Onepager Personalsicherheit, Zugriffskontrolle und Asset-Management

Warum?

In der Informationssicherheit sind Personalsicherheit, Zugriffskontrolle und Asset-Management zentrale Grundlagen, da sie sowohl technische als auch organisatorische Risiken minimieren.

Durch Personalsicherheit wird sichergestellt, dass Mitarbeitende vertrauenswürdig sind und für Sicherheitsrisiken sensibilisiert werden, wodurch menschliche Fehler und Insider-Bedrohungen reduziert werden.

Eine klare Zugriffskontrolle sorgt dafür, dass Personen nur auf die Daten und Systeme zugreifen können, die sie für ihre Arbeit benötigen, was die Risiken von unbefugten Zugriffen und Datenmissbrauch signifikant mindert.

Ergänzend dazu schafft ein strukturiertes Assetmanagement Transparenz über alle -Werte, sodass diese gezielt geschützt, aktuell gehalten und Risiken frühzeitig erkannt werden können.

Zusammen erhöhen diese Maßnahmen die Widerstandsfähigkeit der , verhindern Sicherheitsvorfälle und stärken somit langfristig Vertrauen, Effizienz und wirtschaftliche Stabilität einer Einrichtung.

Wer ist betroffen?

Im Rahmen des -Umsetzungsgesetzes (§ 30 Absatz 2 Satz 2 Nummer 9 ) sind wichtige und besonders wichtige Einrichtungen verpflichtet, "Konzepte für die Sicherheit des Personals, die Zugriffskontrolle und für die Verwaltung von -Systemen, -Produkten und -Prozessen" zu erstellen und dokumentieren.

Was ist zu beachten?

Personalsicherheit

Die Personalsicherheit stellt Anforderungen an die Personalabteilung und Vorgesetzten einer Institution, um sicherzustellen, dass die Mitarbeitenden verantwortungsbewusst mit den Informationen der Institution umgehen und die Vorgaben der Informationssicherheit im Arbeitsalltag umsetzen.

Bei der Planung und dem Umgang mit Personal in Bezug auf Informationssicherheit müssen folgende Risiken und Prinzipien beachtet werden:

Grundprinzipien

• Verpflichtung zur Einhaltung: Es ist wichtig sicherzustellen, dass alle Mitarbeitenden die geltenden Gesetze, Vorschriften und internen Regelungen kennen und einhalten.
• Informationsschutz: Mitarbeitende sollten darauf hingewiesen werden, dass alle während der Arbeit erhaltenen Informationen ausschließlich zum internenGebrauch bestimmt sind und auch außerhalbderArbeitszeit geschützt werden müssen.
• Qualifikation: Positionen sollten idealerweise mit Mitarbeitenden besetzt werden, welche die erforderlichen fachlichen sowie persönlichen Qualifikationen für die konkrete Position besitzen.

Wichtige Risiken

• Personalausfall: Der Ausfall von wichtigen Mitarbeitenden kann dazu führen, dass kritische Aufgaben nicht oder nicht rechtzeitig wahrgenommen werden.
• Unzureichende Kenntnis: Mitarbeitende und Funktionstragende kennen die geltenden Sicherheitsregelungen, Handlungsanweisungen oder Zuständigkeiten nicht (Ausrede: "Ich habe nicht gewusst...").
• Sorglosigkeit: Mitarbeitende umgehen Sicherheitsvorkehrungen durch leichtsinniges Verhalten (z. B. Passwörter am Monitor notieren).
• Unzureichende Qualifikation: Veralteter Wissensstand oder fehlende Schulung führen dazu, dass sicherheitsrelevante Ereignisse nicht erkannt oder bei personeller Vertretungen Fehler gemacht werden.

Zugriffskontrolle

Bei der Zugriffskontrolle geht es darum den Zugriff auf schützenswerte -Ressourcen (Systeme, Daten, Dienste) einer Institution durch ein IdentityandAccessManagement() zu steuern, verwalten und beschränken.

