Assesment 1 / J Personalsicherheit, Zugriffskontrolle & Asset Management
Nach Interviewpartner filtern:
Einkauf
Geschäftsleitung
HR
HR (Schulungen)
ISB/CISO
IT-Administration
IT-Betrieb
IT-Betrieb/SOC
IT-Leitung
IT-Sicherheit
IT/Entwicklung
Interne Revision
Recht/Datenschutz
Filter zurücksetzen
Keine Kategorie für die gewählten Interviewpartner.
J – Personalsicherheit, Zugriffskontrolle & Asset ManagementNIST CSF 2.0: PR.AA, ID.AM
Maßnahme 9 aus Art. 21 Abs. 2 NIS2-RL.
Empfohlene Interviewpartner: HR, IT-Administration
Änderungen werden automatisch gespeichert.
Wie ist Ihr Berechtigungskonzept nach dem Prinzip minimaler Rechte (Least Privilege) aufgebaut, und wie stellen Sie durch regelmäßige Rezertifizierung sicher, dass sich über die Zeit keine unnötigen Rechte anhäufen?
Regelmäßige Rezertifizierung verhindert Rechteanhäufung über die Zeit.
Reifegrad
Größtenteils umgesetzt
Notizen / Freitext
Maßnahmen
Rollenbasiertes Berechtigungskonzept (RBAC) einführen
Entfernen
Rechtevergabe nach Funktion statt individuell.
Beispiel Rechte werden über Rollen wie „Buchhaltung“ oder „IT-Admin“ vergeben statt individuell pro Person.
Standardvorschläge
+ Regelmäßige Rezertifizierung von Berechtigungen etablieren
Ausstehend
Periodische Überprüfung, ob Rechte noch benötigt werden.
Beispiel Führungskräfte bestätigen halbjährlich, dass die Rechte ihrer Teammitglieder noch benötigt werden.
+ Role Based Access Control (RBAC) nach Need-to-know- und Least-Privilege-Prinzip einführen
Ausstehend
Rechtevergabe anhand definierter Rollen/Tätigkeitsprofile statt individueller Einzelfreigaben.
Beispiel Die Rolle „Buchhaltung“ erhält automatisch genau die Rechte, die für Rechnungsstellung nötig sind – nicht mehr.
Quelle: TeleTrusT SdT 2025-06, Kap. 3.3.9 Privilegierte Benutzerkonten
Welche Prozesse regeln den sicheren Umgang mit Personal, das Zugriff auf kritische Systeme hat – vom Onboarding über etwaige Zuverlässigkeitsprüfungen bis zum zeitnahen Entzug von Zugängen beim Offboarding?
Offboarding ist besonders kritisch, um Zugänge zeitnah zu entziehen.
Reifegrad
Noch nicht eingeschätzt – Regler bewegen zum Setzen
Notizen / Freitext
Maßnahmen
Standardvorschläge
+ Strukturierten On-/Offboarding-Prozess einführen
Ausstehend
Sicherstellen, dass Zugänge zeitnah vergeben bzw. entzogen werden.
Beispiel Eine Checkliste stellt sicher, dass am letzten Arbeitstag alle Zugänge eines Mitarbeitenden gesperrt werden.
+ Vertraulichkeitsvereinbarungen für sensible Rollen einführen
Ausstehend
Vertragliche Absicherung bei Zugriff auf kritische Daten/Systeme.
Beispiel IT-Administratoren unterschreiben beim Onboarding eine zusätzliche Vertraulichkeitsvereinbarung.
Wie vollständig und aktuell ist Ihr Inventar aller IT-Assets (Hard- und Software), und wie wird deren gesamter Lebenszyklus – inklusive rechtzeitigem Austausch veralteter Systeme – verwaltet?
Unbekannte/veraltete Assets sind ein häufiges Einfallstor.
Reifegrad
Noch nicht eingeschätzt – Regler bewegen zum Setzen
Notizen / Freitext
Maßnahmen
Standardvorschläge
+ CMDB / Asset-Inventar einführen und pflegen
Ausstehend
Zentrale, aktuelle Übersicht über alle IT-Assets.
Beispiel Ein zentrales Tool listet jeden Laptop, Server und jede Softwarelizenz mit Verantwortlichem.
+ End-of-Life-Tracking für Hard-/Software etablieren
Ausstehend
Rechtzeitiger Austausch nicht mehr unterstützter Systeme.
Beispiel Eine Übersicht zeigt, wann der Hersteller-Support für Windows Server oder Netzwerk-Hardware ausläuft.
+ IT-Asset-Management nach BSI-Standard 200-2 oder ISO/IEC 27001 etablieren
Ausstehend
Systematische Erfassung, Verantwortlichkeiten und Klassifizierung aller Assets zur Vermeidung von Schatten-IT.
Beispiel Ein automatisiertes Inventory-Tool meldet neue, nicht registrierte Geräte im Netzwerk als potenzielle Schatten-IT.
Quelle: TeleTrusT SdT 2025-06, Kap. 3.3.15 Asset Management
Wie werden privilegierte und administrative Konten besonders abgesichert und überwacht – etwa durch eine PAM-Lösung, getrennte Admin-Accounts oder ein dediziertes Verfahren für Service-Accounts?
Admin-Konten sind bevorzugtes Ziel bei Angriffen.
Reifegrad
Noch nicht eingeschätzt – Regler bewegen zum Setzen
Notizen / Freitext
Maßnahmen
Standardvorschläge
+ Privileged-Access-Management (PAM)-Lösung einführen
Ausstehend
Kontrollierter, protokollierter Zugriff auf privilegierte Konten.
Beispiel Admin-Zugriffe erfolgen nur noch zeitlich begrenzt und protokolliert über eine PAM-Lösung.
+ Getrennte Admin-Accounts ohne Mail-/Internetzugriff einführen
Ausstehend
Reduziert Angriffsfläche für Phishing auf Admin-Konten.
Beispiel IT-Mitarbeitende nutzen für administrative Tätigkeiten einen separaten Account ohne E-Mail-Postfach.
+ Service-Accounts (Machine-to-Machine) nach dediziertem Verfahren absichern
Ausstehend
Keine interaktive Anmeldung zulassen, starke zufällige Passwörter, striktes Least-Privilege statt kopierter Rechte.
Beispiel Ein Service-Account für den nächtlichen Backup-Job kann sich technisch nicht interaktiv anmelden, jeder Versuch wird alarmiert.
Quelle: TeleTrusT SdT 2025-06, Kap. 3.3.9 Privilegierte Benutzerkonten