Beitrag teilen
HOME
/
blog
/
ISO 27001 Annex A.9 – Access Management leicht gemacht

ISO 27001 Annex A.9 – Access Management leicht gemacht

Anne Hillmer

Information Security Expert

March 7, 2024

6 min

Anne ist eine Expertin auf dem Gebiet der Informationssicherheit mit umfangreicher Arbeitserfahrung im Bundesamt für Sicherheit in der Informationstechnik (BSI). Als ISO/IEC 27001 Lead Implementer und Data Protection Officer verfügt sie über profunde Kenntnisse in der Gestaltung und Umsetzung sicherer IT-Systeme und ist zudem zertifiziert als IT-Security Officer (TÜV) für Informationssicherheit.

Key Takeaways

Viele Kunden stehen vor der Herausforderung, das Access Management nach ISO 27001 Annex A.9 effektiv umzusetzen. Schließlich ist es oft eine echte Herausforderung, Zugriffskontrollen flächendeckend zu etablieren, Zugriffsrechte zu verwalten und die entsprechenden Zugriffsaktivitäten angemessen zu überwachen.

In diesem Zusammenhang bietet die seit Oktober 2023 bestehende Partnerschaft zwischen SECJUR, der Plattform für Compliance-Automatisierung, und Cakewalk, dem Experten für Access Management, eine komplementäre Lösung. Die Expertise von Cakewalk in Identity Governance ergänzt perfekt die automatisierte ISMS-Lösung von SECJUR.  

Access Management: Integraler Bestandteil eines erfolgreichen ISMS

Der Zugriffsverwaltung kommt eine entscheidende Rolle innerhalb eines erfolgreichen Informationssicherheitsmanagementsystems (ISMS) zu. Access Management ist darauf ausgerichtet, den Zugriff auf Ressourcen in einer Organisation zu regulieren und sicherzustellen, dass die Berechtigungen gemäß Grundsätzen wie „Zero Trust“ und „Least Privilege“ korrekt vergeben und beibehalten werden. Diese Best Practices sind essenziell, um die Sicherheit der Informationen und Daten zu gewährleisten.

Was genau ist der Annex A.9 der ISO 27001?

Anhang A.9 oder auch Annex A.9 der ISO 27001 beschäftigt sich mit der Zugangskontrolle. Sein Hauptziel ist, den Zugang zu Informationen zu schützen und sicherzustellen, dass nur befugte Benutzer auf diese zugreifen können, um so das Risiko von Datenschutzverletzungen zu verringern. Annex A.9 legt die Verfahren und Prinzipien fest, um die Sicherheit und Integrität von Daten zu gewährleisten.

Der Annex A.9 verwendet dabei Begriffe wie „Zugangsverwaltung“, „Rechteverwaltung“ und „Identitätsverwaltung“, um die Zugangskontrolle zu beschreiben.

Er ist in vier Abschnitte unterteilt: Zugangskontrollen, Benutzerzugangsverwaltung, Benutzerverantwortlichkeiten und Anwendungszugangskontrollen.

Annex A.9 enthält Vorschriften zur Benutzerauthentifizierung, zur Zuteilung von Zugriffsrechten, zur Verwaltung von Passwörtern und zur Überwachung der Verwendung von Zugriffsrechten.

Was ist das Ziel des Annex A.9?

Zugriffsverwaltung, wie sie in Annex A.9 beschrieben wird, bedeutet, dass nur Personen, denen ausdrücklich Zugriff gewährt wurde, diesen erhalten dürfen. Diese Maßnahme verhindert den unautorisierten Zugriff auf sensible Informationen.  

Unbefugte Zugriffe auf Informationen können zu Informationsmissbrauch oder -verlust führen. Annex A.9 bietet Sicherheit gegen verschiedene Bedrohungen, einschließlich versehentlicher Datenverluste, physischer Zugriffskontrolle, Netzwerksicherheit und weiteren Angriffen.

Die Kontrolle und Überwachung von Benutzerzugriffen, einschließlich physischer Zugänge, Netzwerkzugänge und Programmquellcode, ist ein wesentlicher Aspekt dieses Anhangs. Es erfordert klare Richtlinien und Verfahren, um sicherzustellen, dass der Zugang zu Informationen nur von befugten Personen erfolgt.

