Warum MSP Access der neue Shared Blast Radius ist
Der Zugriff auf Managed Service Provider (MSPs) birgt ein hohes Gefahrenpotenzial, da eine einzelne übermäßig privilegierte Identität in Ihrem Unternehmen zahlreiche Kunden gleichzeitig beeinträchtigen kann. Wenn Ihre Teams über leistungsstarke Tools und administrative Rechte in Dutzenden von Umgebungen verfügen, werden das Prinzip der minimalen Berechtigungen und die regelmäßige Rezertifizierung von Zugriffsrechten nicht länger nur im Hintergrund laufende Verwaltungsaufgaben, sondern zu zentralen Sicherheitsmaßnahmen, um Schäden zu begrenzen und das Vertrauen von Kunden, Vorständen und Versicherern zu gewährleisten.
Rund 41 % der Befragten in der ISMS.online-Umfrage „State of Information Security 2025“ gaben an, dass das Management von Drittparteirisiken und die Überwachung der Lieferantenkonformität zu ihren größten Herausforderungen im Bereich der Informationssicherheit gehören.
Das Problem des MSP-Explosionsradius in einfachen Worten
Das Problem der potenziellen Sicherheitslücken bei Managed Service Providern (MSPs) besteht darin, dass eine kompromittierte Identität oder ein gemeinsam genutztes Tool mit einem einzigen Schritt zahlreiche Kundensysteme angreifen kann. Multi-Tenant-Plattformen und weitreichende Administratorrollen erstrecken sich oft über Dutzende von Mandanten, sodass ein Fehler oder eine Sicherheitslücke schnell von einem einzelnen Vorfall zu einem kundenübergreifenden Problem eskalieren kann. Sicherheitsberichte haben wiederholt reale Vorfälle aufgezeigt, bei denen Angreifer MSP-Management-Tools und gemeinsam genutzte Administratorkonten missbrauchten, um gleichzeitig in mehrere Kundennetzwerke einzudringen, wie beispielsweise von Fachmedien wie Dark Reading berichtet wurde.
Ihre Mitarbeiter können Kunden ohne entsprechende Zugriffsrechte nicht unterstützen, doch jede zusätzliche Berechtigung erhöht das Schadenspotenzial bei Fehlern oder Sicherheitslücken. Multi-Tenant-Lösungen verstärken dieses Risiko, da ein einziger Satz von Zugangsdaten zu einer Art Abkürzung zwischen Kunden wird. In einem Multi-Tenant-Managed-Service-Provider (MSP) betrifft ein kompromittiertes, gemeinsam genutztes Administratorkonto oder Fernwartungstool selten nur ein Unternehmen; es kann Angreifern den Zugang zu vielen Unternehmen ermöglichen, oft mit weitreichenden Berechtigungen und langjährigem Vertrauen.
Die Mehrheit der Organisationen in unserer ISMS.online-Umfrage zum Stand der Informationssicherheit 2025 berichtete, im vergangenen Jahr von mindestens einem Sicherheitsvorfall im Zusammenhang mit Drittanbietern oder Lieferanten betroffen gewesen zu sein.
Viele Managed Service Provider (MSPs) haben ihre Wurzeln in Schnelligkeit und Vertrauen: Wer gerade Bereitschaftsdienst hatte oder den Kunden am besten kannte, erhielt weitreichende Zugriffsrechte, um Probleme schnell zu beheben. Im Laufe der Zeit häufen sich diese Entscheidungen zu einem komplexen Geflecht aus gemeinsam genutzten Konten, nicht abgelaufenen Testzugriffen und veralteten Administratorrollen, die niemand anfassen möchte, weil sie einfach funktionieren. ISO 27001:2022 A.5.18 beleuchtet dieses Geflecht und fordert, dass Sie festlegen, dokumentieren und regelmäßig überprüfen, wer Zugriff hat und warum, anstatt sich auf informelle Erfahrungen zu verlassen. Der Kontrolltext in Anhang A.5.18 verlangt, dass Zugriffsrechte auf Informationen und andere zugehörige Ressourcen gemäß Ihrer Zugriffskontrollrichtlinie bereitgestellt, überprüft, geändert und entfernt werden. Dies funktioniert nur, wenn die Entscheidungen darüber, wer Zugriff hat und warum, klar dokumentiert und regelmäßig hinterfragt werden, wie in ISO 27001:2022 Anhang A.5.18 beschrieben.
