Zum Inhalt
ISMS.online

A.5.15 Zugriffskontrollrichtlinie – MSP-Zugriffsverwaltung

Wenn MSP-Tools oder -Identitäten auf viele Kundensysteme zugreifen können, kann eine einzige Schwachstelle Auswirkungen auf den gesamten Kundenstamm haben. Moderne Kunden und Auditoren verlangen Nachweise darüber, dass Sie kontrollieren, wer worauf zugreifen darf – und warum. Anhang A.5.15 fordert dokumentierte Regeln und den Nachweis ihrer Durchsetzung, nicht nur gute Absichten. Deshalb ist eine klare und nachvollziehbare Zugriffsverwaltung heute die Grundlage für das Vertrauen in MSPs.

Autorin
Mark Sharron
Aktualisiert Dezember 1, 2025
4 / 5 Sterne

Wenn die MSP-Zugriffskontrolle zu einem Haftungsrisiko für mehrere Mandanten wird

Die Zugriffskontrolle für Managed Service Provider (MSPs) wird zu einem Risiko für mehrere Mandanten, wenn dieselben Personen und Tools ohne klare und durchgesetzte Regeln auf viele Kunden zugreifen können. In diesem Fall kann eine schwache Identität oder ein missbräuchlich verwendetes Tool viele Mandanten gleichzeitig beeinträchtigen, und es wird schwierig, Kunden oder Auditoren nachzuweisen, dass der Zugriff tatsächlich kontrolliert wird.

Wenn Sie viele Kunden betreuen, kann unkontrollierter Zugriff unbemerkt zu einem mandantenübergreifenden Haftungsrisiko werden, das alle von Ihnen betreuten Organisationen betrifft. Selbst wenn Sie noch keinen Sicherheitsvorfall oder eine aufwendige Prüfung erlebt haben, stehen Ihre Zugriffspraktiken aufgrund steigender Erwartungen von Aufsichtsbehörden und Kunden bereits unter Beobachtung. Diese Informationen sind allgemeiner Natur und stellen keine Rechts- oder sonstige professionelle Beratung dar. Sie sollten sich in jedem Fall von einem qualifizierten Berater individuell beraten lassen.

Vertrauen ist zerbrechlich, wenn viele Menschen unsichtbare Schlüssel zu vielen Orten besitzen.

Warum der Zugriff mehrerer Mandanten das Risiko erhöht

Der Zugriff mehrerer Mandanten erhöht das Risiko, da eine einzige schwache Identität oder ein unzureichendes Tool gleichzeitig in viele Kundensysteme eindringen kann. Leitlinien nationaler Cybersicherheitsbehörden, wie beispielsweise die Erkenntnisse der CISA zu Cyberrisiken in der Lieferkette von Managed Service Providern (MSPs), weisen darauf hin, dass Angreifer gezielt gemeinsam genutzte MSP-Tools und -Identitäten angreifen, da diese ihnen bei mehreren Kunden einen erheblichen Vorteil verschaffen. Wird diese Verbindung missbraucht oder kompromittiert, können die Auswirkungen schnell von einem Mandanten auf viele ausweiten und ein lokales Problem zu einem systemweiten Ausfall führen.

Ein sinnvoller erster Schritt ist die Erfassung aller Zugriffswege Ihrer Mitarbeiter und Tools auf Kundensysteme. Dazu gehören privilegierte Konten in Kundenverzeichnissen, Zugriffe auf Cloud-Management-Konsolen, gemeinsam genutzte Tresore für Zugangsdaten, Plattformen für Fernüberwachung und -verwaltung, Backup-Systeme und Support-Hosts. Wenn Sie diese Beziehungen auf einer Seite skizzieren, stellen Sie oft fest, dass wenige Identitäten und Tools einen großen Teil Ihrer Kundenbasis erreichen können.

Diese visuelle Darstellung des „Gefahrenradius“ erfüllt zwei Zwecke: Sie schärft das Verständnis der Führungsebene für die tatsächlichen Zugriffsrisiken und erleichtert die Erläuterung der Notwendigkeit von Investitionen in die Zugriffsverwaltung. Anstatt abstrakt über Zero Trust zu sprechen, kann man auf ein konkretes Diagramm verweisen und sagen: „Wenn eine dieser Identitäten missbraucht wird, könnte Folgendes passieren.“

Worauf sich Kunden und Regulierungsbehörden konzentrieren

Kunden und Aufsichtsbehörden legen zunehmend Wert auf den Zugriff von Managed Service Providern (MSPs), da dieser einen wichtigen Zugang zu vielen Organisationen darstellt. Sie erwarten nicht nur die Einhaltung der ISO 27001, sondern auch, dass Sie genau erklären und nachweisen können, wie die MSP-Mitarbeiter in ihren Systemen authentifiziert, autorisiert und überwacht werden.

Die Ergebnisse der ISMS.online-Umfrage „State of Information Security 2025“ zeigen, dass Kunden zunehmend erwarten, dass Lieferanten sich an formalen Rahmenwerken wie ISO 27001, ISO 27701, DSGVO, Cyber ​​Essentials und SOC 2 orientieren, anstatt sich nur auf allgemeine bewährte Verfahren zu verlassen.

Unternehmenskunden integrieren mittlerweile detaillierte Zugriffsfragen in Sicherheitsfragebögen und Due-Diligence-Unterlagen. Häufig werden sie gefragt: „Beschreiben Sie, wie Ihre Mitarbeiter sich in unseren Systemen authentifizieren“ oder „Erläutern Sie, wie Sie den Zugriff von Managed Service Providern (MSPs) auf unsere Umgebung überprüfen und widerrufen“. Prüfer erwarten klare, nachweisbare Antworten, keine allgemeinen Absichtserklärungen. Aktuelle Studien zur Informationssicherheits-Compliance in Dienstleistungsorganisationen, wie beispielsweise Untersuchungen zu den Compliance-Praktiken von Service Providern, bestätigen diesen Trend: Kunden verlassen sich stark auf strukturierte Sicherheitsfragebögen und -bewertungen, um die Reife ihrer Anbieter einzuschätzen.

Die ISMS.online-Umfrage „State of Information Security 2025“ zeigt, dass die Mehrheit der Organisationen im vergangenen Jahr von mindestens einem Sicherheitsvorfall im Zusammenhang mit Drittanbietern oder Lieferanten betroffen war.

Sicherheitsvorfälle bei Managed Service Providern (MSPs) der letzten Jahre haben gezeigt, wie schnell sich die Kompromittierung einer privilegierten Identität ausbreiten kann. Branchenspezifische Fallstudien zu Zugriffsverletzungen, darunter auch solche, die von unabhängigen Beobachtern zusammengetragen wurden, verdeutlichen, wie der Missbrauch eines einzelnen mächtigen Kontos zu einer umfassenden Kompromittierung mehrerer nachgelagerter Organisationen führen kann. Selbst wenn ein Vorfall nicht in Ihrer Umgebung beginnt, kann Ihr Zugriffsmodell darüber entscheiden, ob ein Kundenproblem lokal bleibt oder sich ausbreitet. Deshalb ist Anhang A.5.15 nicht nur eine interne Compliance-Anforderung, sondern grundlegend für das Vertrauen, das Kunden in Sie als Service Provider setzen.

Eine Mandantenumgebung bedeutet nicht, dass alles so streng abgesichert werden muss, dass die Arbeit unmöglich wird. Vielmehr benötigt man ein durchdachtes, dokumentiertes Zugriffsverwaltungsmodell, das es den Entwicklern ermöglicht, ihre Aufgaben zu erfüllen und gleichzeitig Fehler, Abkürzungen oder Angreifern erheblich erschwert, diesen Zugriff in ein systemisches Risiko umzuwandeln.

Kontakt


Was ISO 27001:2022 Anhang A.5.15 wirklich erwartet

ISO 27001:2022 Anhang A.5.15 verlangt von Ihnen die Definition klarer Regeln zur Kontrolle des physischen und logischen Zugriffs auf Informationen und Ressourcen sowie den Nachweis ihrer praktischen Anwendung. Für Managed Service Provider (MSPs) bedeutet dies eine zentrale Zugriffskontrollrichtlinie, die interne Systeme und alle Wege abdeckt, die Ihre Mitarbeiter und Tools nutzen, um auf Kundenumgebungen zuzugreifen. Die ISO-eigene Übersicht zu ISO 27001:2022, einschließlich Anhang A, betont, dass Zugriffskontrollen wie A.5.15 durch Nachweise ihrer Implementierung und Wirksamkeit belegt werden müssen und nicht allein durch Richtlinien. Aus diesem Grund fragen Auditoren regelmäßig nach der praktischen Anwendung Ihrer Regeln.

Laut der ISMS.online-Umfrage „State of Information Security 2025“ geben fast alle Befragten an, dass das Erreichen oder Aufrechterhalten von Sicherheitszertifizierungen wie ISO 27001 oder SOC 2 für sie oberste Priorität hat.

Die Kontrollmechanismen führen Sie über vage gute Absichten hinaus hin zu systematischen Zugriffsentscheidungen. Sie erfordern, dass Sie explizit festlegen, wer unter welchen Bedingungen worauf zugreifen darf und wie dieser Zugriff in allen von Ihnen betreuten Kundenumgebungen gewährt, angepasst und entzogen wird.

Das formale Ziel von A.5.15

Das formale Ziel von A.5.15 ist es, sicherzustellen, dass Zugriffe auf Grundlage von Geschäfts- und Sicherheitsanforderungen autorisiert und unbefugte Zugriffe verhindert werden. In der Praxis verlangen Auditoren häufig nicht nur die Vorlage der Richtlinie, sondern auch Nachweise dafür, dass Zugriffsentscheidungen tatsächlich darauf basieren.

Es genügt nicht, lediglich die Verwendung sicherer Passwörter oder die Aktivierung der Multi-Faktor-Authentifizierung zu erwähnen. Der Standard erwartet vielmehr, dass Sie systematisch überlegen, wie Zugriffsentscheidungen getroffen und umgesetzt werden und wie Sie dies konsistent nachweisen können. Diese Erwartung deckt sich mit der Beschreibung der ISO 27001:2022 durch die ISO, die die Kontrollen gemäß Anhang A als Anforderungen definiert, deren Umsetzung sowohl festgelegt als auch nachgewiesen werden muss.

Eine Zugriffskontrollrichtlinie sollte mindestens den Geltungsbereich der abgedeckten Ressourcen, die Prinzipien für Zugriffsentscheidungen sowie die zugehörigen Rollen und Verantwortlichkeiten definieren. In einem Managed Service Provider (MSP) umfasst dieser Geltungsbereich die internen Systeme und alle Zugriffswege in Kundenumgebungen, die von Mitarbeitern oder Tools genutzt werden können. Die Richtlinie sollte außerdem festlegen, wie oft sie überprüft wird, von wem und wie Änderungen genehmigt werden.