Indem geeignete Zugangskontrollen etabliert werden, sollen somit unautorisierte Zugriffe, Informationssystem-Angriffe und Datenlecks verhindert oder minimiert werden. Das Ziel besteht darin, die Sicherheit der Informationen innerhalb eines Unternehmens zu gewährleisten.

Annex A.9 als zentraler Bestandteil der ISO 27001-Norm

Viele betrachten den Annex A.9 als den wichtigsten der ISO 27001, da er die Grundlage für das gesamte ISMS bildet. Das korrekte Handling von Zugangskontrollen ist entscheidend, da Fehler schwerwiegende Auswirkungen auf ein Unternehmen haben können, wie beispielsweise den unautorisierten Zugriff auf vertrauliche Mitarbeiterdaten. Daher ist es von großer Bedeutung, diese Aspekte sorgfältig zu planen und umzusetzen.

Anhang A.9 ist somit ein entscheidender Bestandteil des Wegs zur ISO 27001-Zertifizierung und kann aufgrund der Komplexität der Aufgaben, die er an Unternehmen stellt, dazu führen, dass diese Unterstützung bei der Umsetzung seiner Anforderungen benötigen.

Die Zusammenarbeit zwischen SECJUR und Cakewalk bietet Unternehmen hierfür die Unterstützung, die sie brauchen, um die nahtlose Identitätsverwaltung in den Aufbau eines ISMS zu integrieren.

Annex A.9: Was genau ist Access Control?  

Access Control beziehungsweise Zugangskontrolle in ISMS kann in vier Hauptkategorien unterteilt werden, je nachdem, wie der Zugriff auf geschützte Ressourcen geregelt wird und welche Bedürfnisse das Unternehmen zum Schutz seiner Informationen mitbringt:

Diskretionäre Zugangskontrolle (DAC):

Bei der DAC entscheidet die Person, die die Kontrolle über das geschützte System, die Daten oder die Ressource hat, wer dazu Zugang erhält. Die Zugriffsberechtigungen werden von den Ressourcenbesitzern oder Administratoren diskretionär vergeben. Dieses Modell bietet Flexibilität, da es den Benutzern die Freiheit gibt, den Zugang zu gewähren oder zu verweigern.

Obligatorische Zugriffskontrolle (MAC):

Im Gegensatz zur DAC erfolgt die Zugriffskontrolle bei MAC nicht nach dem Ermessen des Benutzers oder Administrators. Stattdessen wird der Zugriff auf der Grundlage von vordefinierten Sicherheitsklassifikationen und -richtlinien („Clearings“) geregelt. Eine zentrale Behörde bestimmt, welche Benutzer auf welche Ressourcen zugreifen dürfen. Dieses Modell wird oft in streng regulierten Umgebungen wie Behörden und Militärorganisationen eingesetzt.

Rollenbasierte Zugriffskontrolle (RBAC):

Bei RBAC wird der Zugang basierend auf den Rollen und Verantwortlichkeiten der Benutzer gewährt. Anstatt individuelle Benutzer zu autorisieren, werden vordefinierte Rollen erstellt, die bestimmte Aufgaben oder Funktionen im Unternehmen repräsentieren. Benutzer erhalten dann Berechtigungen entsprechend ihrer zugewiesenen Rolle. Dies fördert die Effizienz und die Einhaltung von Sicherheitsrichtlinien.

Attributbasierte Zugriffskontrolle (ABAC):

ABAC ermöglicht die Steuerung des Zugriffs anhand einer breiten Palette von Attributen und Umgebungsvariablen, darunter Benutzerattribute, Ressourcenattribute, Zeit, Standort und mehr. Die Zugriffsentscheidungen werden aufgrund dieser dynamischen Merkmale getroffen, wodurch die Feinsteuerung und Anpassung des Zugriffs auf unterschiedliche Situationen möglich ist. ABAC bietet eine flexible Methode zur Zugangskontrolle, die auf komplexen Bedingungen basiert.