Eine starke Zugangssteuerung ist der oft übersehene Unterschied zwischen Vertrauen und toleriertem Risiko.
Aus Sicht eines COO oder Sicherheitsverantwortlichen lautet die entscheidende Frage nicht mehr: „Haben wir Zugriffskontrollen?“, sondern: „Können wir innerhalb weniger Minuten klar beschreiben, welche Identitäten mit welchen Berechtigungen und auf welcher geschäftlichen Grundlage auf welche Kundensysteme zugreifen dürfen?“ Wenn die ehrliche Antwort darin besteht, Tools, Tickets und internes Wissen zu durchforsten, ist Ihr Sicherheitsrisiko größer als angenommen und Ihre Sicherheitsvorkehrungen sind unzureichend.
Ausweitung von Privilegien und eine Kultur des „gut genug“ Zugangs
Privilegienausweitung bezeichnet den schleichenden Aufbau von Zugriffsrechten, wenn sich Personen, Kunden oder Tools ändern, alte Rechte aber vorsichtshalber beibehalten werden. Bei Managed Service Providern (MSPs) verstärkt sich diese Ausweitung mit der Anzahl der betreuten Mandanten: Ein erfahrener Techniker, der jahrelang für viele Kunden gearbeitet hat, kann am Ende über eine nahezu unbegrenzte Anzahl aktiver Konten, Rollen und Hintertüren verfügen.
Die schleichende Ausweitung von Berechtigungen entsteht meist aus guten Absichten: Man verzichtet auf den Entzug von Rechten, falls diese im Notfall benötigt werden oder um einen langjährigen Kunden zufriedenzustellen. Mit der Zeit führen diese gut gemeinten Entscheidungen jedoch zu einem Zugriffsniveau, das niemand mehr akzeptieren würde, wenn es ihm übersichtlich dargestellt wäre.
Kulturell gesehen erscheint es oft sicherer, alte Zugriffsrechte unverändert zu lassen, insbesondere wenn man befürchtet, den Dienst zu beeinträchtigen. Genau diese Bequemlichkeit nutzen Angreifer und Prüfer aus. Wenn im Rahmen einer Untersuchung von Sicherheitsvorfällen oder einer Zertifizierungsprüfung die Frage aufkommt, warum eine bestimmte Person oder ein bestimmtes Servicekonto Jahre nach Projektabschluss immer noch über weitreichende Zugriffsrechte verfügt, ist die Antwort „Wir haben es nie geschafft, diese zu entfernen“ keine Antwort, die irgendjemand gerne protokollieren möchte.
Die Betrachtung des Zugriffs als gemeinsamen Gefahrenbereich anstatt als rein technisches Detail verändert die Diskussion grundlegend. Es geht nicht mehr darum, ob eine einzelne VPN-Gruppe oder eine Fernüberwachungsrolle zu weit gefasst ist; vielmehr geht es darum, wie viel Schaden für andere Kunden Ihr Unternehmen tolerieren will, falls diese Identität missbraucht wird. Diese veränderte Perspektive ist der ideale Einstieg in A.5.18, denn die Kontrollen dienen genau diesem Zweck: Entscheidungen bewusst zu treffen, zu dokumentieren und nachvollziehbar zu machen.
KontaktWas ISO 27001:2022 A.5.18 wirklich fordert
ISO 27001:2022 A.5.18 verlangt von Ihnen die Kontrolle über den gesamten Lebenszyklus von Zugriffsrechten, sodass Benutzer nur über die minimal benötigten Rechte verfügen, und zwar so lange wie nötig. Für Managed Service Provider (MSPs) bedeutet dies, nachweisen zu können, wie Zugriffe für jede Identität bereitgestellt, geändert, überprüft und entfernt werden – mit klaren Genehmigungen und Nachweisen für jede Entscheidung. Anhang A.5.18 beschreibt die Bereitstellung, Überprüfung, Änderung und Entfernung von Zugriffsrechten gemäß Ihrer Zugriffskontrollrichtlinie. Die umfassenderen Zugriffskontrollprinzipien der ISO 27001 bekräftigen den Grundsatz, dass der Zugriff auf das für die jeweilige Aufgabe und Dauer Notwendige beschränkt sein sollte, wie es auch in den Implementierungsleitfäden von Normungsorganisationen wie dem BSI (British Standards Institute) zum Ausdruck kommt.
