimmten Informationen und damit verbundenen Werten erhalten.

Was empfiehlt die ISO 27002?

Im Grunde geht es darum, nur eindeutig identifizierten und berechtigten Personen Zugang zu schützenswerten Informationen zu gewähren. Im Einzelnen kann dies durch die folgenden Maßnahmen erreicht werden:

  • Zugang zu sensiblen Informationen ist ausschließlich eindeutig identifizierten Berechtigten zu gewähren. Im Gegenschluss dürfen nur nicht schutzbedürftige Informationen ohne persönliche Anmeldung zugänglich sein bzw. öffentlich gemacht werden.
  • Dementsprechend muss der freie Zugang zu schutzbedürftigen Informationen bzw. Werten logisch oder physisch unterbunden werden. Vereinfacht gesagt, dürfen Informationen erst nach Anmeldung zugänglich sein und gegenständliche Werte nur den Besitzern des jeweils passenden Schlüssels. Im Hinblick auf Informationen kann dies auch der Entschlüsselungsschlüssel sein.
  • Bei besonders hohem Schutzbedarf sollte auch die Zugangshürde entsprechend hoch ausfallen. Statt einer einfachen Anmeldung sollten Zertifikate oder der Gebrauch von Multifaktoranmeldung zwingend sein. Anstelle eines einfachen Schlosses bzw. Schlüssels sollten elektronische Schließsysteme zum Einsatz kommen.
  • Die Mechanismen, mit denen der Zugang zu sensiblen Informationen beschränkt werden kann, sollten es ermöglichen, diesen Zugang gegebenenfalls abgestuft zu erlauben. An erster Stelle steht die grundsätzliche Entscheidung, wer überhaupt Zugriff auf Informationen in Systemen, Anwendungen oder Diensten erhält und wer nicht. Aufbauend hierauf sollte dann geregelt und umgesetzt werden, ob Informationen nur gelesen oder auch verändert bzw. gelöscht werden können. Entsprechend sollte in Bezug auf ausführbare Dateien eine Regelung möglich sein, wem konkret die Ausführung ermöglicht wird und wem nicht.
  • Ergänzend sind auch Mechanismen sinnvoll, die es nur bestimmten Benutzern erlauben, Informationen zu verändern, zu kopieren, zu drucken oder sonst zu vervielfältigen.
  • Die entsprechenden Berechtigungen können an Rollen, Gruppen oder auch einzelne Benutzer vergeben werden, soweit dies die zugrundeliegenden Richtlinien vorsehen.
  • Ähnlich wie bei privilegierten Berechtigungen (Kapitel 8.2 der ISO 27002) sollte auch der Gebrauch solcher abgestuften Möglichkeiten des Zugriffs auf Informationen und Werte überwacht und gegebenenfalls dokumentiert werden. Soweit möglich, sollte auch der unbefugte Gebrauch bzw. der Versuch desselben entdeckt werden und gegebenenfalls einen Alarm auslösen.

Neben diesen Grundregeln gibt die Norm auch Empfehlungen, für die Verfeinerung der eigenen Vorgehensweise bei besonders schutzbedürftigen Informationen oder abhängig vom Lebenszyklus einer Information.

  • So ist beispielsweise denkbar, den Zugriff auf Informationen und Werte von einer bestimmten Zeit oder von bestimmten Umständen, beispielsweise dem Aufenthaltsort oder dem genutzten System, abhängig zu machen. Es kann etwa sinnvoll sein, den Zugriff komplett zu versagen, sollte dieser aus einer nicht vertrauenswürdigen Region versucht werden.
  • Modernere Systeme zur Zugangssteuerung sind in diesem Zusammenhang etwa auch in der Lage, einen Zugriff zu unterbinden, wenn er einen nicht möglichen Ortswechsel des Benutzers voraussetzt. Jemand der eben noch aus dem deutschen Home-Office gearbeitet hat, kann sich nicht kurze Zeit später aus China anmelden.

Fazit

Im Grundsatz sind die hier niedergelegten Gedanken den meisten Verantwortlichen bekannt. Dennoch scheitern viele Organisationen an der korrekten und vollständigen Umsetzung in der Praxis. Klassische Gründe sind chronisch unterbesetzte und damit überlastete IT-Abteilungen, die schlichtweg keine Zeit für fein justierte Lösungen haben. Neuerdings kommt aber auch die mangelnde Kenntnis bzw. Erfahrung im Einsatz moderner Systeme hinzu. Mitarbeiter sind von der Fülle von Möglichkeiten erschlagen und verstehen diese nicht, soweit sie diese überhaupt kennen.

Dass sich allerdings Fehler in diesem Bereich bitter für die Organisation rächen können, liegt auch auf der Hand. Zumindest initial kann es daher wichtig sein, gegebenenfalls externe Beratung heranzuziehen.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Im Rahmen einer Zertifizierung nach ISO 27001 erstellen die Experten der activeMind AG mit Ihnen ein Berechtigungskonzept, in welchem Rollen und deren Zugriffsberechtigungen sowie Vergabe und Entzug an Nutzer geregelt werden. Außerdem unterstützen wir Sie bei der technischen Umsetzung, so dass bestimmte Prozesse erzwungen werden.

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.