A.5.15 ist in der Revision von 2022 zusammen mit anderen zugriffsbezogenen Kontrollen enthalten. Identitätsmanagement wird unter A.5.16 und privilegierter Zugriff unter A.8.2 abgedeckt, während A.5.17 Authentifizierungsinformationen umfasst. Zusammen bilden diese Kontrollen das Rückgrat Ihrer Zugriffsgovernance: Die Richtlinie legt die Regeln fest, der Identitätslebenszyklus setzt sie um, und das Management privilegierter Zugriffe sorgt für die Kontrolle der weitreichendsten Rechte. Unabhängige Erläuterungen des aktualisierten Kontrollsatzes, wie beispielsweise Zusammenfassungen der Kontrollen gemäß Anhang A von ISO 27001:2022, fassen diese Anforderungen als Zugriffsgovernance-Familie zusammen, die nahtlos zusammenarbeiten muss.

Was eine gute Zugangskontrollrichtlinie umfasst

Eine gute Zugriffskontrollrichtlinie für Managed Service Provider (MSP) setzt Prinzipien wie „minimale Berechtigungen“ und „Kenntnisbedarf“ in konkrete, wiederholbare Regeln um. Benutzer sollten diese Richtlinien lesen und verstehen können, um Zugriffsrechte einheitlich zu erteilen, zu nutzen und zu entziehen.

Man würde üblicherweise Abschnitte erwarten, die Folgendes behandeln:

  • Anwendungsbereich und Anwendbarkeit (Dienste, Systeme, Werkzeuge und Umgebungen)
  • Zugriffsprinzipien (Prinzip der minimalen Berechtigungen, Funktionstrennung, standardmäßige Verweigerung)
  • Standard-Rollendefinitionen für zentrale MSP-Berufsfamilien
  • Zugriffskategorien (Benutzer, Verwaltung, Notfall)
  • Lebenszyklus von Mitarbeitern und Auftragnehmern: Eintritt, Versetzung, Austritt
  • Genehmigungsregeln für verschiedene Zugriffsarten und Änderungen
  • Authentifizierungsanforderungen, einschließlich Multi-Faktor-Authentifizierung für Hochrisikozugriffe
  • Erwartungen an die Protokollierung und Überwachung privilegierter Aktivitäten
  • Häufigkeit und Umfang interner und gemeinsamer Zugangsprüfungen
  • Ausnahmebehandlung, einschließlich Genehmigung, Dokumentation und Überprüfung

Für Anhang A.5.15 zeigen diese Elemente, dass Sie sich Gedanken über den Zugang auf politischer Ebene gemacht haben und sich nicht ausschließlich auf Standardeinstellungen der Tools oder informelle Normen verlassen.

Wie A.5.15 mit Identität und privilegiertem Zugriff zusammenhängt

In einer MSP-Umgebung funktioniert Anhang A.5.15 nur, wenn er eng mit dem Identitäts- und Zugriffsmanagement verknüpft ist. Ihre Richtlinie muss die Regeln beschreiben, und Ihre Identitäts- und Berechtigungsprozesse müssen diese zuverlässig mandantenübergreifend anwenden.

Die Identitätsverwaltung gemäß A.5.16 regelt die Erstellung, Änderung und Löschung von Mitarbeiteridentitäten sowie deren Verknüpfung mit Konten und Token in den von Ihnen verwalteten Systemen. Wenn Ihre Richtlinie die sofortige Entziehung von Zugriffsrechten bei Ausscheiden von Mitarbeitern vorsieht, müssen Ihre Identitätsprozesse sicherstellen, dass der Zugriff auf jede Kundenumgebung widerrufen wird, sobald eine Person das Unternehmen verlässt oder ihre Rolle wechselt.

Der privilegierte Zugriff gemäß A.8.2 bezieht sich auf erweiterte Rechte, wie sie beispielsweise Domänenadministratoren, Inhaber von Cloud-Abonnements oder Administratoren von Sicherheitstools zustehen. Ihre Zugriffskontrollrichtlinie sollte definieren, was als privilegiert gilt, welche Rollen solche Rechte besitzen können und welche Sicherheitsvorkehrungen getroffen werden (z. B. separate, benannte Administratorkonten, Multi-Faktor-Authentifizierung und Sitzungsüberwachung).

Ohne robuste Kontrollen des Identitätslebenszyklus und des privilegierten Zugriffs bleibt Anhang A.5.15 weitgehend theoretisch. Bei der Überprüfung Ihrer Implementierung erwarten die Auditoren, dass sich die Richtlinien, der Identitätslebenszyklus und die Praktiken für privilegierten Zugriff gegenseitig verstärken. Kunden erwarten dieselbe Abstimmung, wenn Sie Ihre Zugriffsgovernance im Rahmen der Due-Diligence-Prüfung präsentieren.



ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Ein Vorsprung von 81 % vom ersten Tag an

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s


Entwicklung einer zentralen MSP-Zugriffskontrollrichtlinie für viele Mieter

Eine zentrale Zugriffskontrollrichtlinie für Managed Service Provider (MSP) bietet Ihnen ein einheitliches Regelwerk für alle Kunden und ermöglicht gleichzeitig kundenspezifische Erweiterungen, falls Verträge oder Vorschriften dies erfordern. Sie bildet die Grundlage für alle Zugriffsentscheidungen Ihrer Teams.

Die Entwicklung einer zentralen Zugriffskontrollrichtlinie für einen Managed Service Provider (MSP) bedeutet die Erstellung eines Regelwerks, das für alle Kundenumgebungen gilt und gleichzeitig klare Ausnahmen zulässt. Eine gut umgesetzte zentrale Richtlinie bildet die Grundlage für alle Zugriffsentscheidungen Ihrer Teams und dient als wichtigster Bezugspunkt für Auditoren und Kunden.

Auswahl des MSP-weiten Umfangs und der Struktur

Die Wahl des richtigen Geltungsbereichs und der passenden Struktur bedeutet, aus der Perspektive Ihrer eigenen Organisation zu schreiben und anschließend zu beschreiben, wie dieses Modell überall dort Anwendung findet, wo Sie mit Kundensystemen in Berührung kommen. Die Richtlinie sollte sich wie Ihr Betriebshandbuch anfühlen, nicht wie ein abstrakter Standard, und sie sollte die Realitäten von Mandantensystemen widerspiegeln, anstatt sich auf ein einzelnes internes Netzwerk zu beschränken.

Eine zentrale Zugriffskontrollrichtlinie für Managed Service Provider (MSP) sollte beschreiben, wie die Identitäten, Rollen, Prozesse und Tools Ihrer Mitarbeiter beim Zugriff auf beliebige Kundenumgebungen innerhalb Ihres Leistungsumfangs funktionieren. Dies umfasst auch Plattformen für Fernüberwachung und -verwaltung, bei denen ein Konsolenkonto gleichzeitig Einblick in Dutzende von Kunden haben kann.

Ein praktischer Ansatz besteht darin, die Richtlinie an Ihren Diensten und Rollentypen auszurichten. Beispielsweise könnten Sie Standardrollen wie Service-Desk-Analyst, Netzwerktechniker, Cloud-Techniker, Sicherheitsanalyst und Customer Success Manager definieren. Beschreiben Sie für jede Rolle, auf welche Systeme sie zugreifen darf, die maximale Berechtigungsstufe und die einzuhaltenden Bedingungen.

Anstatt für jeden Kunden separate Richtlinien zu erstellen, verwenden Sie Anhänge oder Profile, um Abweichungen abzubilden. Ihre Kernrichtlinie könnte beispielsweise festlegen, dass alle privilegierten Zugriffe über Multi-Faktor-Authentifizierung und benannte Konten erfolgen müssen, während ein Profil für einen stark regulierten Finanz- oder Gesundheitskunden detailliertere Protokollierung, kürzere Sitzungs-Timeouts oder strengere Genehmigungsregeln vorschreibt. So behalten Sie eine einheitliche Grundlage und können gleichzeitig flexibel auf vertragliche oder regulatorische Anforderungen reagieren.

Es ist außerdem wichtig festzulegen, welche Systeme und Tools unter die Richtlinie fallen: Ihre eigenen internen Systeme, gemeinsam genutzte Multi-Tenant-Plattformen wie Fernüberwachungstools und der direkte Zugriff auf Kundennetzwerke und Cloud-Umgebungen. Alles, was Ihre Mitarbeiter oder Tools darauf zugreifen können, sollte in den Geltungsbereich fallen.

Festlegung von Ausgangswerten, Ausnahmen und Zuständigkeiten

Die Festlegung unumstößlicher Vorgaben, streng kontrollierter Ausnahmen und klarer Zuständigkeiten macht eine zentrale Richtlinie durchsetzbar statt nur ein Wunschtraum. Die Beteiligten müssen wissen, was immer gilt, wann Abweichungen möglich sind und wer die Richtlinie genehmigen muss.

Eine zentrale Richtlinie ist am effektivsten, wenn sie für jeden Kunden und jede Umgebung geltende Basiswerte festlegt. Typische Basiswerte umfassen beispielsweise eindeutige Benutzerkonten für Mitarbeiter, Multi-Faktor-Authentifizierung für privilegierte oder Fernzugriffe, zeitlich begrenzten Notfallzugriff und die Protokollierung aller administrativen Aktionen in Systemen oberhalb eines definierten Risikoniveaus.

Anschließend können Sie einen Prozess für Ausnahmen definieren. Manchmal erfüllt eine Kundenumgebung oder ein Altsystem Ihre Basisanforderungen nicht sofort. In solchen Fällen sollte die Richtlinie eine dokumentierte Risikobewertung, eine formelle Genehmigung auf der entsprechenden Ebene, klare Ausgleichsmaßnahmen sowie ein Ablauf- oder Überprüfungsdatum vorschreiben. Andernfalls werden „vorübergehende“ Ausnahmen schnell zu dauerhaften.

Die Zuständigkeit ist ebenso wichtig. Die Richtlinie sollte klar definieren, wer für deren Erstellung, Genehmigung und Überprüfung verantwortlich ist und wer die Umsetzung einzelner Teile übernimmt. In der Praxis könnten dies Ihr CISO, Ihr Informationssicherheitsbeauftragter, die Leiter der Servicebereiche und die Teamleiter sein. Die Verankerung dieser Verantwortlichkeiten in Stellenbeschreibungen und Zielsetzungen trägt dazu bei, dass die Richtlinie nicht zu einer Angelegenheit wird, die „jeder und niemand“ betrifft.