Komplexe Steuerungstexte in praktische Verben umwandeln
A.5.18 lässt sich für Ihren Managed Service Provider (MSP) auf vier Maßnahmen reduzieren: Bereitstellung, Änderung, Überprüfung und Entfernung von Zugriffsrechten auf konsistente und nachvollziehbare Weise. Wenn Sie diese vier Phasen für reale Identitäten beschreiben und belegen können, erfüllen Sie die Kontrollvorgaben bereits nahezu vollständig.
Auf dem Papier mag A.5.18 abstrakt wirken: „Zugriffsrechte auf Informationen und andere zugehörige Ressourcen sollten gemäß den themenspezifischen Richtlinien und Regeln der Organisation für die Zugriffskontrolle bereitgestellt, überprüft, geändert und entfernt werden.“ In der Praxis bedeutet dies für Ihren Managed Service Provider (MSP) vier konkrete Verben, die direkt aus ISO 27001:2022 Anhang A.5.18 stammen:
- Bereitstellung: – wie neue Zugriffsrechte beantragt, genehmigt und gewährt werden.
- Ändern Sie: – wie sich der Zugriff ändert, wenn sich Rollen, Verantwortlichkeiten oder Kundenbereiche ändern.
- Bewertung: – wie bestehende Zugriffsrechte regelmäßig überprüft und neu zertifiziert werden.
- Entfernen: – wie der Zugriff entzogen wird, wenn Personen ausscheiden, Projekte enden oder Tools außer Betrieb genommen werden.
Für jedes dieser Verben sucht A.5.18 nach beiden Prozessdefinierung und BeweisDer Prozess bedeutet, dass Sie festgelegt haben, wer Anfragen stellen kann, wer sie genehmigen muss, welche Systeme aktualisiert werden und wie schnell. Der Nachweis bedeutet, dass Sie anhand einer Stichprobe realer Identitäten die Anfrage, die Genehmigung, die Änderung und den Überprüfungsverlauf nachweisen können.
Erfahrene Auditoren achten in der Regel weniger auf die Leistungsfähigkeit Ihrer Tools, sondern vielmehr darauf, ob sie einen nachvollziehbaren Zugriffslebenszyklus von der Anfrage bis zur Löschung nachvollziehen können. Wenn die Historie konsistent, nachvollziehbar und mit den Richtlinien verknüpft ist, fühlen sie sich deutlich wohler als bei isolierten Tickets und Protokollen ohne klaren Geschäftskontext.
Verbindung von A.5.18 mit dem Prinzip der geringsten Berechtigung und des geringsten Wirkungsradius
A.5.18 knüpft direkt an das Prinzip der minimalen Rechtevergabe an, indem es fordert, dass Zugriffsrechte den Geschäftsanforderungen entsprechen und aktiv gepflegt werden. Die Kontrollmaßnahme verlangt nicht nur eine Richtlinie, sondern erwartet auch, dass Sie darlegen, wie diese Richtlinie in die tatsächlichen Bereitstellungs-, Überprüfungs- und Löschungsentscheidungen einfließt, sodass die Auswirkungen auf einzelne Identitäten so gering wie möglich bleiben.
Die Prinzipien der minimalen Berechtigungen und der Kenntnisnahme sind nicht neu, aber A.5.18 gibt ihnen einen konkreten operativen Rahmen. Es wird nicht nur gefragt, ob eine Zugriffskontrollrichtlinie vorhanden ist; vielmehr wird erwartet, dass sich diese Richtlinie in der Art und Weise widerspiegelt, wie Sie Zugriffe gewähren und verwalten. Zum Beispiel:
- Zugriffsanfragen sollten sich auf Rollendefinitionen beziehen, die dem Prinzip der minimalen Berechtigungen entsprechen.
- Genehmigungsprozesse sollten sicherstellen, dass nicht nur technische Leiter, sondern auch die Geschäftsinhaber Rechte genehmigen, die ein erhebliches Risiko bergen.
- Die Rezertifizierungszyklen sollten häufig genug und risikobasiert sein, um eine schleichende Ausweitung von Berechtigungen zu erkennen, bevor sie gefährlich wird.
- Die Zugangsbeschränkung sollte automatisch und zeitnah entzogen werden, wenn Mitarbeiter das Unternehmen verlassen oder sich Verträge ändern.