Die Wahl der geeigneten Zugangskontrollmethode hängt von den spezifischen Anforderungen und der Art der geschützten Informationen ab. Unternehmen können eine oder mehrere dieser Methoden je nach ihrer Sicherheitsstrategie und den Compliance-Anforderungen implementieren, um sicherzustellen, dass der Zugriff auf sensible Daten angemessen gesteuert wird.

Access Management mit Cakewalk – Zugriff einfach smart verwalten

Cakewalk bietet eine umfassende Palette von Funktionen, um den Zugriff von Mitarbeitern auf Software-Anwendungen innerhalb einer Organisation effizient und sicher zu verwalten. Einer der Schlüsselaspekte ist die Möglichkeit, Mitarbeitern die Apps zur Verfügung zu stellen, die sie benötigen, und gleichzeitig die volle Kontrolle zu behalten. Dies geschieht über Selbstbedienungszugriffsanfragen, die über einen maßgeschneiderten App-Katalog abgewickelt werden können.

Cakewalks Lösung zeichnet sich durch die automatische Erkennung jedes Zugriffs von Identitäten auf Applikationen aus und gewährleistet so die Einhaltung des Prinzips „Least Privilege“ (minimale Berechtigungen). Dadurch wird sichergestellt, dass Mitarbeiter nur die erforderlichen Berechtigungen erhalten. Auch automatisierte On- und Offboardings (Provisionierung zu Software) sowie Access Reviews sind Teil des Produktes. 

Diese Funktionen werden von den IT-, Sicherheits- und HR-Abteilungen und Mitarbeitern gleichermaßen geschätzt.

Durch die Implementierung dieser automatisierten Identity Governance stellen Unternehmen sicher, dass sie die erforderlichen Access-Management-Kriterien für IT-Audits im Rahmen einer ISO-27001-Zertifizierung erfüllen. 

Annex A.9: Intelligente Ergänzung des ISMS mit SECJUR

Cakewalks Access Management unterstützt SECJURs Kunden bei der Umsetzung der ISO 27001-Norm, indem es eine effektive Kontrolle und Verwaltung des Zugriffs auf Informationen und Systeme ermöglicht. Die ISO 27001 ist ein international anerkannter Standard für Informationssicherheitsmanagementsysteme, der sicherstellt, dass angemessene Sicherheitsmaßnahmen zum Schutz von Informationen und Daten implementiert werden.

Der Anhang A.9 des ISO 27001 Standards bezieht sich demzufolge auf die Verfahren und Richtlinien, die bestimmen, wie Zugriffsrechte von Informationen und Systemen verwaltet werden.  

Durch Cakewalks Access-Management-Lösung können SECJURs Kunden den Zugriff auf sensible Informationen sowohl intern als auch extern effizient verwalten und ihr ISMS direkt gemäß den Anforderungen des ISO 27001 Annex A.9 aufbauen.  

Access Management leicht gemacht – mit Cakewalk

Erfüllen Sie die Anforderungen von ISO 27001 Annex A.9 und sichern Sie Ihr Unternehmen vor unerwünschtem Zugriff und Datenlecks. Die Partnerschaft zwischen SECJUR und Cakewalk bietet eine umfassende Lösung, um das Access Management zu optimieren und die Sicherheit Ihrer Informationen zu gewährleisten.

Mehr erfahren

Fazit: Mit SECJUR und Cakewalk den Annex A.9 der ISO 27001 effizient erfüllen

Unternehmen stehen vor der Herausforderung, Zugangskontrollen effektiv zu etablieren und zu verwalten, um die Anforderungen von ISO 27001 Annex A.9 zu erfüllen. Die Partnerschaft zwischen SECJUR und Cakewalk bietet eine umfassende Lösung, um diese Herausforderungen anzugehen.

Access Management spielt eine entscheidende Rolle in einem erfolgreichen ISMS. Es soll den Zugang zu Ressourcen regulieren und sicherstellen, dass Berechtigungen gemäß bewährten Praktiken wie „Zero Trust“ und „Least Privilege“ korrekt vergeben werden, um die Sicherheit von Informationen und Daten zu gewährleisten.  