Die Richtlinie lebendig und anwendbar halten

Eine zeitgemäße und nutzerfreundliche Richtlinie erfordert regelmäßige Überprüfung bei Änderungen Ihrer Services, Tools oder Risiken sowie eine verständliche Aufbereitung für Entwickler. Eine kurze, prägnante Richtlinie mit ergänzenden Anleitungen ist wertvoller als ein umfangreiches Dokument, das niemand liest.

Eine zentrale Zugriffskontrollrichtlinie ist nur dann sinnvoll, wenn sie die tatsächliche Arbeitsweise Ihres Managed Service Providers (MSP) widerspiegelt. Das bedeutet, dass sie regelmäßig überprüft und aktualisiert werden muss, um mit der Weiterentwicklung von Diensten, Technologien und Bedrohungen Schritt zu halten – und nicht nur nach einem festen Zeitplan.

Ein einfacher Mechanismus besteht darin, einen Überprüfungszyklus festzulegen, beispielsweise jährlich für die gesamte Richtlinie und häufiger für besonders relevante Abschnitte. Darüber hinaus sollten Sie jedoch auch Auslöser identifizieren, die eine außerplanmäßige Überprüfung erforderlich machen, wie etwa die Aufnahme eines wichtigen Neukunden in einem regulierten Sektor, die Einführung einer neuen Kernplattform oder die Feststellung von Zugriffsproblemen im Rahmen eines Vorfalls oder einer Prüfung.

Auch die Benutzerfreundlichkeit ist wichtig. Lange, komplexe Richtliniendokumente erfüllen zwar die Dokumentationspflicht, bieten aber wenig Orientierung im Arbeitsalltag. Erwägen Sie daher, kurze, rollenspezifische Leitfäden auf Basis der Richtlinien zu erstellen, die in einfacher Sprache erklären, wie ein Service-Desk-Mitarbeiter Zugriffsrechte beantragt und nutzt, wie ein Techniker mit Notfalländerungen umgeht oder wie ein Customer Success Manager Fragen zum Thema Zugriff beantwortet.

Eine Plattform wie ISMS.online unterstützt Sie dabei, diese zentrale Richtlinie stets aktuell zu halten, indem sie diese direkt mit Risiken, Kontrollen, Aufgaben und Nachweisen verknüpft. Aktualisierungen und Verantwortlichkeiten werden zentral erfasst, anstatt auf gemeinsam genutzten Laufwerken verloren zu gehen. So können Ihre Teams die Richtlinie leichter umsetzen und den Prüfern nachweisen, dass Anhang A.5.15 nicht nur theoretisch, sondern auch praktisch angewendet wird.



Gemeinsame Verantwortung mit den Kunden erlebbar machen

Die Zugriffskontrolle für Managed Service Provider (MSPs) ist stets eine gemeinsame Verantwortung: Sie kontrollieren das Verhalten Ihrer Mitarbeiter und Tools, während Ihre Kunden ihre Umgebungen und Berechtigungen verwalten. Anhang A.5.15 erweist sich als besonders wirksam, wenn dieses gemeinsame Modell schriftlich festgehalten, vereinbart und regelmäßig überprüft wird. Aufsichtsbehörden, die Wert auf Verantwortlichkeit legen, wie beispielsweise das britische Information Commissioner's Office in seinem Verantwortlichkeitsrahmen, betonen die klare Aufteilung der Verantwortlichkeiten zwischen den Beteiligten genau auf diese Weise.

In der ISMS.online-Umfrage „State of Information Security 2025“ nannten rund 41 % der Unternehmen die Bewältigung von Drittparteirisiken und die Überwachung der Lieferantenkonformität als eine der größten Herausforderungen.

Die Zugriffsverwaltung für Managed Service Provider (MSPs) ist stets eine gemeinsame Verantwortung von Anbieter und Kunde. Anhang A.5.15 fordert Sie auf, Ihre Rolle bei den Regeln klar zu definieren. Zugriffsrisiken lassen sich jedoch nicht isoliert managen. Sie benötigen ein gemeinsames Modell, das von den Kunden verstanden, akzeptiert und durch alltägliche Entscheidungen und Gremien zur Weiterentwicklung beigetragen wird.

Gestaltung eines Modells für geteilte Verantwortung

Ein Modell geteilter Verantwortung klärt, wer für die einzelnen zugriffsbezogenen Aufgaben innerhalb der Servicegrenzen zuständig ist, wer sie ausführt und wer sie überprüft. Es wandelt vage Erwartungen in konkrete Aufgabenbeschreibungen für jeden wichtigen Systemtyp um – genau das, was viele Unternehmenskunden heutzutage von Sicherheitsüberprüfungen erwarten.

Für jeden wichtigen Systemtyp – wie z. B. On-Premise-Infrastruktur, Cloud-Abonnements, Sicherheitstools und Software-as-a-Service-Plattformen – sollten Sie Folgendes klären:

  • Wer genehmigt den Zugriff für MSP-Mitarbeiter auf die Umgebung des Kunden?
  • Wer gewährt und widerruft diesen Zugriff technisch?
  • Wer ist für die Überwachung und Protokollierung zuständig?
  • wer regelmäßige Zugriffsüberprüfungen durchführt
  • wie sich Verantwortlichkeiten in Notfallsituationen verändern

In vielen Fällen gewähren und entziehen Sie als Managed Service Provider (MSP) Zugriffsrechte in Ihren eigenen Tools und in Kundensystemen, in denen Sie administrative Rollen innehaben. Der Kunde behält jedoch die Befugnis, Zugriffsanfragen zu genehmigen oder abzulehnen. Die Dokumentation dieser Aufteilung hilft, Unklarheiten zu vermeiden, die entstehen, wenn keiner der beiden Parteien ihre Verantwortlichkeiten bewusst sind.

Eine einfache Möglichkeit, dies abzubilden, bietet eine Verantwortlichkeitsmatrix, die beiden Parteien Rollen wie „Verantwortlich“, „Rechenschaftspflichtig“, „Beratend“ und „Informiert“ zuweist. Diese Matrix dient dann als Grundlage für Verträge, Einarbeitungspläne und regelmäßige Governance-Überprüfungen, einschließlich regelmäßiger Service-Review-Meetings oder vierteljährlicher Geschäftsberichte.

Schritte zum Aufbau eines Modells der gemeinsamen Verantwortung

  1. Listensystemtypen Ihre Servicebereiche, wie z. B. On-Premise-Lösungen, Cloud-Lösungen, Sicherheitstools und SaaS.
  2. Wichtige Aktivitäten definieren für jedes System, einschließlich genehmigen, gewähren, überwachen, überprüfen und reagieren.
  3. RACI-Rollen zuweisen zwischen Ihrer Organisation und dem Kunden für jede Aktivität.
  4. Das Modell prüfen und zustimmen Aktualisieren Sie die Einstellungen während des Onboardings und anschließend, wenn sich Services und Risiken ändern.

Einbettung von Zugriffssteuerung in Verträge und Beziehungen

Die Einbettung des gemeinsamen Modells in Verträge und Governance-Sitzungen stellt sicher, dass es umgesetzt und nicht vergessen wird. Verträge legen Erwartungen fest, und regelmäßige Überprüfungen sorgen dafür, dass beide Seiten im Zuge der Weiterentwicklung von Dienstleistungen und Risiken auf dem gleichen Stand bleiben.

Sobald ein Modell der geteilten Verantwortung etabliert ist, muss dieses in Ihren Vertragsdokumenten und der laufenden Kommunikation berücksichtigt werden. Rahmenverträge, Leistungsbeschreibungen und Datenverarbeitungsvereinbarungen sollten die Zugriffsregelungen detailliert beschreiben.

Dies kann die Verpflichtung umfassen, eine zentrale Zugriffskontrollrichtlinie einzuhalten, benannte Konten und starke Authentifizierung zu verwenden, privilegierte Zugriffe zu protokollieren und zu überprüfen sowie Kunden über wesentliche Änderungen oder Vorfälle im Zusammenhang mit dem Zugriff zu informieren. Kundenseitig können Verträge die rechtzeitige Benachrichtigung über Personalveränderungen, die zeitnahe Überprüfung von Zugriffsberichten und die Teilnahme an gemeinsamen Zugriffsüberprüfungen vorsehen.

In der Vorverkaufsphase, beim Onboarding und in Quartalsberichten ist es hilfreich, diese Themen explizit anzusprechen. Indem man Kunden fragt, welche Vorschriften, internen Richtlinien oder Branchenerwartungen sie erfüllen müssen, lässt sich aufzeigen, wo die Standardvorgaben für sie verbessert werden sollten. Die frühzeitige Erfassung dieser Bedürfnisse reduziert spätere Reibungsverluste, wenn Sicherheitsfragebögen ausgefüllt oder von Aufsichtsbehörden Nachweise angefordert werden.

Regelmäßige Governance-Meetings – vierteljährlich oder halbjährlich – bieten die Möglichkeit, die Funktionsweise des Modells zu überprüfen. Dabei können Zugriffsberichte, Ausnahmen, Vorfälle und anstehende Änderungen besprochen werden. Die Dokumentation der Maßnahmen und Entscheidungen aus diesen Sitzungen stärkt sowohl die Einhaltung von Anhang A.5.15 als auch das Kundenvertrauen.



Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


Technische und verfahrenstechnische Kontrollen für den Mandantenzugriff

Anhang A.5.15 wird dann relevant, wenn technische Kontrollen und Verfahren zusammenwirken, um Ihre Regeln mandantenübergreifend durchzusetzen. Ein starker Identitätslebenszyklus, ein sorgfältiges Design für privilegierte Zugriffe und gut konfigurierte Multi-Tenant-Tools sind die Bereiche, in denen Managed Service Provider (MSPs) Risiken deutlich reduzieren können.

Eine gut konzipierte Richtlinie muss durch praktische technische und verfahrenstechnische Kontrollen unterstützt werden. Für Managed Service Provider (MSPs) mit mehreren Mandanten sind Kontrollen, die die Entscheidungsfindung zentralisieren und gleichzeitig die Trennung zwischen den Mandanten gewährleisten, besonders wichtig, da ein einziger Fehler weitreichende Folgen für einen großen Kundenstamm haben kann.

Identitätslebenszyklus und Prinzip der minimalen Berechtigungen in der Praxis

Das Management des Identitätslebenszyklus und das Prinzip der minimalen Berechtigungen gewährleisten, dass die Zugriffsrechte vom ersten bis zum letzten Arbeitstag den jeweiligen Rollen der Nutzer entsprechen. Durch die zuverlässige Nachverfolgung und Anpassung jeder Identität wird das Risiko vergessener Zugriffspfade in Kundensysteme drastisch reduziert.

Das Identitätslebenszyklusmanagement ist grundlegend für die praktische Anwendung von Anhang A.5.15. Jeder Mitarbeiter und jeder Auftragnehmer, der Zugriff auf Kundenumgebungen hat, sollte über eine eindeutige Identität verfügen, an die alle Zugriffsrechte gebunden sind.