Für Managed Service Provider (MSPs) gibt es eine zusätzliche Schwierigkeit: Das Prinzip der minimalen Berechtigungen muss für alle Bereiche gelten. intern Systeme (Personalwesen, Finanzen, Ticketing, Dokumentation) und Kunde Systeme (Cloud-Mandanten, On-Premise-Server, SaaS-Adminportale) werden häufig über dieselben Multi-Tenant-Tools erreicht, die Sie bereits verwenden. Daher erwartet A.5.18, dass Sie diesen kombinierten Zugriff als Teil Ihrer Zugriffssteuerung behandeln und nicht als informellen Nebenkanal, der von Technikern verwaltet wird. Diese umgebungsübergreifende Sichtweise findet sich auch in nationalen und europäischen Leitlinien zu MSP und Lieferkettenrisiken wieder, darunter Arbeiten von Organisationen wie ENISA, die betonen, dass der Zugriff von Anbietern auf Kundenumgebungen in formale Zugriffssteuerungsvereinbarungen eingebettet sein muss.
ISMS.online bietet Ihnen eine strukturierte Plattform zur Verwaltung von Richtlinien, Rollendefinitionen, Genehmigungsprotokollen, Prüfplänen und Nachweisen für Löschungen – allesamt auf A.5.18 und zugehörige Kontrollen abgestimmt. Unabhängig vom verwendeten Tool bleibt der grundlegende Paradigmenwechsel gleich: Zugriffsrechte beschränken sich nicht mehr nur auf die Frage, wer sich anmelden darf; es geht darum, wer Einfluss auf Kundenergebnisse nehmen kann und wie Sie nachweisen, dass diese Befugnisse verhältnismäßig sind und regelmäßig überprüft werden.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Auslegung von A.5.18 für Managed Service Provider (MSPs): Interner Zugriff vs. Kundenzugriff
A.5.18 gilt für jedes System, das innerhalb der Grenzen Ihres ISMS (Informationssicherheitsmanagementsystems) Ihrer Organisation zugänglich ist, nicht nur für Ihr eigenes Netzwerk. Als Managed Service Provider (MSP) müssen Sie internen Zugriff, Zugriff über gemeinsam genutzte Tools und direkten Zugriff auf Kundenumgebungen trennen und alle drei Zugriffsarten einheitlich steuern können, um die Auswirkungen von Sicherheitslücken zu minimieren.
Klare Abgrenzung zwischen internem und Kundenzugang
Die Anforderung A.5.18 lässt sich leichter erfüllen, wenn Sie interne, gemeinsam genutzte und Kundensysteme klar abbilden. Diese Abbildung hilft Ihnen zu entscheiden, wer Zugriffe genehmigt, wer die Systeme im Tagesgeschäft bedient und wo Sie Prüfungen durchführen sollten, insbesondere bei komplexen, mandantenfähigen Systemen mit sich überschneidenden Verantwortlichkeiten.
Aus der Perspektive von ISO 27001 umfasst der Begriff „Zugriffsrechte“ Konten, Rollen und technische Zugriffswege:
- Ihre eigenen Geschäftssysteme (z. B. Personalwesen, CRM, Finanzen, Ticketing, Dokumentation).
- Ihre gemeinsam genutzten MSP-Tools (z. B. Fernverwaltungsplattformen, Remote-Access-Gateways, Passwort-Tresore, Backup-Konsolen, Überwachungssysteme).
- Die Umgebungen Ihrer Kunden (z. B. Cloud-Management-Konsolen, lokale Server, SaaS-Administrationsschnittstellen).
In der Praxis überschneiden sich diese Kategorien häufig. Ihr Ticketsystem kann Kundendaten oder sensible Vorfalldetails enthalten. Ihre Fernverwaltungsplattform kann sowohl ein zentrales Servicetool als auch ein Zugangspunkt zu Hunderten von Mandanten sein. Um die Anforderungen von A.5.18 zu erfüllen, müssen Sie diese Überschneidungen explizit darlegen und festlegen, in welchem Bereich die Zugriffsrechteverwaltung für jedes System einzuordnen ist.
Praktische Fragen, die helfen:
- Handelt es sich bei jedem kritischen System um ein „MSP-internes“, ein „kundenseitiges“ oder ein „gemischtes“ System?
