21. Juli 2025

Das alte Thema: Admin-Rechte

Von Joachim Reinke

Juli 21, 2025

Das alte Thema: Admin-Rechte! In vielen Unternehmen haben bestimmte  Personen mehr Rechte als andere – zum Beispiel Administratoren, IT-Leiter oder bestimmte Fachverantwortliche. Solche „privilegierten Benutzerrechte“ sind notwendig, um Systeme zu verwalten, bergen aber auch ein enormes Risiko: wenn ein Angreifer diese Rechte erlangt, kann er damit ordentlich Schaden anrichten.

Deshalb fordert ISO 27001 in Maßnahme A.8.2, dass diese besonderen Rechte besonders sorgfältig behandelt werden. Doch was heißt das konkret?

Was sind "privilegierte Zugriffsrechte " überhaupt?

Privilegierte Rechte erlauben Dinge, die normalen Nutzern verwehrt bleiben – z. B.:

  • Systemeinstellungen verändern
  • Benutzerkonten verwalten
  • Sicherheitsmechanismen abschalten
  • Datenbanken löschen, exportieren oder manipulieren
  • Wer solche Rechte missbraucht (absichtlich oder versehentlich), kann immense Schäden verursachen – vom Datenleck bis zum Totalausfall der IT.

Das alte Thema: Admin-Rechte – Was verlangt ISO 27001 konkret?

Die Norm gibt klare Leitlinien, worauf Organisationen achten sollten:

Nur wer muss, darf – und nur so lange wie nötig:

  • Zugriffsrechte nur an Personen mit nachweislich nötiger Fachkompetenz
  • Am besten temporär vergeben (z. B. für ein Wartungsfenster)
  • Nach dem „Least Privilege“-Prinzip: so wenig Rechte wie möglich, so viel wie nötig

Autorisierung muss dokumentiert sein:

  • Keine Rechtevergabe „auf Zuruf“
  • Wer bekommt was – und wer hat es genehmigt?
  • Ablaufdatum für Sonderrechte festlegen.

Keine Sammel-Accounts:

  • „root“ oder „admin“ für alle? Ein No-Go!
  • Individuelle Accounts mit persönlicher Kennung sind Pflicht
  • Bei Bedarf: Gruppenzugehörigkeit über Admin-Rollen steuern.

Auditierbarkeit sicherstellen

  • Alle Aktivitäten mit privilegierten Rechten müssen geloggt werden.
  • Logs regelmäßig prüfen – idealerweise automatisiert.

Keine Alltagsnutzung mit Adminrechten

  • E-Mails abrufen mit dem Admin-Konto? Besser nicht.
  • Für normale Aufgaben sollten separate Benutzerkonten genutzt werden

Höhere Hürden für den Zugang

  • Zwei-Faktor-Authentifizierung für privilegierte Zugriffe ist Pflicht! Besser für alle!
  • Bei besonders kritischen Aufgaben: zusätzliche Re-Authentifizierung

Unser Tipp

„Break Glass“-Verfahren nutzen!

Ein bewährter Ansatz ist das sogenannte „Break Glass“-Prinzip:
Ein "normaler" Mitarbeiter bekommt Adminrechte nur im Notfall und nur für kurze Zeit – dokumentiert, zeitlich begrenzt, automatisch entzogen.

Moderne Privileged Access Management (PAM) und Privileged Identity Management (PIM)-Lösungen (wie bspw. Microsoft Entra ID, aber auch Open Source-Produkte) können diesen Prozess unterstützen und automatisieren.

Interesse geweckt?

Sie fragen sich, ob Ihre aktuelle Rechtevergabe den Anforderungen der ISO 27001 genügt? Dann lassen Sie uns das gemeinsam prüfen – vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!

Über den Autor

Joachim Reinke

Joachim ist leidenschaftlicher Trainer. Seit seinem 16. Lebensjahr gibt er Seminare für bis zu 70 Teilnehmer. Die schätzen besonders seine lockere und kurzweilige Vermittlung anspruchsvoller Inhalte.

Mit Informationssicherheit und Qualitätsmanagement beschäftigt er sich seit 15 Jahren. Zunächst als Produktmanager und Trainer in der Medizintechnik. Seit 2016 dann als freiberuflicher Trainer und Berater für Unternehmen wie den TÜV SÜD, TÜV Rheinland und die AOK.

View Comments