Die Prozesse für Eintritt, Versetzung und Austritt sollten eng mit den Zugriffsworkflows verknüpft sein. Beim Eintritt bestimmt die Rolle des Mitarbeiters, welche Standardzugriffsrechte er erhält. Bei einem Wechsel zwischen Teams oder Verantwortlichkeiten sollten die Zugriffsrechte angepasst und nicht einfach hinzugefügt werden. Beim Austritt muss der Zugriff auf alle Systeme des Unternehmens und alle Kundenumgebungen umgehend widerrufen und verifiziert werden.

Das Prinzip der minimalen Berechtigungen bedeutet in diesem Kontext, rollenbasierte Zugriffsrechte so zu gestalten, dass Mitarbeiter nur die Rechte besitzen, die sie für ihre üblichen Aufgaben benötigen. Beispielsweise benötigt der First-Level-Support möglicherweise nur eingeschränkten Zugriff, um Konfigurationen einzusehen und bestimmte Aufgaben zu initiieren, während Senior-Ingenieure Änderungen mit weitreichenderen Auswirkungen vornehmen können, jedoch nur in den Systemen, für die sie verantwortlich sind. Allgemeine „Super-Admin“-Rollen sollten, wo immer die Technologie es zulässt, durch Rollen mit engerem Verantwortungsbereich ersetzt werden.

Eine einfache Identitätslebenszyklussequenz

  1. Standardrollen definieren und ordnen Sie jede Rolle den zulässigen Systemen und Berechtigungen zu.
  2. Bereitstellungszugriff nach Rolle Wenn Personen beitreten, nicht durch spontane direkte Berechtigungen.
  3. Rollen bei Bewegungen anpassen und Zugriffsrechte entfernen, die nicht mehr den Verantwortlichkeiten entsprechen.
  4. Zugriff widerrufen und überprüfen systemübergreifend, einschließlich Kundenmieter, wenn Personen ausziehen.

Die Kombination von rollenbasierter Zugriffskontrolle mit automatisierter Bereitstellung erleichtert die Vermeidung von Rechteausweitung und verwaisten Konten. Zudem werden regelmäßige Zugriffsüberprüfungen aussagekräftiger, da Prüfer direkt sehen können, ob die Zugriffsrechte den definierten Rollen entsprechen, anstatt lange Listen einzelner Berechtigungen interpretieren zu müssen.

Stärkere Kontrollen für privilegierte Zugriffe

Privilegierte Zugriffe erfordern strengere Kontrollen, da Fehler oder Angriffe auf dieser Ebene viele Mandanten gleichzeitig betreffen können. Benannte Administratorkonten, Multi-Faktor-Authentifizierung und bedarfsgerechte Rechteerweiterung reduzieren den Schadensradius und unterstützen Ihre Annex A.5.15-Ebene.

Bei privilegierten Zugriffsrechten steht am meisten auf dem Spiel. Diese Rechte ermöglichen es, Sicherheitseinstellungen zu ändern, Konten zu erstellen oder zu löschen, Backups zu manipulieren oder auf sensible Daten über mehrere Mandanten hinweg zuzugreifen. Ein Fehler oder eine Kompromittierung auf dieser Ebene kann zahlreiche andere Sicherheitsmaßnahmen außer Kraft setzen.

Es empfiehlt sich, für administrative Aufgaben separate Benutzerkonten zu verwenden, die sich von den regulären Benutzerkonten unterscheiden. Diese Administratorkonten sollten stets eine Multi-Faktor-Authentifizierung nutzen, idealerweise mit Methoden, die Phishing-Angriffen widerstehen. Gemeinsam genutzte Administratorkonten sollten abgeschafft oder streng kontrolliert werden, beispielsweise durch sichere Datenspeicherung und detaillierte Zugriffsprotokolle.

Just-in-Time-Zugriff, bei dem erweiterte Rechte temporär auf genehmigte Anfragen hin gewährt und anschließend wieder entzogen werden, kann die Menge an permanenten Berechtigungen in Ihrer Umgebung deutlich reduzieren. Auch wenn eine vollständige Automatisierung nicht für alle Systeme möglich ist, stellt die Implementierung zeitlich begrenzter Zugriffsrechte für die risikoreichsten Plattformen einen wichtigen Schritt dar.

Protokollierung und Überwachung müssen dem Risiko angemessen sein. Jede privilegierte Aktion in kritischen Systemen sollte so detailliert erfasst werden, dass nachvollziehbar ist, was, von wem und wann sie durchgeführt wurde. Warnmeldungen bei ungewöhnlichen Mustern – wie Änderungen außerhalb der Geschäftszeiten, Zugriffe von unerwarteten Standorten oder privilegierte Aktivitäten außerhalb der regulären Servicefenster – helfen Ihnen, Missbrauch frühzeitig zu erkennen und schnell zu reagieren.

Multi-Tenant-Toolingmuster, die A.5.15 unterstützen

Multi-Tenant-Tools können Ihre Annex A.5.15-Implementierung je nach Konfiguration entweder unterstützen oder untergraben. Die Trennung auf Mandantenebene, die Rollenbereichsdefinition und die Integration einer zentralen Identität sind einfache Designentscheidungen mit großer Wirkung.

Viele Managed Service Provider (MSPs) nutzen gemeinsam genutzte Tools wie Fernüberwachungs- und -verwaltungsplattformen, Ticketsysteme, Datensicherungsdienste und Cloud-Management-Konsolen. Die Konfiguration dieser Tools kann Ihre Position gemäß Annex A.5.15 entweder stärken oder schwächen.

Nutzen Sie nach Möglichkeit Segmentierungsfunktionen, um Kundenumgebungen logisch zu trennen. Dies kann die Bildung von Mandanten- oder Standortstrukturen, die Einrichtung separater Gruppen oder die Festlegung unterschiedlicher Verwaltungsbereiche pro Kunde umfassen. Die Mitarbeiterrollen in diesen Tools sollten den Zugriff auf die von ihnen betreuten Kunden beschränken, sodass ein Techniker nur die Systeme der von ihm unterstützten Organisationen einsehen und bearbeiten kann.

Durch die Integration dieser Tools mit einem zentralen Identitätsanbieter können Sie eine einheitliche Authentifizierung durchsetzen, bedingte Zugriffsrichtlinien anwenden und das Offboarding vereinfachen. Wenn ein Mitarbeiter das Unternehmen verlässt, können Sie ihn aus dem Identitätsanbieter entfernen und sicherstellen, dass sein Zugriff auf alle integrierten Tools und Kundenumgebungen vollständig gesperrt wird.

Verknüpfen Sie Ihre technischen Kontrollen verfahrenstechnisch mit Ticket- oder Workflow-Systemen. Anträge auf neue Zugriffsrechte, Änderungen von Berechtigungsstufen und Notfallzugriffe sollten jeweils mit entsprechenden Genehmigungen dokumentiert werden. Diese Verknüpfung erleichtert den Nachweis, dass Zugriffe gemäß Ihren Richtlinien und Geschäftsanforderungen und nicht willkürlich gewährt wurden.

Bei der Implementierung dieser Kontrollmechanismen werden Sie erkennen, welche Bereiche gut funktionieren und welche Lücken aufweisen oder inkonsistent sind. Diese Schwächen treten oft erst bei Audits deutlich zutage, und hier werden viele Managed Service Provider (MSPs) erstmals mit den praktischen Auswirkungen von Anhang A.5.15 konfrontiert.



Häufige Lücken bei Managed Service Providern und wie sie sich bei Audits zeigen

Häufige Lücken in MSP-Richtlinien im Zusammenhang mit Anhang A.5.15 betreffen in der Regel einen unklaren Anwendungsbereich, eine uneinheitliche Behandlung von Identitätstypen und eine Diskrepanz zwischen schriftlicher Richtlinie und tatsächlicher Praxis. Prüfer decken diese Schwächen oft schnell auf, da sie sowohl in Dokumenten als auch im täglichen Geschäftsbetrieb auftreten.

In der ISMS.online-Umfrage „State of Information Security 2025“ gaben rund zwei Drittel der Unternehmen an, dass die Geschwindigkeit und das Ausmaß der regulatorischen Änderungen die Einhaltung der Vorschriften zunehmend erschweren.

Selbst erfahrene Managed Service Provider (MSPs) stoßen oft auf Lücken, wenn sie Anhang A.5.15 unter dem Gesichtspunkt einer Mandantenfähigkeit betrachten. Typischerweise werden die Konzepte zwar verstanden, die praktische Umsetzung hinkt jedoch hinterher, insbesondere wenn viele Kundenumgebungen und -tools involviert sind.

Stellen Sie sich einen Managed Service Provider (MSP) vor, dessen Zugriffskontrollrichtlinie vor Jahren für interne Systeme erstellt und nie aktualisiert wurde. Im Rahmen eines ISO-27001-Audits fragt der Prüfer, wie diese Richtlinie auf eine Remote-Monitoring-Plattform anwendbar ist, die jeden Kunden erreichen kann. Das Team kann lediglich informelle Vorgehensweisen und isolierte Tool-Einstellungen beschreiben. Das wahrscheinliche Ergebnis ist die Feststellung, dass die Richtlinie die tatsächlichen Zugriffspfade nicht abdeckt, selbst wenn kein Vorfall eingetreten ist.

Typische Lücken in Politik und Planung

Typische Lücken in Richtlinien und deren Gestaltung treten auf, wenn Ihre zentrale Zugriffskontrollrichtlinie den Zugriff von Managed Service Providern auf Kunden nicht explizit abdeckt oder wenn sie Auftragnehmer und Dritte mit weitreichenden Rechten ignoriert. Diese Auslassungen sind für Prüfer leicht zu erkennen und werfen Fragen hinsichtlich der Realitätsnähe Ihrer Richtlinie auf.

Eine häufige Lücke besteht darin, dass die Zugriffskontrollrichtlinie den Zugriff vom Managed Service Provider (MSP) auf den Kunden nicht explizit abdeckt. Sie wurde möglicherweise für interne Systeme entwickelt und erst später informell auf Kundenumgebungen erweitert. Prüfer und Kunden bemerken es, wenn die Richtlinienformulierung allgemein gehalten ist und nicht beschreibt, wie Ihre Mitarbeiter und Tools mit den Kundensystemen interagieren.

Ein weiteres häufiges Problem ist die uneinheitliche Behandlung von Identitätstypen auf Designebene. Die Identitäten von Mitarbeitenden sind in den Richtlinien möglicherweise klar definiert, während die Identitäten von Auftragnehmern, Zeitarbeitern, Offshore-Mitarbeitern oder Dritten als Sonderfälle behandelt oder gar nicht berücksichtigt werden. In einem Managed Service Provider (MSP) haben diese Gruppen oft weitreichende Zugriffsrechte und müssen daher in die zentralen Richtlinien, die Vorbildfunktion und die Risikobewertungen einbezogen werden.