• Identitätsmanagement: Die Verwaltung der Informationen, die zur eindeutigen Identifizierung und Authentisierung (Prüfung der Echtheit) von Benutzenden und -Komponenten notwendig sind.
• Berechtigungsmanagement: Die Festlegung und Kontrolle, wer (Benutzende, -Komponenten) wie auf welche Ressourcen zugreifen darf (Autorisierung).
• Ziel: Die Sicherstellung, dass der Zugriff nur autorisierten Personen und Komponenten gewährt wird und diese nur die Rechte erhalten, die sie für ihre aktuelle Tätigkeit zwingendbenötigen (Prinzip der geringsten Rechte, Least Privilege / Need-to-Know).

Beim IdentityandAccessManagement() müssen folgende Risiken und Prinzipien beachtet werden:

Grundprinzipien

• Least Privilege / Need-to-Know: Berechtigungen dürfen nur aufgrund des tatsächlichen Bedarfs zur Aufgabenerfüllung vergeben werden.
• Eindeutigkeit: Jede Benutzendenkennung muss eindeutig einer Person zugeordnet werden können.
• Funktionstrennung: Unvereinbare Aufgaben und Funktionen müssen im getrennt werden, um Interessenkonflikte und Missbrauch zu verhindern.

Wichtige Risiken

• Unzureichende Prozesse: Konten von ausgeschiedenen Mitarbeitenden werden nicht gelöscht, oder Mitarbeitende behalten alte, nicht mehr benötigte Rechte.
• Dezentralität: Fehlen einer zentralen Übersicht oder Deaktivierungsmöglichkeit, sodass im Notfall nicht alle Konten gleichzeitig gesperrt werden können.
• Wildwuchs bei Rechten: Schlecht geregelte Vergabe führt zu unnötig hohen oder fehlenden Berechtigungen.
• Passwortsicherheit: Die Verwendung desselben Passworts für mehrere Systeme, leicht zu erratende Passwörter oder unsichere Speicherung.

Asset-Management

Bei der "Verwaltung von -Systemen, -Produkten und -Prozessen" aus dem handelt es sich um das sogenannte Asset-Management. Dies bezeichnet die systematische Erfassung, Klassifizierung und Pflege aller betrieblichen -Assets (z. B. Hardware, Software, Daten), um Transparenz über deren Nutzung und Schutzbedarfe zu erhalten. Es bildet die Grundlage für wirksame Sicherheitsmaßnahmen, Risikobewertungen und Compliance.

Grundprinzipien

• Vollständige Inventarisierung aller -Assets: Alle Systeme, Anwendungen und Daten müssen bekannt sein, um sie schützen zu können.
• Klassifizierung nach Schutzbedarf und Kritikalität: Assets werden bewertet, damit Sicherheitsmaßnahmen angemessen priorisiert werden können.
• Klare Zuständigkeiten über den gesamten Lebenszyklus: Verantwortlichkeiten stellen sicher, dass Assets korrekt betrieben, gewartet und außer Betrieb genommen werden.
• Regelmäßige Aktualisierung und Überprüfung der Bestände: Änderungen werden erfasst, um Sicherheitslücken durch veraltete Informationen zu vermeiden.

Wichtige Risiken

• Unbekannte oder vergessene Assets ("Shadow "): Nicht erfasste Assets entziehen sich Sicherheitskontrollen.
• Fehlende oder falsche Schutzmaßnahmen: Ohne korrekte Bewertung werden Assets unzureichend oder übermäßig geschützt.
• Erhöhte Angriffsfläche und Sicherheitslücken: Angreifende nutzen schlecht verwaltete oder nicht überwachte Assets aus.
• Verstöße gegen Compliance- und Datenschutzanforderungen: Wenn Assets nicht bekannt oder korrekt klassifiziert sind, können gesetzliche, regulatorische oder interne Sicherheitsvorgaben (z. B. ) unbeabsichtigt verletzt werden.

Was tun?

