ISO 27001: Funktionstrennung (SoD) in hybriden IT-Umgebungen

Stellen Sie sich eine typische Szene im Audit vor: Der Prüfer blickt auf und fragt: „Ihr Entwickler kann also Code in der AWS-Produktivumgebung bereitstellen. Kann dieselbe Person auch neue Benutzer in Ihrem Active Directory anlegen und ihnen erweiterte Rechte in Salesforce zuweisen?“

‍

Plötzlich herrscht Stille im Raum.

‍

In der modernen, hybriden IT-Welt – einem Mix aus lokalen Servern, Cloud-Diensten (IaaS/SaaS) und Remote-Arbeitsplätzen – ist diese Frage keine Spitzfindigkeit, sondern der Kern einer der größten Compliance-Herausforderungen. Traditionelle Modelle der Funktionstrennung (Segregation of Duties, SoD) zerbrechen an dieser Komplexität. Studien deuten darauf hin, dass bis zu 80 % der schwerwiegenden Zugriffskonflikte genau an den Schnittstellen zwischen On-Premise- und Cloud-Systemen entstehen.

‍

Dieser Artikel ist Ihr Leitfaden, um die Funktionstrennung gemäß ISO 27001, Anhang A.5.3, nicht nur zu verstehen, sondern in Ihrer hybriden Umgebung souverän zu meistern – und die nächste Audit-Frage mit einem Lächeln zu beantworten.

‍

Die Grundlagen: Was ist Funktionstrennung und warum verlangt die ISO 27001 sie?

‍

Bevor wir in die Komplexität der hybriden IT eintauchen, schaffen wir ein solides Fundament. Was genau bedeutet Funktionstrennung?

‍

Im Kern ist die Funktionstrennung das bewährte „Vier-Augen-Prinzip“, angewendet auf IT-Prozesse. Es stellt sicher, dass keine einzelne Person die alleinige Kontrolle über einen kritischen Prozess hat. Ziel ist es, Betrug, vorsätzliche Manipulationen und unbeabsichtigte Fehler zu verhindern.

‍

Ein Prozess wird typischerweise in drei Phasen unterteilt:

‍

1. Initiierung/Antrag: Jemand beantragt eine Aktion (z. B. eine Rechnung erstellen).
   ‍
2. Genehmigung: Eine zweite, unabhängige Person prüft und genehmigt den Antrag (z. B. der Abteilungsleiter gibt die Rechnung frei).
   ‍
3. Ausführung: Eine dritte Person oder ein System führt die Aktion aus (z. B. die Buchhaltung überweist das Geld).

‍

Die ISO 27001 fordert in der Maßnahme A.5.3 die Trennung von Aufgaben und Verantwortungsbereichen (Segregation of duties), um das Risiko einer unbefugten oder unbeabsichtigten Veränderung oder eines Missbrauchs von Unternehmenswerten zu verringern. Dies ist ein fundamentaler Baustein jeder erfolgreichen ISO 27001 Implementierung, da sie das Fundament für eine sichere und nachvollziehbare Verwaltung von Zugriffsrechten legt.

‍

‍

Die Herausforderung: Warum hybride IT die Spielregeln ändert

‍

Das Vier-Augen-Prinzip klingt einfach – bis die Realität der hybriden IT ins Spiel kommt. Traditionelle SoD-Modelle wurden für eine Welt mit klar definierten Systemgrenzen entwickelt, meist innerhalb eines einzigen Rechenzentrums. Heute sieht die Landschaft anders aus:

‍

• On-Premise-Systeme: Active Directory für die Benutzerverwaltung, SAP für die Finanzen. Hier sind die Rollen oft historisch gewachsen und gut verstanden.
  ‍
• IaaS/PaaS-Plattformen (z. B. AWS, Azure, Google Cloud): Bieten extrem granulare, aber hochkomplexe Berechtigungssysteme (z. B. AWS IAM). Eine einzige falsch konfigurierte Rolle kann katastrophale Folgen haben.
  ‍
• SaaS-Anwendungen (z. B. Microsoft 365, Salesforce, Workday): Jede Anwendung bringt ihr eigenes, isoliertes Berechtigungsmodell mit, das nicht automatisch mit anderen Systemen kommuniziert.

‍

Das Kernproblem: Ein Benutzer ist nicht mehr nur ein Benutzer. Er hat eine Identität im Active Directory, eine Rolle in AWS und ein Profil in Salesforce. Ohne eine einheitliche Sichtweise ist es unmöglich zu erkennen, ob die Kombination dieser Berechtigungen einen toxischen Konflikt erzeugt.