Cakewalk in Zusammenarbeit mit SECJUR bietet eine Lösung, um den Zugang zu Anwendungen effizient und sicher zu verwalten, indem es Mitarbeiteranfragen über einen maßgeschneiderten App-Katalog unterstützt und die Einhaltung des Prinzips „Least Privilege“ gewährleistet. Die nahtlose Identitätsverwaltung wird von IT-, Sicherheits- und HR-Abteilungen sowie den Mitarbeitern geschätzt.

Anhang A.9 stellt eine der wichtigsten Klauseln der ISO 27001-Zertifizierung dar, weil die Kontrolle des Zugangs zu Informationen entscheidend für die Sicherheit von Unternehmen ist. Durch die Implementierung von Access Management Strategien können unerwünschter Zugriff, Angriffe auf Informationssysteme und Datenlecks verhindert werden.  

SECJUR und Cakewalk bieten fachkundige Beratung und Unterstützung bei der Verwaltung von Zugangskontrollen im Rahmen des ISMS Aufbaus für Unternehmen, um zur erfolgreichen ISO 27001-Zertifizierung zu verhelfen.

Anne Hillmer

Anne ist eine Expertin auf dem Gebiet der Informationssicherheit mit umfangreicher Arbeitserfahrung im Bundesamt für Sicherheit in der Informationstechnik (BSI). Als ISO/IEC 27001 Lead Implementer und Data Protection Officer verfügt sie über profunde Kenntnisse in der Gestaltung und Umsetzung sicherer IT-Systeme und ist zudem zertifiziert als IT-Security Officer (TÜV) für Informationssicherheit.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

June 7, 2023
5 min
Informationssicherheitsbeauftragter – das macht der ISB!

Ein Informationssicherheitsbeauftragter (ISB) ist zuständig für die allgemeine Informationssicherheit in einem Unternehmen oder einer Institution. Dabei ist zu beachten, dass es beim Informationssicherheitsbeauftragten keine fest geschriebene gesetzliche Definition gibt, wie es etwa bei einem Datenschutzbeauftragten der Fall ist. Vielmehr werden je nach Branche verschiedene Definitionen genutzt, beispielsweise im Finanzdienstleistungssektor. Woher weiß ein Unternehmen nun, ob es einen Informationssicherheitsbeauftragten braucht? Wir haben es in diesem Überblick zusammengefasst.

Lesen
August 25, 2023
12 min
Datenschutzgesetz Schweiz: Was Unternehmen jetzt tun müssen

Mit dem kürzlich überarbeiteten Datenschutzgesetz (DSG) steht die Schweizer Geschäftswelt vor neuen Herausforderungen. In diesem informativen Artikel werfen wir einen Blick auf die sich ergebenden Verpflichtungen und beleuchten die wesentlichen Unterschiede zwischen dem revidierten DSG und der DSGVO. Besonders markant ist die Einführung der persönlichen strafrechtlichen Haftung, die zur Folge hat, dass nicht nur Unternehmen, sondern auch Privatpersonen bei Verstößen gegen das DSG zur Rechenschaft gezogen werden können. Unser Rechtsexperte Simon Pentzien gibt wertvolle Empfehlungen zur reibungslosen Umsetzung.

Lesen
November 6, 2023
7 min
NIS2 Cybersecurity – was bedeutet die neue EU-Richtlinie für die Cybersicherheit in Europa?

Das Europäische Parlament hat einen bedeutenden Schritt in Richtung umfassenderer und effektiverer Cybersicherheit unternommen. Am 10. November 2022 billigte es den Entwurf der NIS2 Richtlinie, die seit Anfang 2023 in der EU in Kraft ist. Angesichts der anhaltenden Bedrohung durch Cyberangriffe erkannte die Europäische Union die Notwendigkeit, Maßnahmen zu ergreifen. Die NIS2 Richtlinie, die unter anderem die Definition kritischer Dienstanbieter erweitert und strengere Sicherheitsstandards einführt, zielt darauf ab, die Cybersicherheit in Europa zu stärken.

Lesen
TO TOP