Zugriffskontrolle klingt erst einmal trocken. Ist es aber nicht. In der Praxis geht es um eine sehr einfache Frage: Wer darf auf welche Informationen, Systeme, Anwendungen oder Räume zugreifen – und warum genau? Die ISO 27001 beschreibt Zugriffskontrolle als einen zentralen Bestandteil der Informationssicherheit, weil sie steuert, welche Bereiche Menschen betreten oder welche Systeme sie nutzen dürfen.
Die kurze Antwort
Gute Zugriffskontrolle heißt: Menschen, Konten und Systeme bekommen nur die Zugriffe, die sie für ihre Aufgabe wirklich brauchen. Nicht mehr. Nicht "vorsichtshalber". Und nicht dauerhaft, wenn der Bedarf längst weggefallen ist. NIST beschreibt dieses Prinzip als Least Privilege: Rechte sollen auf das Minimum beschränkt werden, das zur Erfüllung der Aufgabe nötig ist.
Warum Zugriffskontrolle so wichtig ist
Viele Sicherheitsprobleme entstehen nicht, weil es gar keine Schutzmaßnahmen gibt. Sie entstehen, weil zu viele Personen oder Konten auf zu viele Dinge zugreifen dürfen. Wenn dann ein Konto kompromittiert wird, entscheidet nicht nur der Angriff über den Schaden, sondern vor allem die Reichweite des Kontos. Genau deshalb ist Zugriffskontrolle kein IT-Nebenthema, sondern ein Kernmechanismus der Informationssicherheit.
Nicht jeder braucht alles
Das klingt banal, wird in Unternehmen aber erstaunlich oft missachtet. Ein Mitarbeiter im Vertrieb braucht nicht dieselben Rechte wie ein Administrator. Ein externer Dienstleister braucht keinen dauerhaften Vollzugriff. Ein Entwickler braucht nicht automatisch Zugriff auf Produktivdaten. Und ein ausgeschiedener Mitarbeiter braucht gar keinen Zugriff mehr. Das NCSC empfiehlt deshalb ausdrücklich eine IAM-Policy, die festlegt, wer Zugriff auf welche Systeme, Daten oder Funktionen bekommt, warum und unter welchen Umständen.
Der größte Denkfehler: lieber etwas mehr Zugriff geben
Der häufigste Fehler ist Bequemlichkeit. Dann heißt es:
"Geben wir lieber etwas mehr Rechte, dann blockieren wir niemanden."
Kurzfristig wirkt das praktisch. Langfristig ist es riskant. Denn zu breite Rechte vergrößern die Angriffsfläche, erschweren die Kontrolle und machen Schäden bei kompromittierten Konten unnötig groß. Least Privilege ist deshalb keine Schikane, sondern Schadensbegrenzung.
Rollen schlagen Bauchgefühl
Zugriffe sollten nicht danach vergeben werden, wer am lautesten fragt oder wer "das schon immer hatte". Sinnvoller ist eine klare Rollenlogik: Welche Aufgaben gibt es, welche Rechte braucht diese Rolle wirklich, und welche nicht? Das NCSC beschreibt IAM genau als strukturierte Steuerung von Identitäten und Zugriffen, nicht als spontane Einzelentscheidung.
Joiners, Movers, Leavers sind der Realitätstest
Eine Zugriffskontrolle ist nur so gut wie ihr Umgang mit Veränderungen. Neue Mitarbeiter kommen dazu, Rollen ändern sich, Projekte enden, Dienstleister gehen wieder. Im Zuge der Umsetzung von NIS-2 empfiehlt das BSI deshalb ausdrücklich saubere Prozesse, damit Zugriffe rechtzeitig vergeben, angepasst oder entzogen werden. Genau hier kippen viele Berechtigungskonzepte in der Praxis: Rechte werden vergeben, aber nicht mehr sauber aufgeräumt.
Besonders kritisch: privilegierte Rechte
Normale Benutzerrechte sind das eine. Wirklich heikel werden Adminrechte, globale Cloud-Admins, Root-Zugriffe oder andere privilegierte Konten. Das NCSC betont, dass beim privilegierten Benutzermanagement vor allem sichergestellt werden muss, dass die Aktionen privilegierter Konten tatsächlich von den berechtigten Personen stammen und nicht von Angreifern oder Schadsoftware. Gerade hier sind Trennung, Nachvollziehbarkeit und zusätzliche Schutzmaßnahmen entscheidend.
Zum Thema "Privilegierte Rechte" haben wir hier noch einen Spezialartikel.
Zugriffskontrolle gilt nicht nur für Menschen
Auch Anwendungen, Dienste und technische Identitäten brauchen Zugriffskontrolle. Organisationen müssen auch Service- und Geräteidentitäten sauber kennen und steuern. Wer nur an Benutzerkonten denkt, aber API-Zugänge, Servicekonten oder technische Identitäten ignoriert, baut ein halbes Konzept.