- Wer ist für jede Kategorie berechtigt, den Zugriff zu genehmigen, und wer ist im täglichen Betrieb dafür zuständig?
- Können Sie kurz auflisten, welche Mitarbeiter und Servicekonten aktuell Zugriff haben und über welche Berechtigungsstufe?
Wenn die Antworten unklar sind oder auf verschiedene Eigentümer verteilt sind, ist dies das erste Anzeichen dafür, dass A.5.18 noch nicht vollständig so implementiert ist, dass ein Auditor sich damit wohlfühlen würde, und dass Ihr Wirkungsbereich immer noch eher durch Stammeswissen als durch Governance definiert wird.
Gemeinsame Verantwortung zwischen Ihnen und Ihren Kunden
Die Verwaltung von Zugriffsrechten ist eine gemeinsame Verantwortung: Kunden bleiben für die Risiken ihrer Informationen und Systeme verantwortlich, während Sie dafür verantwortlich sind, wie Ihre Teams die ihnen gewährten Zugriffsrechte nutzen. A.5.18 erwartet, dass diese gemeinsame Verantwortung explizit formuliert, dokumentiert und in der Art und Weise, wie Zugriffe in internen und Kundenumgebungen gewährt, überprüft und entzogen werden, widergespiegelt wird.
Ihre Kunden bleiben für die Risiken ihrer Informationen und Systeme verantwortlich, auch wenn Sie diese betreiben. Das bedeutet, dass sie letztendlich entscheiden, welche Zugriffsrechte sie Ihren Teams und Tools gewähren. Sie wiederum sind dafür verantwortlich, diese Zugriffsrechte im vereinbarten Rahmen zu verwalten, nachzuweisen, dass Sie Ihre eigenen Richtlinien und die Ihrer Kunden einhalten und die Rechte im Laufe der Zeit an das Prinzip der minimalen Berechtigungen anpassen. Modelle zur geteilten Verantwortung in den Leitlinien von Aufsichtsbehörden und nationalen Cybersicherheitsbehörden für Cloud- und MSP-Vereinbarungen, einschließlich Veröffentlichungen der ENISA, betonen durchgängig, dass Kunden die letztendliche Verantwortung für ihre Informationsrisiken behalten, selbst wenn der Betrieb ausgelagert wird.
In unserer ISMS.online-Umfrage zum Stand der Informationssicherheit 2025 zählten zu den typischen Sicherheitsanforderungen an Lieferanten ISO 27001, ISO 27701, DSGVO, Cyber Essentials, SOC 2 und aufkommende KI-bezogene Standards.
Eine praktische Möglichkeit, dies auszudrücken, ist ein einfaches Modell der geteilten Verantwortung:
- Kunde: – definiert und genehmigt, welche Rollen akzeptabel sind (z. B. „MSP-Level-2-Support darf nur Lesezugriff auf Produktionsdaten haben, jedoch keinen Schreibzugriff“) und beteiligt sich an regelmäßigen Rezertifizierungen ihrer Umgebungen.
- MSP: – setzt den Zugriff gemäß diesen Entscheidungen um und sorgt für dessen Durchsetzung, gewährleistet, dass Änderungen bei Eintritt, Versetzung und Austritt schnell erfasst werden, führt tägliche Kontrollen durch (z. B. Überwachung, Protokollierung, Passwortverwaltung) und liefert dem Kunden und den Wirtschaftsprüfern klare Nachweise.
In Verträgen, Leistungsbeschreibungen und Service-Level-Agreements (SLAs) lässt sich dokumentieren, wer für die Gewährung, Änderung, Überprüfung und den Entzug von Zugriffsrechten zuständig ist. Diese Klarheit ist nicht nur für ISO 27001 wichtig, sondern reduziert auch Reibungsverluste im Falle von Störungen. Wenn jeder genau weiß, wer für welche Zugriffsrechte verantwortlich ist, wird das Problem „Ich dachte, du kümmerst dich darum“ vermieden, das zu unkontrollierten Rechten und gegenseitigen Schuldzuweisungen führt.