Personalsicherheit

1. Einstellung und Einarbeitung

• Geregelte Einarbeitung: Es ist wichtig sicherzustellen, dass neue Mitarbeitende in ihre Aufgaben eingearbeitet und über bestehende Regelungen, Anweisungen und Verfahren informiert werden. Es empfiehlt sich, eine Checkliste sowie einen Ansprechpartner ("Pate") zu etablieren.
• Qualifikation prüfen: Erforderliche Qualifikationen sollten genau formuliert und bei Bewerbenden geprüft werden.
• Vertrauenswürdigkeit: Eine Überprüfung der Vertrauenswürdigkeit neuer Mitarbeitender (z. B. Plausibilitätsprüfung des Lebenslaufs) kann ratsam sein.
• Bei erhöhtem Schutzbedarf: Es sollte eine zusätzliche Sicherheitsüberprüfung (z. B. nach SÜG) durchgeführt werden.

2. Laufender Betrieb

• Qualifikation sicherstellen: Mitarbeitende müssen regelmäßig geschult weitergebildet werden, um einen veralteten Wissensstand zu vermeiden.
• Aufgaben und Zuständigkeiten: Aufgaben und Zuständigkeiten sind zu dokumentieren.
• Vertretungsregelungen: Für alle wesentlichen Geschäftsprozesse sind praktikable Vertretungsregelungen festzulegen. Es muss sichergestellt werden, dass die Vertretung das nötige Wissen besitzt ( durch Schulung oder Dokumentation).

3. Fremdpersonal

• Regelungen für Fremdpersonal: Externes Personal muss zur Einhaltung aller internen Regelungen verpflichtet werden. Bei kurzfristigem Einsatz in sicherheitsrelevanten Bereichen ist eine Beaufsichtigung erforderlich.
• Vertraulichkeitsvereinbarungen: Bevor externe Personen Zugang zu vertraulichen Informationen erhalten, sind Vertraulichkeitsvereinbarungen zu schließen. Für eine erhöhte Authentizität empfiehlt das die Schriftform

4. Ausscheiden von Mitarbeitenden

• Geregelte Verfahrensweise: Beim Ausscheiden eines Mitarbeitenden muss die Nachfolge rechtzeitig eingewiesen werden (idealerweise durch den Ausscheidenden, sonst durch ausführliche Dokumentation).
• Rückgabe von Arbeitsmitteln: Alle Unterlagen, Schlüssel, Geräte, Ausweise und Zutrittsberechtigungen sind einzuziehen.
• Verschwiegenheit: Vor der Verabschiedung ist auf Verschwiegenheitsverpflichtungen hinzuweisen.
• Aktualisierung: Notfall- und Ablaufpläne müssen aktualisiert werden.
• Information: Alle betroffenen Stellen (z. B. -Abteilung, Sicherheitspersonal) sind über das Ausscheiden in Kenntnis zu setzen.

Hinweis: Weitere Informationen hierzu können Sie auch dem Infopaket "Grundlegende Schulungen und Sensibilisierungsmaßnahmen" entnehmen.

Zugriffskontrolle

1. Organisation und Prozesse

• Regelung und Dokumentation: Regelungen zur Einrichtung und Löschung von Konten sowie zur Vergabe und Entzug von Berechtigungen werden empfohlen.
• Dokumentationspflicht: Alle Benutzendenkennungen, -gruppen und Rechteprofile müssen dokumentiert und regelmäßig auf Aktualität und Notwendigkeit überprüft werden.
• Rechteentzug: Bei personellen Veränderungen sind nicht mehr benötigte Berechtigungen unverzüglich zu entziehen.
• Inaktive Konten: Länger inaktive Konten sollten deaktiviert werden.
• Zutritts-, Zugangs- und Zugriffsrechte: Die Vergabe und der Entzug aller drei Arten von Rechten (z. B. für Chipkarten, Token) sind festzulegen und zu dokumentieren.