Richtlinien können auch Ideale beschreiben, die sich nicht in der Realität widerspiegeln. Beispielsweise könnte die Richtlinie vorschreiben, dass für jeden Fernzugriff eine Multi-Faktor-Authentifizierung erforderlich ist, während ältere VPNs oder Dienstkonten diese Anforderung umgehen. Wenn Prüfer die Dokumentation mit der Praxis vergleichen, führen diese Diskrepanzen schnell zu Beanstandungen.

Betriebslücken, die Prüfer und Kunden bemerken

Operative Lücken werden sichtbar, wenn Prüfer nach der tatsächlichen Zugriffsverwaltung fragen und Sie lediglich manuelle Prozesse, unübersichtliche Tabellen oder unregelmäßige Überprüfungen beschreiben können. Kunden erkennen dieselben Schwächen, wenn Sie Schwierigkeiten haben, darzulegen, wer aktuell Zugriff auf ihre IT-Umgebung hat und wie dieser Zugriff genehmigt wurde.

Im operativen Bereich achten die Prüfer darauf, ob Ihre Zugriffsregeln im täglichen Gebrauch eingehalten werden. Sie fragen unter anderem, wie schnell der Zugriff bei Ausscheiden von Mitarbeitern entzogen wird, wie häufig Zugriffsüberprüfungen stattfinden und wie Sie die Isolation einzelner Nutzer in gemeinsam genutzten Tools gewährleisten.

Wenn Ihre Antworten auf manuellen Prozessen, Tabellenkalkulationen und informellem Wissen beruhen, kann Ihnen selbst dann eine schwache Kontrollwirksamkeit unterstellt werden, wenn keine Vorfälle aufgetreten sind. Ebenso können Prüfer bei unregelmäßigen, unvollständigen oder schlecht dokumentierten Zugriffsprüfungen zu dem Schluss kommen, dass übermäßiger oder unkontrollierter Zugriff wahrscheinlich ist.

Kunden, die Risikobewertungen von Drittanbietern durchführen, werden bemerken, wenn Sie keine klaren Berichte darüber vorlegen können, wer Zugriff auf ihre Systeme hat, wann dieser Zugriff genehmigt und zuletzt überprüft wurde. Sie könnten auch Ihre Kompetenz infrage stellen, wenn Sie nicht in einfachen Worten erklären können, wie Ihr Zugriffsmodell verhindert, dass das Problem eines Kunden zum Problem eines anderen Kunden wird.

Kennzahlen zur Priorisierung von Verbesserungen

Einfache, zielgerichtete Kennzahlen helfen Ihnen, Anhang A.5.15 von einer vagen Sorge in konkrete Verbesserungsmaßnahmen umzusetzen. Sie ermöglichen es Ihnen, Prioritäten zu setzen und den Fortschritt gegenüber Führungskräften und Kunden aufzuzeigen.

Anstatt zu versuchen, alles auf einmal zu beheben, ist es oft effektiver, eine Handvoll zugriffsbezogener Kennzahlen auszuwählen und diese zur Steuerung von Verbesserungen zu nutzen.

Zu den Kennzahlen für Identitäts- und Zugriffshygiene könnten beispielsweise folgende gehören:

  • Prozentsatz der Mitarbeiter mit Zugriff nur über definierte Rollen
  • durchschnittliche Zeit bis zum Entzug des Zugriffs nach dem Ausscheiden eines Mitarbeiters (gemessen)
  • Anzahl der privilegierten Konten pro Techniker oder pro Kunde

Zu den Kennzahlen für Governance-Disziplinen könnten beispielsweise folgende gehören:

  • Prozentsatz der fristgerecht abgeschlossenen Zugriffsprüfungen
  • Anzahl offener Ausnahmeregelungen und deren Alter

Die kontinuierliche Beobachtung dieser Kennzahlen zeigt, ob Ihre Änderungen Wirkung zeigen. Sie liefert Ihnen außerdem praktische Daten, die Sie der Führungsebene zur Verfügung stellen können, wenn Sie Investitionen beantragen oder über den Fortschritt berichten. Anhang A.5.15 lässt sich leichter handhaben, wenn Sie messbare Trends aufzeigen können, anstatt sich auf subjektive Einschätzungen darüber zu verlassen, ob sich die Zutrittskontrolle „besser anfühlt“.

Organisationen, die ihre Zugriffssteuerung auf diese Weise verbessern, berichten häufig von besser planbaren Audits, weniger zeitaufwändigen Nachweisrecherchen und einfacheren, vertrauensvolleren Kundengesprächen zum Thema Zugriff. Sobald Sie klarere Kennzahlen und weniger Lücken haben, geht es im nächsten Schritt darum, Ihre Nachweise so zu strukturieren, dass sie ein schlüssiges Bild ergeben.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Nachweis der Zugangssteuerung für Prüfer und Kunden

Sie beweisen die Einhaltung von Anhang A.5.15, indem Sie einen klaren Zusammenhang zwischen den schriftlichen Regeln, den Prozessen und den tatsächlichen Nachweisen aufzeigen, dass der Zugriff wie von Ihnen behauptet gewährt, genutzt und überprüft wird. Dieser Zusammenhang sollte für Prüfer, Kunden und Ihre eigene Führungsebene leicht nachvollziehbar sein.

Anhang A.5.15 wird letztlich nicht nur anhand des Wortlauts Ihrer Richtlinie beurteilt, sondern auch anhand der Nachweise für die Umsetzung und Wirksamkeit Ihrer Regeln. Ein systematisches Vorgehen bei der Erfassung und Präsentation von Nachweisen macht Audits und Kundenbewertungen deutlich weniger aufwendig und besser planbar. Leitlinien von Normungsorganisationen und Zertifizierungsstellen, wie beispielsweise Übersichten zu ISO 27001 von nationalen Normungsanbietern, betonen denselben Punkt: Auditoren prüfen die Umsetzung und Wirksamkeit anhand von Nachweisen, nicht allein anhand des Richtlinientextes.

Gestaltung einer Evidenzbibliothek für Zugangsgovernance

Eine gut organisierte Beweismittelbibliothek verwandelt eine Sammlung von Screenshots und Exporten in eine nachvollziehbare Darstellung Ihrer Zugriffsrichtlinien. Jeder wichtige Teil Ihrer Richtlinie sollte über entsprechende Verfahren, Aufzeichnungen und Kontrolldokumente verfügen, die Sie schnell finden und präsentieren können.

Eine hilfreiche Methode, sich Nachweise vorzustellen, ist die einer mehrschichtigen Bibliothek. Ganz oben steht Ihre Zugriffskontrollrichtlinie, die beschreibt, was geschehen soll. Darunter befinden sich Verfahren und Standards, die erläutern, wie die Richtlinie in Prozessen und Tools umgesetzt wird. Weiter unten finden sich Workflows, Tickets und andere Aufzeichnungen, die den tatsächlichen Ablauf dokumentieren. Protokolle und Berichte von Tools liefern zusätzliche Details. Schließlich belegen Prüfprotokolle und Freigaben des Managements die ordnungsgemäße Durchführung der Kontrollen.

Ein Auditor könnte beispielsweise einer einzelnen Zeile von einer Richtlinienregel für den privilegierten Cloud-Zugriff folgen, über eine Standardarbeitsanweisung für die Gewährung dieses Zugriffs, zu einem Ticket, in dem ein namentlich genannter Techniker genehmigt wurde, und schließlich zu einem Protokolleintrag, der zeigt, wie das Konto genutzt und später überprüft wurde.

Die Erstellung eines Entwurfs dieser Bibliotheksstruktur auf dem Papier, bevor Sie mit der Datenerhebung beginnen, verdeutlicht Ihren Bedarf. Für Anhang A.5.15 sollten Sie sicherstellen, dass für jeden wichtigen Aspekt der Richtlinie – wie z. B. Zugriffsgewährung, privilegierter Zugriff, Identitätslebenszyklus, Notfallzugriff und Zugriffsüberprüfungen – entsprechende Verfahren und Aufzeichnungen existieren.

Sobald die Struktur klar ist, können Sie Ihre bestehenden Systeme ihr zuordnen. Beispielsweise kann Ihr Identitätsanbieter Zugriffsberichte bereitstellen, Ihr Ticketsystem Genehmigungsprotokolle speichern, Ihre Plattform für privilegierte Zugriffe Sitzungsprotokolle enthalten und Ihre ISMS-Plattform Risiken, Kontrollen und Nachweise miteinander verknüpfen. Ziel ist nicht die Zentralisierung aller Daten, sondern eine klare und wiederholbare Methode, um den Speicherort jedes einzelnen Elements nachzuvollziehen.

Automatisierung der Beweisführung, wo immer dies angemessen ist

Durch die Automatisierung wichtiger Nachweise, wo immer möglich, bleiben diese aktuell und der Aufwand vor Audits oder Due-Diligence-Prüfungen wird reduziert. Standardberichte, getaggte Tickets und geplante Überprüfungen erleichtern die bedarfsgerechte Darstellung von Anhang A.5.15.

Die Verwendung manueller Screenshots und einmaliger Exporte führt zu veralteten und inkonsistenten Beweismitteln. Wo immer möglich, sollte die Beweiserfassung automatisiert oder zumindest die Reproduzierbarkeit bei Bedarf sichergestellt werden.

Beispielsweise könnten Sie in Ihren Identitäts- oder Zugriffsmanagement-Tools Standardberichte erstellen, die die aktuellen Benutzer und ihre Rollen pro Kunde auflisten. Sie könnten Ihr Ticketsystem so konfigurieren, dass zugriffsbezogene Anfragen so gekennzeichnet werden, dass eine schnelle Filterung zur Genehmigung möglich ist. Sie könnten regelmäßige Exporte aus Protokollierungssystemen planen, die privilegierte Aktivitäten für bestimmte Plattformen zusammenfassen.

Die Automatisierung regelmäßiger Zugriffsprüfungen kann ebenfalls hilfreich sein. Wenn Ihre Tools den Prüfern eine Liste der zu zertifizierenden Konten senden, ihre Entscheidungen erfassen und den Abschluss protokollieren können, dienen diese Prüfprotokolle als eindeutiger Nachweis. Selbst wenn die Technologie keine vollständige Automatisierung ermöglicht, ist eine einheitliche Vorlage und ein festgelegter Zeitplan für die Prüfungen eine deutliche Verbesserung gegenüber Ad-hoc-Verfahren.