Gestaltung des Zugriffsprinzips mit minimalen Berechtigungen für MSP- und Kundenumgebungen
Das Prinzip der minimalen Rechtevergabe funktioniert in der Praxis nur dann, wenn es in die Gestaltung von Rollen, die Zuweisung von Berechtigungen und den Umgang mit temporären Rechteerweiterungen integriert ist. Für Managed Service Provider (MSPs) bedeutet dies, realistische Rollenmodelle zu erstellen, dauerhaft weitreichende Rechte zu minimieren und risikoreiche Rechte sowohl in internen als auch in Kundenumgebungen gezielt zu vergeben, zu überwachen und zeitlich zu begrenzen.
Rollenbasierte Modelle, die tatsächlich zur MSP-Realität passen
Rollenbasierte Zugriffsverwaltung ist für Managed Service Provider (MSPs) dann sinnvoll, wenn die Rollen die tatsächlichen Arbeitsabläufe widerspiegeln und direkt Systemen und Berechtigungsstufen zugeordnet sind. Durch die Definition eines kleinen, klaren Satzes von MSP-Rollen und deren erforderlichen Zugriffsrechten in internen und Kundensystemen können Sie die Vergabe von Einzelberechtigungen vermeiden und die Zugriffsverwaltung über wiederverwendbare und nachvollziehbare Muster starten.
Der erste Baustein ist ein Rollenmodell, das die tatsächliche Arbeitsweise Ihrer Teams widerspiegelt. Anstatt Zugriffsrechte individuell und ad hoc zu gewähren, definieren Sie eine kleine, überschaubare Anzahl von Rollenprofilen, wie zum Beispiel:
- Kundendiensttechniker im First-Level-Support.
- Zweitlinien- oder Eskalationsingenieur.
- Projektingenieur oder Architekt.
- Plattformadministrator (z. B. Fernverwaltung, Datensicherung, Sicherheitstools).
- Servicemanager oder Leiter Kundenerfolg.
Beschreiben Sie für jede Rolle Folgendes:
- Auf welche Systeme muss die Rolle Zugriff haben (interne und kundenorientierte Systeme)?
- Welche Berechtigungsstufe ist jeweils erforderlich (Lesen, Standardbenutzer, Administrator)?
- Welche Kunden- oder Mietergruppen sollten von diesem Zugriff abgedeckt werden?
Indem Sie dies einmalig durchführen, vermeiden Sie, das Prinzip der minimalen Berechtigungen für jede neue Person oder jeden neuen Kunden von Grund auf neu zu diskutieren. Wenn jemand dem Team beitritt, wechselt oder eine neue Verantwortung übernimmt, weisen Sie Rollen zu oder passen diese an, anstatt einzelne Berechtigungen zu stapeln. Das vereinfacht auch Zugriffsüberprüfungen und Rezertifizierungszyklen erheblich, da Sie fragen können: „Passt diese Person noch in Rolle X?“ anstatt: „Welche dieser vielen Rechte benötigt sie noch?“.
Einschränkung der Stehberechtigung und Kontrolle der vorübergehenden Erhöhung
Bei dauerhaft weitreichenden Zugriffsrechten wird der Gefahrenbereich für Managed Service Provider (MSP) inakzeptabel. Daher benötigen Sie klare Vorgehensweisen, um permanente Administratorrechte einzuschränken und temporäre Rechteerweiterungen zu handhaben. Wenn Sie erklären können, welche Rechte permanent und welche zeitlich begrenzt sind und wie Notfallzugriffe protokolliert und widerrufen werden, sind Sie gegenüber Angreifern und Auditoren deutlich besser aufgestellt.
Selbst bei gut durchdachten Rollen verlassen sich Managed Service Provider (MSPs) aus Bequemlichkeit oft auf leistungsstarke, permanent verfügbare Zugriffsrechte: gemeinsam genutzte „God-Mode“-Konten, dauerhaft aktive Domänenadministratoren oder weitreichende Fernverwaltungsrechte, die „nur für alle Fälle“ vergeben werden. Genau diese Vorgehensweisen verstoßen gegen das Prinzip der minimalen Berechtigungen und vergrößern den zuvor beschriebenen gemeinsamen Angriffsradius.
Ein besser zu verteidigender Ansatz ist folgender:
- Beschränken Sie die Anzahl der Personen mit permanenten Administratorrechten, insbesondere über mehrere Mandanten hinweg.
- Nutzen Sie die Just-in-Time-Berechtigungserhöhung für Aufgaben, die tatsächlich zusätzliche Rechte erfordern, mit klarer Begründung und kurzen Zeitvorgaben.
