Zugriffs- und Berechtigungskonzept: Vorlage (ISO 27001 / NIS2)
Zu weit gefasste Zugriffsrechte sind einer der häufigsten Audit-Befunde. Diese kostenlose Vorlage strukturiert Ihr Zugriffs- und Berechtigungskonzept nach Least Privilege, mit Rollenmodell, Vergabe-/Entzugsprozess und regelmäßiger Rezertifizierung.
Berechtigungskonzept
Word (.docx) · sofort einsatzbereit
Kostenlos herunterladenKeine Anmeldung nötig
Worum geht es?
Ein Berechtigungskonzept regelt, wer auf welche Systeme und Daten zugreifen darf und wie Rechte vergeben, geändert und entzogen werden. Es setzt mehrere ISO-27001-Controls (A.5.15 bis A.8.3) um und gehört zur NIS2-Pflicht Zugriffskontrolle.
Grundprinzipien sind Need-to-know und Least Privilege: Jeder erhält nur die Rechte, die er für seine Aufgabe braucht. Berechtigungen werden über Rollen vergeben statt personenbezogen zusammengesammelt.
Enthalten sind Grundsätze inklusive Funktionstrennung, ein Rollen- und Rechtemodell, der Ablauf von Vergabe, Änderung und Entzug, strengere Regeln für privilegierte Zugriffe sowie die regelmäßige Rezertifizierung.
Was die Vorlage enthält
Zweck & Geltungsbereich
Welche Systeme, Daten und Konten das Konzept umfasst
Grundsätze
Need-to-know, Least Privilege, Funktionstrennung, Nachvollziehbarkeit
Rollen- & Rechtemodell
Rechtevergabe über Rollen statt personenbezogen
Vergabe, Änderung, Entzug
Antrag, Freigabe, Rollenwechsel und Offboarding
Privilegierte Zugriffe
Getrennte Admin-Identität, MFA und Protokollierung
Rezertifizierung
Regelmäßige Überprüfung durch System-Owner
Die Vorlage eignet sich für ISB und IT-Leitung, die Zugriffsrechte nachvollziehbar steuern müssen. Ergänzen Sie Ihr Rollenmodell und legen Sie die Intervalle für die Rezertifizierung fest.
Häufige Fehler beim Ausfüllen
Rechte-Anhäufung über die Zeit
Bei Rollenwechseln werden neue Rechte vergeben, alte aber nicht entzogen. So sammeln Mitarbeiter über Jahre zu viele Berechtigungen an.
Keine Rezertifizierung
Ohne regelmäßige Überprüfung bleiben veraltete und überflüssige Rechte bestehen, ein klassischer Audit-Befund.
Zugänge beim Austritt nicht entzogen
Ausgeschiedene Mitarbeiter oder Externe behalten Zugriff. Der Entzug muss unverzüglich und nachweisbar erfolgen.
Vorlage pflegen kostet Zeit. Es geht auch automatisch.
Dies ist eine gekürzte Muster-Fassung. In CompliantDesk verwalten Sie Rollen, Zugriffsrechte je Asset und die Rezertifizierung verknüpft und mit Erinnerungen, inklusive Versionierung, SHA-256-Nachweis der Fassung und dokumentierter Mitarbeiter-Bestätigung.
Häufig gestellte Fragen
Was bedeutet Least Privilege?
Das Prinzip der minimalen Rechte: Jede Person und jedes Konto erhält nur die Zugriffsrechte, die für die konkrete Aufgabe zwingend notwendig sind, nicht mehr.
Wie oft muss ich Berechtigungen überprüfen?
Mindestens jährlich, privilegierte Zugriffe häufiger. Bei der Rezertifizierung bestätigen die System-Owner, dass die Rechte noch erforderlich sind.
Rollenbasiert oder personenbezogen vergeben?
Rollenbasiert. Rechte werden über definierte Rollen vergeben, die die für eine Funktion notwendigen Berechtigungen bündeln. Das ist übersichtlicher und leichter zu prüfen.
Weiterführend
Compliance ohne Excel-Chaos
CompliantDesk führt VVT, Risiken, Richtlinien und Nachweise in einem System, mit gemeinsamem Kern-Modell für ISO 27001, NIS2 und DSGVO. Sehen Sie es in einer kurzen Demo.