Eine Plattform wie ISMS.online kann als Governance-Ebene fungieren und diese Quellen miteinander verknüpfen. Durch die Verknüpfung von Kontrollen und Richtlinien mit spezifischen Nachweisen, Aufgaben und Verantwortlichen erkennen Sie auf einen Blick, ob Lücken bestehen und wo Sie sich vor einem Audit oder einer wichtigen Kundenüberprüfung konzentrieren sollten.

Verpackungsnachweise für verschiedene Zielgruppen

Unterschiedliche Zielgruppen benötigen unterschiedliche Auszüge aus derselben Datensammlung: Wirtschaftsprüfer wünschen sich Nachvollziehbarkeit, Kunden fordern mieterspezifische Sicherheit und die Führungsebene benötigt Transparenz hinsichtlich Risiken und Trends. Die Vorbereitung einiger standardisierter Unterlagen im Voraus sorgt für strukturiertere und effizientere Gespräche.

Externe Prüfer fordern häufig Nachvollziehbarkeit. Sie erwarten, den Weg von Kontrollzielen und Richtlinien über Verfahren bis hin zu Stichproben tatsächlicher Zugriffsentscheidungen und schließlich Protokollen und Prüfberichten nachvollziehen zu können. Unternehmenskunden wünschen sich in der Regel mandantenspezifische Zusicherungen: Wer innerhalb des Unternehmens hat Zugriff auf die Systeme, welche Aktionen sind erlaubt und wie wird dieser Zugriff überwacht? Die interne Führungsebene konzentriert sich voraussichtlich auf Risiken und Trends.

Es empfiehlt sich, standardisierte Nachweispakete für die jeweiligen Zielgruppen vorzubereiten. Ein Auditorenpaket könnte die zentrale Zugriffskontrollrichtlinie, zugehörige Verfahren, Beispiele für Zugriffsanfragen und -genehmigungen, Prüfprotokolle für einen definierten Zeitraum sowie zusammenfassende Berichte Ihrer Tools enthalten. Ein Kundenpaket könnte sich darauf konzentrieren, wie Ihre Mitarbeiter konkret auf ihre Umgebung zugreifen, wer aktuell Zugriff hat, wie dieser Zugriff genehmigt wurde und wie häufig er überprüft wird. Ein internes Führungspaket könnte wichtige Kennzahlen, kürzlich erfolgte Verbesserungen und bestehende Risiken hervorheben.

Das Üben der Präsentation dieser Unterlagen kann Lücken in den Belegen und der Darstellung aufdecken. Interne Probe-Audits oder Due-Diligence-Prüfungen, die sich ausschließlich auf die Zugriffsverwaltung konzentrieren, helfen Ihren Teams, sich mit der Erläuterung der Umsetzung von Anhang A.5.15 in Ihrem Managed Service Provider (MSP) vertraut zu machen. Organisationen, die in diese Vorbereitung investieren, stellen in der Regel fest, dass sich reale Audits und Kundenbewertungen eher wie eine Bestätigung bewährter Verfahren als wie eine Suche nach Schwachstellen anfühlen.



Buchen Sie noch heute eine Demo mit ISMS.online

ISMS.online unterstützt Sie dabei, Anhang A.5.15 von einem statischen Richtliniendokument in eine dynamische Zugriffsverwaltung umzuwandeln, die den Arbeitsabläufen vieler Managed Service Provider (MSPs) entspricht. Anstatt mit Tabellenkalkulationen, verstreuten Dokumenten und toolspezifischen Berichten zu jonglieren, können Sie Ihre Zugriffsregeln, Verantwortlichkeiten, Risiken und Nachweise in einem zentralen, vernetzten Arbeitsbereich verwalten.

Sehen Sie Ihre zentrale Zugriffsrichtlinie in Aktion

Wenn Ihre zentrale Zugriffskontrollrichtlinie mit alltäglichen Aufgaben und Erkenntnissen verknüpft ist, wird sie von einer rein theoretischen Grundlage zu einer Grundlage für konkrete Entscheidungen. In ISMS.online können Sie Ihre zentrale MSP-Zugriffskontrollrichtlinie hosten, sie direkt den Anhängen A.5.15, A.5.16 und A.8.2 zuordnen und die Zuständigkeiten für jeden Teil festlegen, sodass diese stets klar definiert sind.

Sie können jedem Kontrollmechanismus aktuelle Nachweise beifügen: Zugriffsprüfungsprotokolle, Zusammenfassungen von Identitätsplattformen, Berichte über privilegierte Zugriffe und Protokolle von Kunden-Governance-Meetings. Wenn ein Auditor oder Kunde fragt, wie Sie Zugriffe verwalten, müssen Sie nicht erst mühsam nach Dokumenten suchen, sondern können ihm einen strukturierten, aktuellen Überblick über Ihr Governance-Modell geben, der Ihre aktuelle Arbeitsweise widerspiegelt.

Falls Sie ein praktisches Beispiel für eine solche Zugriffsverwaltungsbibliothek in einem Live-System sehen möchten, kann Ihnen das Team von ISMS.online zeigen, wie andere MSPs ihre Annex A.5.15-Ebene in der Praxis strukturieren und wo Sie ähnliche Muster anpassen könnten.

Die Zugriffsverwaltung lässt sich deutlich einfacher gestalten, wenn Prüfungen, Ausnahmen und Verbesserungen über einen gemeinsamen Workflow statt ad hoc abgewickelt werden. ISMS.online unterstützt diesen Workflow, indem es Ihnen hilft, Prüfungen zu planen, Ausnahmen zu verfolgen und Verbesserungen im Zeitverlauf zu verwalten.

Sie können wiederkehrende Aufgaben für Zugriffsprüfungen einrichten, diese mit bestimmten Systemen oder Kunden verknüpfen und Entscheidungen so protokollieren, dass sie leicht wiedergefunden werden können. Ausnahmen von Ihrer Zugriffsrichtlinie lassen sich mit Risikobewertungen, Genehmigungen und Ablaufdaten erfassen, sodass Sie die Kontrolle auch dann nachweisen können, wenn Sie von der Basisrichtlinie abweichen müssen. Rollenbasierte Ansichten ermöglichen es Gründern, CISOs, Compliance-Beauftragten und Account Managern, die für sie wichtigsten Aspekte von Anhang A.5.15 einfach einzusehen.

Wenn Sie von einer rein formalisierten Richtlinien- oder toolgestützten, aber unkontrollierten Zugriffssteuerung zu einem Governance-basierten, evidenzgestützten Modell wechseln möchten, unterstützt Sie ISMS.online dabei. Sobald Sie bereit sind, zeigt Ihnen unser Team in einem Gespräch, wie Sie Ihre aktuelle Situation gemäß Anhang A.5.15 in einen kohärenten Arbeitsbereich für die Zugriffssteuerung überführen, der ISO 27001, Kundenvertrauen und den täglichen Betrieb gleichermaßen unterstützt.

Kontakt


Häufig gestellte Fragen (FAQ)

Was genau erwartet ISO 27001:2022 Annex A.5.15 von einem Managed Service Provider (MSP)?

Anhang A.5.15 erwartet von Ihrem MSP, dass er einen kohärenten, risikobasierten Ansatz zur Entscheidungsfindung verfolgt. wer kann auf was zugreifenund um nachweisen zu können, dass Sie diese Richtlinien einhalten. Das umfasst Ihre eigenen Plattformen und alle Wege, die Ihre Mitarbeiter, Partner und Tools nutzen, um zu den Kunden zu gelangen.

Was bedeutet das konkret im täglichen Betrieb eines Managed Service Providers (MSP)?

In der Praxis erwarten Wirtschaftsprüfer und Unternehmenskunden, dass zwei Dinge zusammenwirken:

  • A klare, schriftliche Zugangskontrollrichtlinie darin heißt es:
  • Geltungsbereich: interne Systeme, gemeinsam genutzte Konsolen, Remote-Tools, VPNs und alle Kundentenants, auf die Ihre Mitarbeiter zugreifen können.
  • Prinzipien: minimale Berechtigungen, Funktionstrennung, benannte Konten, starke Authentifizierung und standardmäßige Ablehnung.
  • Rollen und Zugriffskategorien: Standardbenutzer, Administrator, Break‐Glass/Notfall und Drittanbieter, mit jeweils maximalem Zugriff.
  • Genehmigungsregeln: Wer darf welche Art von Zugriff unter welchen Bedingungen und für welchen Zeitraum genehmigen?
  • Überprüfungsfrequenz: Wie oft wird der Zugriff überprüft, von wem und für welche Systeme und Mandanten?
  • Nachweise dafür, dass diese Regeln eingehalten werden:
  • Zugriffsanfragen und Genehmigungen sind mit Tickets oder Workflow-Elementen verknüpft, sodass Sie den Entscheidungsverlauf nachverfolgen können.
  • Protokolle, die belegen, dass für den privilegierten Zugriff benannte, MFA-geschützte Konten und nicht gemeinsam genutzte Anmeldedaten verwendet werden.
  • Protokolle geplanter Zugriffsüberprüfungen für interne Systeme und repräsentative Kundennutzer, wobei bei Umgebungen mit höherem Risiko die Kunden einbezogen werden.

Ein Auditor wählt häufig eine Regel Ihrer Richtlinie aus, verfolgt sie in Ihren Prozessen und prüft anschließend stichprobenartig reale Anfragen, Protokolle und Datensätze. Wenn er diesen Ablauf für Ihre eigenen Plattformen und einige typische Mandanten lückenlos nachvollziehen kann, erfüllen Sie die Intention von Anhang A.5.15, anstatt lediglich den Wortlaut zu wiederholen.

Warum stellt diese Kontrolle einen solchen Druckpunkt für MSPs dar?

Ihr größtes Risiko liegt in den Zugriffswegen zu Kundensystemen, nicht nur in Ihren Backoffice-Tools. In Anhang A.5.15 weisen Sie nach, dass:

  • Der Zugang zu jedem Mieter ist bewusst, gerechtfertigt und regelmäßig überprüft, kein Überbleibsel alter Projekte.
  • Für Auftragnehmer, Offshore-Teams und externe NOC/SOC-Anbieter gelten die gleichen Zugangsregeln wie für das festangestellte Personal.
  • Multi-Tenant-Tools und -Konsolen basieren auf benannter, protokollierter und zeitlich begrenzter Administratorzugriff, niemals generische Konten, die vom gesamten Team genutzt werden.

Wenn A.5.15 als zentrale Schnittstelle für Identität, privilegierten Zugriff, Lieferantenmanagement und Protokollierung dient, können Sie Ihr Zugriffsmodell gegenüber Auditoren und Unternehmenskunden deutlich überzeugender darstellen. Falls Sie diese zentrale Schnittstelle lieber praktisch als statisch in einem Dokument implementieren möchten, bietet Ihnen ISMS.online eine zentrale Plattform, um Richtlinien, Aufgaben und Nachweise zu verknüpfen. So können Sie nicht nur beschreiben, sondern auch demonstrieren, wie der Zugriff in Ihrem Managed Service Provider (MSP) und bei jedem von Ihnen betreuten Mandanten geregelt ist.