‍

Hier kommt das Shared Responsibility Model der Cloud-Anbieter ins Spiel. Der Provider (z. B. AWS) ist für die Sicherheit der Cloud verantwortlich. Sie als Kunde sind jedoch für die Sicherheit in der Cloud verantwortlich. Das bedeutet: Der Anbieter stellt Ihnen die Werkzeuge (z. B. IAM-Rollen) zur Verfügung, aber Sie sind allein dafür verantwortlich, diese korrekt und ohne Interessenkonflikte zuzuweisen. Die Definition des Geltungsbereichs ist hier entscheidend, wie wir in unserem Artikel über den ISO 27001 Scope in Cloud-Umgebungen detailliert beschreiben.

‍

‍

Die Lösung: Ein einheitliches Framework für hybride SoD

‍

Um die Funktionstrennung in einer hybriden Welt audit-sicher umzusetzen, benötigen Sie einen einheitlichen Ansatz, der alle Umgebungen abdeckt. Betrachten wir die drei Kernbereiche und wie Sie dort die Kontrolle behalten.

‍

Teil 1: Kontrolle im eigenen Rechenzentrum (On-Premise)

‍

Hier liegen die klassischen Anwendungsfälle. Ein typisches Beispiel ist die Trennung von Aufgaben in einem ERP-System wie SAP.

‍

• Konflikt: Ein Mitarbeiter darf Lieferanten anlegen UND Rechnungen dieser Lieferanten zur Zahlung freigeben.
  ‍
• Lösung: Der Prozess wird getrennt. Mitarbeiter A kann neue Lieferanten im System anlegen (Initiierung), aber erst nach Prüfung durch einen Vorgesetzten (Genehmigung) wird der Lieferant für Zahlungen freigeschaltet, die wiederum von der Buchhaltung (Ausführung) vorgenommen werden.

‍

Teil 2: Kontrolle in der Cloud-Infrastruktur (IaaS/PaaS)

‍

Bei Plattformen wie Azure oder AWS geht es vor allem um die Kontrolle über administrative Rechte.

‍

• Konflikt: Ein Entwickler hat dauerhaft administrative Rechte, um neue virtuelle Maschinen zu erstellen, und kann sich gleichzeitig selbst die Berechtigung erteilen, auf die produktiven Datenbanken zuzugreifen.
  ‍
• Lösung: Einsatz von Privileged Identity Management (PIM) oder Just-in-Time-Zugriff. Der Entwickler hat standardmäßig nur Leserechte. Für die Erstellung einer neuen Maschine beantragt er temporär erhöhte Rechte, die von einem Lead Engineer genehmigt werden müssen. Der Zugriff ist zeitlich begrenzt und wird vollständig protokolliert.

‍

Teil 3: Kontrolle bei Software-as-a-Service (SaaS)

‍

Jede SaaS-Anwendung ist ein eigenes Universum. Der Schlüssel liegt in der zentralen Steuerung über ein Identity-Management-System.

‍

• Konflikt: Ein Vertriebsmitarbeiter kann einen neuen Kunden in Salesforce anlegen UND die Rabattstruktur für diesen Kunden ohne Genehmigung ändern.
  ‍
• Lösung: Die Zuweisung von Berechtigungen in Salesforce wird über zentrale Benutzergruppen im Identity Provider (z. B. Azure AD) gesteuert. Das Recht zur Rabattänderung liegt in einer separaten Gruppe, deren Mitgliedschaft eine Genehmigung durch den Vertriebsleiter erfordert.

‍

Der „Aha-Moment“: Der Mythos der Trennung von Entwicklung und Betrieb

‍

Ein weit verbreiteter Irrglaube ist, dass die Trennung in ein Entwickler-Team (Dev) und ein Operations-Team (Ops) automatisch die Funktionstrennung erfüllt. In der Praxis führt dies oft zu einem „allmächtigen“ Operations-Team, das zum Flaschenhals für die Entwicklung wird und gleichzeitig exzessive Berechtigungen bündelt.

‍

Der moderne und sicherere Ansatz ist eine Self-Service-Plattform. Hier stellt das Operations-Team eine automatisierte Plattform bereit, über die Entwickler definierte Aktionen (z. B. das Deployment einer neuen Anwendung) selbst ausführen können. Die Funktionstrennung ist dabei direkt in die technischen Kontrollen der Plattform eingebaut:

‍

• Ein Entwickler kann Code in ein Repository pushen.
• Die Plattform prüft den Code automatisch (Security Scans, Tests).
• Nur nach erfolgreicher Prüfung und ggf. Genehmigung durch einen zweiten Entwickler (Peer Review) deployt die Plattform den Code automatisch in die Produktivumgebung.