2. Authentisierung (Passwörter)

• Verbindliche Regelung: Der Passwortgebrauch ist verbindlich zu regeln.
• Eindeutigkeit: Passwörter dürfen nicht mehrfach verwendet werden; für jedes -System muss ein eigenständiges Passwort genutzt werden.
• Qualität: Sichere Passwörter sind in geeigneter Komplexität zu wählen; leicht zu erratende Passwörter dürfen nicht verwendet werden.
• Geheimhaltung: Passwörter sind geheim zu halten und dürfen nur unbeobachtet eingegeben werden.
• Speicherung und Übertragung: Passwörter sind so sicher wie möglich zu speichern und dürfen nicht unverschlüsselt über unsichere Netze übertragen werden.
• Notfall: Ein Passwort darf nur für einen Notfall schriftlich fixiert und sicher aufbewahrt werden.

3. Sicherstellung des Zugriffs

• Sichere Identifikation: Der Zugriff auf alle -Systeme und Dienste ist durch angemessene Identifikation und Authentisierung abzusichern.
• Standard-Konten: Vorkonfigurierte oder Standard-Authentisierungsmittel müssen vor dem produktiven Einsatz geändert werden.

Asset-Management

1. Identifikation der Assets

• Erfassung aller -Assets: Alle Hardware-, Software-, Daten- und Cloud-Ressourcen werden vollständig erfasst, um Transparenz über vorhandene Werte zu schaffen.
• Zuordnung von Verantwortlichkeiten: Jedes Asset erhält einen klar definierten Owner, der für Nutzung, Schutz und Pflege verantwortlich ist.

2. Klassifizierung und Bewertung

• Schutzbedarfsfeststellung: Assets werden nach Vertraulichkeit, Integrität und Verfügbarkeit bewertet, um ihren Sicherheitsbedarf festzulegen.
• Risikobewertung: Mögliche Bedrohungen und Schwachstellen werden analysiert, um Risiken gezielt priorisieren zu können.

Weitere Informationen hierzu können Sie auch dem Infopaket " Risikoanalyse" entnehmen.

3. Dokumentation und Inventarisierung

• Führen eines Asset-Inventars: Alle relevanten Informationen wie Standort, Version, Lebenszyklus und Abhängigkeiten werden zentral dokumentiert.
• Regelmäßige Aktualisierung: Änderungen an Assets werden zeitnah gepflegt, um die Datenbasis aktuell und verlässlich zu halten.

4. Schutz und Kontrolle der Assets

• Implementierung von Sicherheitsmaßnahmen: Technische und organisatorische Schutzmaßnahmen werden entsprechend der Klassifizierung umgesetzt.
• Zugriffs- und Nutzungsregelungen: Der Zugriff auf Assets wird klar geregelt und auf berechtigte Personen beschränkt. (siehe: "Zugriffskontrolle")

5. Lebenszyklusmanagement

• Überwachung des Asset-Lebenszyklus: Beschaffung, Betrieb, Wartung und Außerbetriebnahme werden strukturiert gesteuert.
• Sichere Entsorgung: Nicht mehr benötigte Assets werden datenschutzkonform gelöscht oder vernichtet, um Datenabflüsse zu verhindern.

6. Überprüfung und Verbesserung

• Regelmäßige Audits und Kontrollen: Die Wirksamkeit des Assetmanagements wird überprüft, um Schwachstellen frühzeitig zu erkennen.
• Kontinuierliche Optimierung: Prozesse und Maßnahmen werden laufend angepasst, um neue Risiken und Geschäftsanforderungen zu berücksichtigen.

Weitere Details hierzu können Sie dem Infopaket "Bewertung der Wirksamkeit von Maßnahmen" entnehmen.

Welche Standards gibt es bereits?