- Erzwingen Sie eine starke Authentifizierung und zusätzliche Prüfungen (z. B. Geräteposition oder Standort) für alle privilegierten Zugriffe in Kundenumgebungen.
- „Notfallkonten“ sollten als Ausnahmen behandelt werden, mit strenger Protokollierung, nachträglicher Überprüfung und umgehender Sperrung nach der Nutzung.
Die Entwicklung dieses Modells mag anfangs ungewohnt erscheinen, da es etablierte Gewohnheiten infrage stellt. Durch die Integration in bestehende Arbeitsabläufe muss die Bereitstellung jedoch nicht beeinträchtigt werden. Beispielsweise kann die Eskalation an Änderungstickets oder Störungsmeldungen gekoppelt werden, sodass Kontext und Genehmigungen bereits vorhanden sind. Die Entwickler erhalten weiterhin alle notwendigen Berechtigungen für ihre Arbeit, während das Unternehmen das unnötige Risiko ungenutzter Zugangsdaten vermeidet.
ISMS.online unterstützt diese Designarbeit, indem es Ihren Rollenkatalog, Ihre Zugriffsrichtlinien und Änderungsdatensätze in einer zentralen Ansicht verknüpft. Bei einer späteren Zugriffsprüfung für einen Kunden oder ein Tool sehen Sie nicht nur, wer über weitreichende Zugriffsrechte verfügt, sondern auch, ob diese Zugriffsrechte einer definierten Rolle, einem dokumentierten Geschäftsbedarf und einem vereinbarten Zugriffsschema entsprechen.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Aufbau eines A.5.18-konformen Frameworks zur Zugriffsrezertifizierung für Managed Service Provider (MSPs)
Die Zugriffsrezertifizierung dient dem Nachweis, dass Zugriffsrechte dem Prinzip der minimalen Berechtigung entsprechen und nicht wieder auf ein „ausreichendes“ Niveau zurückfallen. Für Managed Service Provider (MSPs) ist sie zudem der Beweis gegenüber Auditoren und Kunden, dass die Ausweitung von Berechtigungen in internen Systemen, gemeinsam genutzten Tools und Kundenumgebungen aktiv kontrolliert wird und nicht erst nach Vorfällen angegangen wird.
Verwendung risikobasierter Überprüfungsfrequenzen anstelle willkürlicher Termine
Ein risikobasierter Zeitplan für Zugriffsüberprüfungen ist glaubwürdiger als ein einziger Überprüfungszyklus für alle Konten und passt besser zu den Gegebenheiten von Managed Service Providern (MSPs). Indem Sie Konten nach Risiko gruppieren und jeder Gruppe einen sinnvollen Überprüfungsrhythmus zuweisen, zeigen Sie, dass Sie Ihre Aufmerksamkeit auf Identitäten richten, die im Falle eines Missbrauchs den größten Schaden anrichten können.
Zwei Drittel der Organisationen, die an unserer ISMS.online-Umfrage zum Stand der Informationssicherheit 2025 teilnahmen, gaben an, dass die Geschwindigkeit und das Ausmaß der regulatorischen Änderungen die Einhaltung von Sicherheits- und Datenschutzbestimmungen immer schwieriger machen.
ISO 27001 schreibt nicht genau vor, wie oft Zugriffsrechte überprüft werden müssen, da die angemessene Häufigkeit vom Risiko abhängt. Anhang A.5.18 und die zugehörigen Implementierungshinweise fordern lediglich, dass Zugriffsrechte regelmäßig im Rahmen Ihres risikobasierten ISMS überprüft werden. Sie können die Intervalle entsprechend Ihrem Kontext und Ihren Verpflichtungen wählen, wie in den Leitlinien zu ISO 27001:2022 erläutert.
Ein praktikables MSP-Modell besteht darin, Überprüfungsintervalle nach Konto oder Zugriffstyp anstatt nur nach System zu definieren und die konkreten Zeitvorgaben als beispielhafte Muster zu betrachten, die Sie an Ihre Risikobereitschaft anpassen, anstatt als starre Best Practice. Ein einfacher Ausgangspunkt wäre beispielsweise, Konten nach Typ zu gruppieren und festzulegen, wie oft jede Gruppe überprüft werden soll und worauf sich der Prüfer konzentrieren soll.