‍

Der Entwickler hat nie direkten Zugriff auf die Produktivserver. Die Kontrolle wird von Personen auf Prozesse verlagert. Moderne Plattformen für Digital Compliance sind darauf ausgelegt, solche Kontrollen zu automatisieren und über Systemgrenzen hinweg nachvollziehbar zu machen.

‍

⚠️ Audit-Fehler: Verlassen Sie sich nicht allein auf die vordefinierten Rollen Ihres Cloud-Anbieters. Sie sind dafür verantwortlich, wie diese Rollen zugewiesen und kombiniert werden. Eine Rolle wie „Contributor“ in Azure ist mächtig – dokumentieren und begründen Sie jede einzelne Zuweisung!

‍

Ihr Werkzeugkasten für das nächste Audit

‍

Wie können Sie nun praktisch vorgehen? Beginnen Sie mit der Erstellung einer zentralen SoD-Matrix.

‍

1. Identifizieren Sie kritische Prozesse: Listen Sie alle geschäftskritischen Prozesse auf (z. B. Benutzerverwaltung, Finanztransaktionen, Code-Deployment).
   ‍
2. Definieren Sie Konflikte: Bestimmen Sie für jeden Prozess, welche Aufgabenkombinationen ein Risiko darstellen (z. B. „Benutzer anlegen“ + „Rechte zuweisen“).
   ‍
3. Rollen und Systeme zuordnen: Dokumentieren Sie, welche Rollen in welchen Systemen (AD, AWS, Salesforce etc.) welche Aufgaben ausführen dürfen.
   ‍
4. Kontrollen implementieren: Setzen Sie technische oder organisatorische Kontrollen um, um die identifizierten Konflikte zu verhindern (z. B. Genehmigungsworkflows, automatisierte Plattformen).
   ‍
5. Überwachen und prüfen: Überprüfen Sie die Einhaltung Ihrer SoD-Matrix regelmäßig. Automatisierte Tools können hierbei helfen, Abweichungen sofort zu erkennen.

‍

Diese Prinzipien des Zugriffsmanagements sind auch für andere Regularien wie NIS2 von zentraler Bedeutung.

‍

‍

Fazit: Von der Komplexität zur Kontrolle

‍

Die Funktionstrennung in hybriden IT-Umgebungen ist zweifellos komplex. Doch sie ist kein unlösbares Problem. Indem Sie von einem isolierten Systemdenken zu einem einheitlichen, prozessorientierten Framework übergehen, verwandeln Sie ein potenzielles Audit-Risiko in einen Nachweis für robuste Governance und Sicherheit.

‍

Der Schlüssel liegt darin, über die Grenzen einzelner Plattformen hinauszublicken und eine zentrale Sicht auf die kombinierten Berechtigungen eines Benutzers zu schaffen. Mit einer klaren SoD-Matrix, dem Einsatz moderner Self-Service-Modelle und kontinuierlicher Überwachung sind Sie bestens gerüstet, um die Anforderungen der ISO 27001 (A.5.3) souverän zu erfüllen.

‍

Häufig gestellte Fragen (FAQ)

‍

Was ist Funktionstrennung (SoD) in einfachen Worten?

‍

Funktionstrennung ist das „Vier-Augen-Prinzip“. Es stellt sicher, dass keine einzelne Person einen kritischen Prozess von Anfang bis Ende allein durchführen kann, um Fehler und Missbrauch zu verhindern.

‍

Warum ist SoD für die ISO 27001 so wichtig?

‍

Die ISO 27001 (Maßnahme A.5.3) fordert SoD, weil sie ein grundlegender Kontrollmechanismus ist, um die Integrität, Vertraulichkeit und Verfügbarkeit von Informationen zu schützen. Ohne SoD können Zugriffsrechte leicht missbraucht werden, was zu Datenlecks, Betrug oder Systemausfällen führen kann.

‍

Kann ich die Funktionstrennung mit einer Software automatisieren?

‍

Ja. Moderne Compliance-Plattformen können dabei helfen, SoD-Richtlinien über verschiedene Systeme hinweg zu definieren, zu überwachen und durchzusetzen. Sie automatisieren die Überprüfung von Berechtigungen, erkennen Konflikte und unterstützen bei der Erstellung von Audit-Berichten, was den manuellen Aufwand erheblich reduziert.

‍

Was ist der häufigste Fehler bei der SoD-Implementierung in agilen Umgebungen?

‍

Der größte Fehler ist der Glaube, dass die organisatorische Trennung von Entwicklungs- (Dev) und Betriebsteams (Ops) ausreicht. Dies führt oft zu einem allmächtigen Ops-Team, das ein hohes Risiko darstellt. Ein besserer Ansatz ist eine automatisierte Self-Service-Plattform, bei der die Kontrollen direkt in den technischen Prozess integriert sind.

‍