Übersicht ausgewählter Standards

Anforderung gemäß (§ 30 Absatz 2 Satz 2 Nummer 9	27001:2022	(Trusted Information Security Assessment Exchange)	RUN*	CyberRisiko Check ()
Personalsicherheit	5.28, 7.1, 7.2, A.6.1, A.6.2, A.6.3, A.6.4, A.6.5,	2.1.1, 2.1.2, 2.1.4	PerM - Personalsicherheit PerM - Rollen, Verantwortlichkeiten, Kompetenzen	02-3, 05-1, 05-2, 06-2, 07-1, 07-2, 07-3, 07-4, 19-2, 20-2, 22-2
Zugriffskontrolle	A.5.15, A.5.16, A.5.17, A.5.18, A.7.1, A.7.2, A.7.4, A.8.2, A.8.3, A.8.5, A.8.18, A.8.21, A.9	4.1.1, 4.1.3, 4.2.1	PerM - Identitäts- und Berechtigungsmanagement TecM - Sichere Authentisierung PhyM - Physischer Zutritt	08-1, 08-2, 09-1, 09-2, 10, 20-2, 22-2, 23, 25-2, 25-4, 26-1
Asset-Management	A.5.9, A.5.10, A.5.11, A.5.12, A.5.13, A.5.14, A.5.18, A.7.7 A.7.10, A.8.24	1.3.1, 1.3.2, 1.3.3, 3.1.3, 3.1.4	OrgM - Assetmanagement	17-1

Hinweise / Disclaimer:

* Die Reife- und Umsetzungsgradbewertung im Rahmen der Nachweisprüfung (RUN) hinterlegen die Reifegrade für die Prüfungen bei mit festgelegten Kriterien und haben nur Relevanz für Betreiber kritischer Anlagen.

Die Tabelle bietet lediglich einen Überblick über ausgewählte bestehende Standards mit Anforderungen zum Thema "Personalsicherheit, Zugriffskontrolle, Assetmanagement". Die Umsetzung gemäß diesen Standards bedeutet nicht automatisch, dass die Anforderungen der vollständig erfüllt werden.

Der CyberRisikoCheck () dient lediglich als Ersteinschätzung zur eigenen -Sicherheit. Eine -Konformität kann hiermit nicht erreicht werden, da der mehrere Anforderungen der Richtline vom aktuell nicht abdeckt.

Abgleich der Anforderungen mit den aktuellen Grundschutz-Praktiken

Anforderung gemäß (§ 30 Absatz 2 Satz 2 Nummer 9	Aktuelle Grundschutzpraktiken
	Personal	Berechtigung	Gebäudemanagement	Informationen und Assets
Personalsicherheit	PERS.1.1 - PERS.6.1.2	-	-	-
Zugriffskontrolle	-	BER.1.1 - BER.7.16.6	GEB.3.1 - GEB.3.7	ASST.3.11
Asset-Management	-	-	-	ASST.1.1 - ASST.7.7

Hinweise / Disclaimer:

Das Mapping basiert auf dem veröffentlichten Grundschutz++ Kompendium mit Stand 01.10.2025 (Version: 0.9.5). Das Kompendium ist über die GitHub-Seite des erreichbar.
Mit der Umsetzung gemäß diesen Anforderungen erfüllen Sie nicht automatisch die Anforderungen der vollständig.

Wie unterstützt das ?

Basistipps zur -Sicherheit

Auf den Webseiten des findet sich eine Sammlung an Basistipps zur -Sicherheit mit vielen leicht zugänglichen Informationen und Checklisten für einen ersten Einstieg in die -Sicherheit. Auch Aspekte der Personalsicherheit und Zugriffskontrolle werden hier beleuchtet.

Broschüre "Cybersicherheit für "

Die Broschüre "Cybersicherheit für " bietet einen leicht verständlichen Einstieg, um Ihr Cybersicherheitsniveau zu verbessern, denn Informationssicherheit ist die Voraussetzung für eine sichere Digitalisierung.

Publikation "Foundations for OT Cybersecurity: Asset Inventory Guidance for Owners and Operators"

Der Leitfaden soll Betreibern Kritischer Infrastrukturen () dabei helfen, Assets zu identifizieren, richtig zu inventarisieren und Cyberangriffe schnellstmöglich zu erkennen, um ihre Assets bestmöglich zu schützen. Auf 31 Seiten werden Abläufe, Taxonomien und Fallbeispiele für verschiedene -Sektoren vorgestellt.