Wie sollte ein Managed Service Provider (MSP) eine Zugriffskontrollrichtlinie entwerfen, die für viele Mandanten funktioniert?

Sie entwerfen eine einzige, praktikable Zugriffskontrollrichtlinie, indem Sie sie schreiben von Zuerst die Perspektive Ihres Managed Service ProvidersDarauf aufbauend werden kundenspezifische Anforderungen hinzugefügt. Die Kernrichtlinie definiert das Verhalten Ihrer Mitarbeiter und Tools überall; schlanke Mandantenprofile erfassen, wo einzelne Kunden restriktivere Vorgaben benötigen.

Was gehört in die Kernrichtlinie zur Zugriffskontrolle von Managed Service Providern (MSPs)?

Eine praxisorientierte, MSP-freundliche Struktur umfasst üblicherweise Folgendes:

  • Zweck und Umfang:

Stellen Sie sicher, dass die Richtlinie Ihre Plattformen, gemeinsam genutzten Konsolen, Fernzugriffsmechanismen und alle Kundenmandanten, mit denen Sie in Kontakt stehen, abdeckt.

  • Grundsätze und Standards:

Erläutern Sie, wie Sie das Prinzip der minimalen Berechtigungen, die Trennung von Aufgaben, den Verzicht auf generische Konten und die starke Authentifizierung umsetzen und an welchen Rahmenwerken oder Vorschriften Sie sich orientieren (z. B. ISO 27001 und ISO 27002).

  • Standardrollen und -zuordnungen:

Beschreiben Sie Rollen wie Service Desk Analyst, Netzwerktechniker, Cloud-Techniker, Sicherheitsanalyst, Projektingenieur und Account Manager und legen Sie den maximalen Zugriff fest, der jeder Rolle auf verschiedene Systemklassen gestattet ist.

  • Zugriffskategorien:

Definieren Sie Standard-, privilegierte, Notfall-/Break-Glass- und Drittanbieterzugriffe mit klaren Regeln dafür, wie diese mandantenübergreifend angefordert, gewährt, genutzt und protokolliert werden.

  • Genehmigungsregeln und Nachweise:

Legen Sie klar fest, wer welche Zugriffsarten genehmigen kann, wo diese Genehmigungen protokolliert werden, wie lange sie aufbewahrt werden und wie sie mit Tickets oder Änderungen verknüpft sind.

  • Überprüfungshäufigkeit und Auslöser:

Legen Sie regelmäßige Überprüfungszyklen für den Benutzer- und Administratorzugriff fest und notieren Sie zusätzliche Auslöser wie organisatorische Änderungen, neue Dienste oder schwerwiegende Vorfälle.

  • Ausnahmebehandlung:

Erläutern Sie, wie vorübergehende Abweichungen beantragt, einer Risikobewertung unterzogen, zeitlich begrenzt und überprüft werden, damit ein einmaliger Zugriff nicht stillschweigend zu einem dauerhaften wird.

Anschließend können Sie kurze Kabel anbringen. Mieterprofile die zusätzliche Anforderungen an Verschlüsselung, Trennung, Genehmigung oder Protokollierung für bestimmte Sektoren oder Kundengruppen (z. B. öffentlicher Sektor, Gesundheitswesen oder Finanzwesen) erfassen.

Wie kann man diese Struktur so gestalten, dass sie für Ingenieure leicht zu handhaben ist?

Eine Richtlinie, die nur Compliance-Beauftragte und Auditoren verstehen, wird niemals das alltägliche Verhalten prägen. Managed Service Provider (MSPs) erzielen deutlich bessere Ergebnisse, wenn sie:

  • Kurz produzieren, rollenspezifische Leitfäden aus der Hauptrichtlinie (zum Beispiel „Zugriffsregeln für Service-Desk-Mitarbeiter“ oder „Sichere Nutzung des Notausgangs“).
  • Die Richtlinie in durch die Verwendung von Zugriffsanforderungstypen, Änderungsvorlagen und Runbooks, die den Kategorien und Regeln im Dokument entsprechen.
  • Die Hauptrichtlinie beibehalten schlank und prinzipienbasiertund detaillierte „Klicken Sie hier, dann hier“-Anweisungen in Standards, Verfahren und Handbücher zu überführen.

Wenn ein Techniker anhand eines Leitfadens sofort erkennen kann, welche Aktionen ihm in einem bestimmten Mandanten erlaubt sind, wird die Richtlinie zu einem effektiven Werkzeug für die Zugriffsverwaltung. ISMS.online hilft Ihnen, die Kernrichtlinie, rollenspezifische Anweisungen und mandantenspezifische Anforderungen in einer Umgebung zu verknüpfen, sodass Änderungen an Ihrem Zugriffsmodell direkt in den Arbeitsalltag einfließen und nicht nur in einem ungelesenen Dokument existieren.

Wie können Managed Service Provider (MSPs) Anhang A.5.15 mit Identitäts- und privilegierten Zugriffsrechten verknüpfen, damit die Rechte nicht außer Kontrolle geraten?

Sie behalten die Kontrolle über den Zugriff, indem Sie sicherstellen, dass ein Satz Zugriffsregeln Steuert Ihren Identitätslebenszyklus, Ihre Rollengestaltung und Ihre Zugriffsrechte. Anhang A.5.15 legt fest, wer worauf Zugriff haben darf; Identitätsmanagement und privilegierter Zugriff sorgen dafür, dass diese Erwartungen in jedem System und Mandanten einheitlich durchgesetzt werden.

Wie sieht ein integriertes Identitäts- und Zugriffsmodell für einen Managed Service Provider (MSP) aus?

Gemäß Anhang A.5.15 werden die Richtlinien bei Ihren Identitäts- und Zugriffsverwaltungsprozessen in konkrete Entscheidungen umgesetzt. Ein integriertes Modell umfasst üblicherweise Folgendes:

  • A Joiner-Mover-Leaver-Prozess Dies umfasst alle, die mit den Mietern in Kontakt treten können, einschließlich Auftragnehmer und langjährige Partner.
  • Identitäten, die erstellt und geändert wurden durch Definierte Rollenkeine ad-hoc-Berechtigungslisten, bei denen diese Rollen aktualisiert werden, wenn sich Dienste oder Technologien ändern.
  • Umzugsunternehmen mit Zugang entfernt und hinzugefügt auf Ihren eigenen Plattformen und allen betroffenen Kunden-Tenants, wobei die Änderungen protokolliert und, falls erforderlich, sowohl von Ihrem MSP als auch vom Kunden genehmigt werden.
  • Ausscheidende Mitarbeiter werden vollständig von internen Systemen, gemeinsam genutzten Tools und jedem Kundenmandanten abgemeldet, wobei eine namentlich genannte Person dies bestätigt.

Auf der privilegierten Seite könnte ein konsistentes Modell Folgendes beinhalten:

  • Benannte Administratorkonten: mit Multi-Faktor-Authentifizierung für Mandantensysteme oder andere Hochrisikosysteme, niemals gemeinsam genutzte Anmeldedaten.
  • Just-in-time oder zeitgebundene Erhöhung: für sensible Aufgaben, die mit einer Änderung, einem Vorfall oder einem Wartungsfenster zusammenhängen.
  • Strenge Kontrolle darüber, wer privilegierte Zugriffe genehmigen darf, wobei die Genehmigungen in Ihrer ITSM- oder Ticketing-Plattform erfasst werden.
  • Geplant Zugriffsbewertungen für privilegierte Rollen, die gemeinsam mit Kunden für kritische oder regulierte Mieter ausgeführt werden.

Wenn diese Elemente übereinstimmen, lässt sich einem Auditor oder Kunden deutlich leichter nachweisen, dass Anhang A.5.15 in Ihren Systemen für Identitäts-, Zugriffs- und privilegierte Zugriffe implementiert ist und nicht nur auf Papier existiert. Plattformen wie ISMS.online vereinfachen diese Nachverfolgbarkeit, indem sie Ihre Zugriffsrichtlinien, Kontrollaufzeichnungen und Nachweise verknüpfen. So können Sie mit wenigen Klicks demonstrieren, wie der Lebenszyklus einer einzelnen Person vom ersten Zugriff bis zum endgültigen Entzug abgewickelt wurde.

Welche Schwachstellen bei der Zugriffskontrolle stellen Auditoren und Unternehmenskunden am häufigsten bei Managed Service Providern fest?

Die häufigsten Schwächen zeigen sich dort, wo Die festgelegten Regeln und der tatsächliche Zugang stimmen nicht überein.Insbesondere an der Schnittstelle zwischen Ihrem Managed Service Provider (MSP) und den Kunden-Tenants treten häufig Lücken auf. Schwachstellen in Multi-Tenant-Tools, gemeinsam genutzten Konsolen und Fernzugriffsplattformen sind ein besonders häufiges Problemfeld.

Welche spezifischen Muster tauchen immer wieder auf?

Zu den wiederkehrenden Problemen gehören:

  • Richtlinien, die sich auf „alle Mitarbeiter“ beziehen, aber in der Praxis Auftragnehmer, Offshore-Teams oder externe Betriebszentren übersehen.
  • Unvollständiges oder nicht dokumentiertes Offboarding: insbesondere im Hinblick auf Kundenmieter und gemeinsam genutzte Tools, wenn Mitarbeiter oder Auftragnehmer die Rolle wechseln oder ganz ausscheiden.
  • Gemeinsam genutzte oder generische Administratorkonten: in Fernüberwachungs-, PSA-, Backup- oder Sicherheitstools, die von vielen Mandanten genutzt werden.
  • Legacy-Konten in Kundensystemen, deren Eigentümer eindeutig niemand ist und für deren Zugriffsrechte es aktuell keine Rechtfertigung gibt.
  • Unregelmäßige Zugriffsprüfungen: oder Rezensionen, die sich nur auf interne Systeme beziehen und kundenorientierte Plattformen und Mieter ignorieren.
  • Vorübergehender oder Notfallzugang, der nie ordnungsgemäß eingerichtet wurde zeitlich befristet, erneut genehmigt oder widerrufenund ist langsam zu einem Dauerzustand geworden.
  • Haben Sie Schwierigkeiten, einfache Fragen wie „Wer aus Ihrer Organisation hat heute administrativen Zugriff auf unseren Produktions-Tenant?“ zu beantworten?

Auch wenn bisher keine dieser Sicherheitslücken zu einem Vorfall geführt hat, verunsichern sie Unternehmenskunden. Viele betrachten den MSP-Zugang mittlerweile als Teil ihres umfassenderen Sicherheitskonzepts. LieferkettenrisikoDaher werden sie diese Punkte in Gesprächen über Sorgfaltsprüfungen, Vertragsverlängerungen und die Reaktion auf Zwischenfälle genauer unter die Lupe nehmen.