Trennung von Aufgaben ist kein Luxus
Manche Rechte sollten bewusst nicht in einer Hand liegen. Separation of Duty ist ein typisches Modell, bei dem sich widersprechende Rollen nicht von derselben Person ausgeführt werden sollen oder bei sensiblen Vorgängen eine Zwei-Personen-Regel greift. Das ist besonders dort wichtig, wo Freigabe und Umsetzung, Bestellung und Kontrolle oder Administration und Überwachung sonst ungebremst zusammenfallen würden.
MFA gehört oft dazu - ersetzt Zugriffskontrolle aber nicht
Eine gute Anmeldung ist wichtig, aber sie beantwortet noch nicht die Frage, worauf jemand nach erfolgreicher Authentisierung zugreifen darf. Das NCSC beschreibt genau diese Reihenfolge: Erst eine belastbare Identität, dann kann darauf Zugriffskontrolle angewendet werden. Multi-Faktor-Authentifizierung stärkt also den Zugang, ersetzt aber keine saubere Rechtevergabe.
Ein pragmatischer Start für Unternehmen
Wenn Sie das Thema sauber, aber ohne Overhead angehen wollen, reicht für den Start oft schon diese Linie:
1. Kritische Systeme und Daten identifizieren
Zuerst muss klar sein, welche Systeme, Daten und Anwendungen besonders schutzwürdig sind. Denn dort tun unnötige Rechte am meisten weh. Das folgt direkt aus der IAM-Logik, Zugriffe auf Systeme, Daten und Funktionen gezielt zu steuern.
2. Rollen und Berechtigungsprofile festlegen
Nicht jeder Einzelfall braucht sofort ein Sondermodell. Meist helfen ein paar saubere Standardrollen mehr als wild gewachsene Einzelrechte.
3. Privilegierte Konten separat behandeln
Adminrechte brauchen strengere Regeln als normale Nutzerkonten. Das NCSC hebt die besondere Bedeutung des privilegierten Benutzer-Managements ausdrücklich hervor.
4. Joiners, Movers, Leavers verbindlich regeln
Zugriffe müssen nicht nur vergeben, sondern auch verändert und entzogen werden. Sonst wächst das Berechtigungschaos fast automatisch.
5. Regelmäßig überprüfen
Berechtigungen altern. Was einmal sinnvoll war, kann später zu weit sein. Least Privilege ist deshalb keine Einmalentscheidung, sondern ein laufender Abgleich zwischen Aufgabe und Zugriff.
Was will der Auditor sehen?
Ein Auditor will in der Regel nicht hören: "Das regeln wir mit gesundem Menschenverstand."
Er will erkennen, dass nachvollziehbar ist, wer worauf zugreifen darf, warum, wer das genehmigt, wie privilegierte Rechte behandelt werden und wie Rechte bei Rollenwechsel oder Austritt wieder verschwinden. Genau diese Punkte folgen direkt aus der IAM-Logik, Least Privilege und JML-Prozessen.
FAQ
Zugriffskontrolle regelt, wer auf welche Systeme, Daten, Funktionen oder Bereiche zugreifen darf. ISO 27001 beschreibt sie als zentralen Bestandteil der Informationssicherheit.
Least Privilege bedeutet, dass Benutzer oder Prozesse nur die minimal nötigen Rechte bekommen, die sie für ihre Aufgabe brauchen. NIST definiert das genau so.
Nein. Zugriffe müssen auch bei Eintritt, Rollenwechsel und Austritt gepflegt werden. Hierzu empfiehlt sich ein Joiner-, Mover- und Leaver-Prozess.
Weil sie meist sehr viel Reichweite haben. Wenn so ein Konto missbraucht wird, ist der Schaden oft besonders groß. Das NCSC behandelt privilegierte Benutzer deshalb als besonders schützenswerten Bereich.
Ja. Service- und Geräteidentitäten sind in moderne IAM- und Zero-Trust-Ansätze einbezogen.
Zu breite Rechte aus Bequemlichkeit zu vergeben und sie später nicht mehr sauber einzufangen. Genau damit verliert Zugriffskontrolle ihren eigentlichen Nutzen.
Unser Tipp
Zugriffskontrolle heißt nicht, Menschen künstlich auszubremsen. Es heißt, unnötige Reichweite aus dem System zu nehmen. Wer sauber regelt, wer was darf, Rollen klar schneidet, privilegierte Rechte ernst nimmt und Rechte bei Veränderungen wieder aufräumt, reduziert Risiken spürbar. Genau deshalb ist Zugriffskontrolle kein Verwaltungsdetail, sondern ein sehr wirksamer Sicherheitshebel.
Interesse geweckt?
Wenn Sie Ihre Zugriffskontrolle so aufbauen wollen, dass sie im Alltag funktioniert und im Audit trägt, dann lassen Sie uns sprechen oder Sie schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!