A.8 Technologische Maßnahmen
Privilegierte Zugangsrechte
Die Zuteilung und Nutzung privilegierter Zugangsrechte muss eingeschränkt und gesteuert werden.
Was fordert dieses Control?
Die Zuteilung und Nutzung privilegierter Zugangsrechte muss eingeschränkt und gesteuert werden.
Warum ist das wichtig?
Privilegierte Konten sind das wertvollste Ziel für Angreifer. Ihre Einschränkung, Trennung und Überwachung begrenzt den Schaden bei Kompromittierung erheblich.
Cross-Standard-Mapping
| Standard | Control-ID | Relevanz |
|---|---|---|
| NIS2 | Art. 21 (2) | Direkt |
| TISAX | 4.1.1 | Direkt |
| BSI | ORP.4.A9 | Direkt |
Was der Auditor erwartet
- 1Restriktive Vergabe privilegierter Rechte
- 2Getrennte Admin-Konten und MFA
- 3Überwachung privilegierter Aktivitäten
Audit-Checkliste
Dokumente
Konzept privilegierter Zugriffe
Vergabe, Trennung und Überwachung von Admin-Rechten
Nachweise
Liste privilegierter Konten
Wer welche Admin-Rechte hat und warum
Technisch
Admin-Konten-Konfiguration
Getrennte Konten, MFA und Protokollierung
Praxis-Tipps zur Umsetzung
Konten trennen
Separate Admin-Konten ohne Mail/Surfen, getrennt vom Tagesbenutzer.
Just-in-Time
Privilegien nur temporär und bei Bedarf gewähren (PAM/PIM).
Lückenlos protokollieren
Privilegierte Aktionen vollständig loggen und überwachen.
Häufige Fehler
Daueradmin
Nutzer arbeiten ständig mit Adminrechten im Alltagskonto.
Keine MFA für Admins
Gerade die kritischsten Konten sind nur passwortgeschützt.
Häufig gestellte Fragen
Was ist Just-in-Time-Administration?
Erhöhte Rechte werden nur bei Bedarf und zeitlich begrenzt gewährt, statt dauerhaft.
Brauchen wir eine PAM-Lösung?
Für größere Umgebungen sehr sinnvoll. Kleine Organisationen können mit getrennten Konten und PIM starten.
Wie überwacht man privilegierte Zugriffe?
Über vollständige Protokollierung und Auswertung privilegierter Aktionen (siehe A.8.15/A.8.16).
So hilft CompliantDesk bei A.8.2
Dokumentieren Sie privilegierte Konten als Kontrolle, planen Sie deren Review und weisen Sie MFA über die M365-Integration nach.