Wie wirken sich diese Lücken wiederum auf das kommerzielle Risiko aus?

Sobald ein Kunde oder Prüfer Unstimmigkeiten bei der Zugriffskontrolle feststellt, passieren in der Regel drei Dinge:

  • Sie Ergebnisse anheben und rechnen Sie mit Sanierungsplänen, die Zeit in Anspruch nehmen und Verkaufszyklen oder Vertragsverlängerungen verlangsamen können.
  • Sie den Umfang einschränken Systeme oder Daten, auf die Sie zugreifen oder zusätzliche Kontrollen auferlegen können, was es schwieriger macht, effizienten Support zu leisten.
  • In schwerwiegenderen Fällen, neu ausschreiben oder diversifizieren Wechseln Sie den Managed Service Provider (MSP), wenn das Vertrauen in Ihre Zugriffsverwaltung weiter schwindet.

Die Stärkung von Anhang A.5.15 ist daher auch eine Geschäftsstrategie. Wenn Sie nachweisen können, dass der Zugang zu jedem Mieter kontrolliert, gerechtfertigt und überprüft wird, werden Sie mit weitaus größerer Wahrscheinlichkeit als langfristiger Verwalter der Kundenumgebungen und nicht nur als ein weiterer austauschbarer Lieferant wahrgenommen.

Wie kann ein Managed Service Provider (MSP) gegenüber Auditoren und Unternehmenskunden nachweisen, dass seine Zugriffsverwaltung effektiv ist?

Sie demonstrieren eine effektive Zugangssteuerung, indem Sie einem klare, konsistente Geschichte Wie Ihre Zugriffsregeln im Alltag umgesetzt werden, und untermauern Sie diese Darstellung mit fundierten Belegen. Unterschiedliche Zielgruppen betrachten dies aus leicht unterschiedlichen Perspektiven, doch alle erwarten den Nachweis, dass Ihr Ansatz strukturiert, wiederholbar und nicht von ein oder zwei herausragenden Einzelpersonen abhängig ist.

Welche Art von Beweisstruktur eignet sich gut für Anhang A.5.15?

Für Anhang A.5.15 erleichtert eine „Bibliothek mit Nachweisen zur Zugangs-Governance“ die Darstellung, wie Richtlinien in die Praxis umgesetzt werden. Eine einfache, mehrschichtige Struktur sieht folgendermaßen aus:

  1. Richtlinien und Geltungsbereich
    Ihre Zugriffskontrollrichtlinie ist Anhang A.5.15 und den zugehörigen Kontrollen zugeordnet, wobei die betroffenen Systeme und Mieter klar aufgeführt sind.

  2. Verfahren und Standards
    Dokumente, die erläutern, wie Sie Mitarbeiter ein- und auschecken, privilegierte Zugriffsrechte und Notfallzugriffe verwalten und Zugriffsüberprüfungen durchführen.

  3. Workflow-Datensätze
    Zugriffsanfragen, Genehmigungen und Änderungsprotokolle für Vertreter des Personals und Mieter, die belegen, dass die Verfahren in realen Fällen eingehalten werden.

  4. Protokolle und Berichte
    Protokolle von Identitätsanbietern, Fernzugriffstools und Administrationskonsolen sowie regelmäßige Berichte über privilegierte Zugriffe und die Ergebnisse von Zugriffsüberprüfungen.

  5. Überprüfungen und Governance
    Protokolle oder Aufzeichnungen von Zugriffsüberprüfungssitzungen, Kundengovernance-Meetings und Genehmigungen des Managements zu wichtigen Änderungen oder Ausnahmen.

Sobald Sie wissen, wo sich jedes dieser Elemente befindet, können Sie eine prägnante Übersicht erstellen. Beweismittelpakete für unterschiedliche Bedürfnisse:

  • Ein speziell zugeschnittenes Paket für ISO 27001-Auditoren und andere Gutachter.
  • Ein kundenorientiertes Paket zur Unterstützung von Lieferanten-Sicherheitsüberprüfungen und Due-Diligence-Fragebögen.
  • Ein internes Informationspaket für die Führungsebene, das aufzeigt, wie die Zugriffssteuerung Risikomanagement, Resilienz und Servicequalität unterstützt.

Wie sollte man das in einem Meeting am besten ansprechen?

In Gesprächen mit Wirtschaftsprüfern oder Unternehmenskunden hilft es, alles anhand realer Beispiele zu untermauern:

  • Gehen Sie durch ein oder zwei reale Nutzerreisen – beispielsweise bei der Einstellung eines neuen Ingenieurs, einem Rollenwechsel oder dem Ausscheiden eines Mitarbeiters – und zeigen Sie, wie der Zugriff in mindestens einem internen System und einem Mandanten angefordert, genehmigt, gewährt, protokolliert und überprüft wurde.
  • Zeigen Sie, wie Ausnahmen und Notfallzugang werden angefordert, sind zeitlich begrenzt und werden bereinigt, mit Nachweisen über Genehmigungen und Nachverfolgung.
  • Erklären Sie, wie Sie Drift erkennen und korrigierenzum Beispiel durch regelmäßige Überprüfungen, bei denen der aktuelle Zugriff mit den vorgesehenen Rollen und den mieterspezifischen Anforderungen verglichen wird.

Diese Art von Präsentation verdeutlicht, dass Anhang A.5.15 fest in den Arbeitsablauf Ihres Managed Service Providers (MSP) integriert ist. Mit ISMS.online können Sie diese Vorgehensweise souveräner üben und präsentieren, da die Richtlinien, Aufgaben und Nachweise für jeden einzelnen Prozess an einem zentralen Ort gespeichert sind und nicht mehr über verschiedene Ordner, Postfächer und Tools verteilt.

Wie kann ISMS.online einem Managed Service Provider (MSP) dabei helfen, Anhang A.5.15 als lebendige Zugangsgovernance-Praxis umzusetzen?

ISMS.online hilft Ihnen dabei, Anhang A.5.15 von einem statischen Dokument in ein ... zu übertragen. Workflow für die vernetzte Zugriffsverwaltung Das spiegelt wider, wie Ihr Managed Service Provider (MSP) tatsächlich neue Mitarbeiter einarbeitet, Zugriffsrechte gewährt und Hochrisikokunden überprüft. Anstatt Regeln und Nachweise über Dateien, Laufwerke und Postfächer zu verteilen, verwalten Sie diese in einem einzigen ISMS, das für ISO 27001:2022 entwickelt wurde.

Wie unterstützt ISMS.online Anhang A.5.15 im täglichen Gebrauch?

Innerhalb von ISMS.online können Sie:

  • Halten Sie Ihren zentrale MSP-Zugriffskontrollrichtlinie Ordnen Sie es an einer Stelle direkt dem Anhang A.5.15 (und verwandten Kontrollen wie A.5.16 und A.8.2) zu und weisen Sie Verantwortliche und Überprüfungstermine zu, damit es mit Ihrer Arbeitsweise übereinstimmt.
  • Kreation verknüpfte Steuerelemente, Aktionen und Aufgaben für wichtige Aktivitäten wie die Bereitstellung, Änderungen privilegierter Zugriffe, Notfallzugriffe und planmäßige Zugriffsüberprüfungen, damit die Verantwortlichkeiten klar sind.
  • Planen und verfolgen wiederkehrende Arbeit – Vierteljährliche Zugriffsüberprüfungen, jährliche Aktualisierungen der Richtlinien und kundenspezifische Governance-Prüfungen – mit Statusansichten, die aufzeigen, wo Handlungsbedarf besteht.
  • Anfügen Beweis wie z. B. Bestätigungen von Zugriffsprüfungen, Exporte von Administratorrechten und Besprechungsprotokolle direkt in die entsprechenden Kontrollen und Aufgaben, sodass Prüfer und Kunden das gesamte Geschehen sehen können, ohne dass Sie unter Zeitdruck Screenshots erstellen müssen.
  • Erfassung kundenspezifische Anforderungen durch zusätzliche Kontrollen, Projekte oder Notizen, die Ihnen einen klaren Überblick darüber geben, welche Mieter über die Basislinie hinausgehen und wie Sie in der Praxis mit diesen Unterschieden umgehen.

Dadurch wird es wesentlich einfacher, Fragen wie „Wer hat Zugriff auf diesen Mandanten, wie wurde dieser Zugriff genehmigt und wann wurde er zuletzt überprüft?“ zu beantworten, ohne dass man mühsam zwischen verschiedenen Tools suchen muss.

Wie verändert die Nutzung von ISMS.online die Wahrnehmung Ihres Managed Service Providers durch Kunden und Auditoren?

Wenn Ihre Zugriffsverwaltung in ISMS.online klar dokumentiert, verlinkt und überwacht wird, demonstrieren Sie Folgendes:

  • Einheitliche Standards: die Regelungen sollten mieterübergreifend gelten, anstatt jede Umgebung einzeln zu behandeln.
  • Ausnahmen und Notfallzugang: werden bewusst wahrgenommen, aufgezeichnet und wiederholt betrachtet, anstatt still im Hintergrund fortzubestehen.
  • Die Zugriffsverwaltung wird als Teil Ihrer Kernqualität der Dienstleistung, nicht nur ein Kontrollkästchen für eine Zertifizierung.

Das ist wichtig, wenn Ihre Kunden Ihren Managed Service Provider (MSP) als langfristigen Verwalter ihrer IT-Umgebungen und nicht nur als zusätzlichen Dienstleister wahrnehmen sollen. Um sich ein konkretes Bild davon zu machen, wie schnell sich Ihr aktueller Ansatz gemäß Annex A.5.15 optimieren lässt, ist es oft am schnellsten zu entscheiden, ob dies die richtige Lösung für Ihr Team und Ihre Wachstumspläne ist, indem Sie sich mit einigen Ihrer eigenen Mandanten in einem ISMS.online-Arbeitsbereich für die Zugriffsverwaltung auseinandersetzen.

Mark Sharron

Mark Sharron leitet die Strategie für Suche und generative KI bei ISMS.online. Sein Schwerpunkt liegt auf der Vermittlung der praktischen Umsetzung von ISO 27001, ISO 42001 und SOC 2 – der Verknüpfung von Risiken mit Kontrollen, Richtlinien und Nachweisen mit auditfähiger Rückverfolgbarkeit. Mark arbeitet mit Produkt- und Kundenteams zusammen, um diese Logik in Arbeitsabläufe und Webinhalte zu integrieren und Unternehmen dabei zu helfen, Sicherheit, Datenschutz und KI-Governance sicher zu verstehen und nachzuweisen.

Twitter

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.