| Konto-/Zugriffstyp | Typischer Überprüfungsrhythmus | Worauf Sie sich konzentrieren sollten |
|---|---|---|
| Privilegierte Administratorkonten (intern und Kundenkonten) | Monatlich und nach größeren Änderungen | Notwendigkeit, Anwendungsbereich, Notfallnutzung, Funktionstrennung |
| Dienstkonten (Skripte, Integrationen, Automatisierung) | Vierteljährlich und nach Konfigurationsänderungen | Eigentumsverhältnisse, Zweck, Protokollierung, Anmeldeinformationen, verwaiste Konten |
| Support-Tools und Fernzugriffsplattformen | Vierteljährliches | Gruppenzugehörigkeit, geteilte Rollen, mieterübergreifende Rechte |
| Standardmäßige interne Benutzerkonten | Sechs bis zwölf Monate | Rollenzuordnung, Ausscheidende, Versetzende |
| Vorübergehender oder privilegierter Zugang (auch bei Glasbruch) | Nach jeder Nutzung und monatlichen Überprüfung | Begründung, Dauer, rechtzeitiger Widerruf, ungewöhnliche Aktivität |
Diese Tabelle ist nicht verbindlich, bietet Ihnen aber einen transparenten Ausgangspunkt. Sie können die Prüfintervalle an Ihr eigenes Bedrohungsmodell, Kundenverpflichtungen und regulatorische Rahmenbedingungen anpassen, solange Sie nachvollziehbar begründen können, warum Identitäten mit höherem Risiko häufiger geprüft werden als solche mit niedrigerem Risiko. Managed Service Provider (MSPs), die eine strukturierte, risikobasierte Rezertifizierung anwenden, stellen oft fest, dass Audits vorhersehbarer und weniger konfrontativ werden, da die Prüfer eine klare Begründung für Ihren Zeitplan anstelle willkürlicher Termine erkennen.
Entwicklung von Rezertifizierungsprozessen, die tatsächlich befolgt werden
Eine Rezertifizierung ist dann erfolgreich, wenn die Prüfer die richtigen Informationen erhalten, klare Entscheidungen treffen können und darauf vertrauen, dass Änderungen zeitnah umgesetzt werden. Wenn Sie nachweisen können, wer was geprüft hat, wie die Entscheidungen ausfielen und wie schnell die Änderungen umgesetzt wurden, ist Ihr Bericht gemäß A.5.18 deutlich überzeugender als die bloße Aussage „Wir führen Prüfungen durch“.
Ein Zeitplan ist nur die halbe Miete; Sie benötigen außerdem einen wiederholbaren Arbeitsablauf für jeden Überprüfungszyklus. Wichtige Gestaltungsentscheidungen umfassen:
- Wer bewertet was? – In Kundenumgebungen ist eine Kombination aus Ihren Serviceverantwortlichen und dem Risiko- oder Systemverantwortlichen des Kunden oft sinnvoll. Bei gemeinsam genutzten Tools sind in der Regel Ihre internen Systemverantwortlichen zuständig.
- Was sie sehen: – Den Prüfern sollte genügend Kontext zur Verfügung stehen, um Entscheidungen treffen zu können: die Person oder das Servicekonto, deren Rolle, die Systeme und Mandanten, auf die sie Zugriff haben, wann sie diesen Zugriff zuletzt genutzt haben und alle damit verbundenen Tickets oder Projekte.
- Welche Entscheidungen sie treffen können: – Mindestens: Beibehalten des Ist-Zustands, Herabstufen der Rechte (z. B. von Administrator zu Benutzer) oder Entfernen. Im Falle von Ausnahmen sollte dokumentiert werden, warum der Zugriff trotz bestehender Zweifel vorübergehend beibehalten wird.
- Wie Änderungen umgesetzt werden: – Genehmigte Herabstufungen und Entfernungen müssen innerhalb eines vereinbarten Zeitraums tatsächlich in den zugrunde liegenden Systemen implementiert werden, und diese Implementierung sollte in Ihren Nachweisen sichtbar sein.
ISMS.online unterstützt Sie bei der Organisation dieser Prozesse, indem es die Rezertifizierung in eine planbare Aktivität mit zugewiesenen Verantwortlichen, Fälligkeitsterminen und einer zentralen Plattform zum Hochladen oder Verlinken von Nachweisen für Entscheidungen und daraus resultierende Änderungen umwandelt. Anstatt E-Mails und Tool-Protokolle zu durchsuchen, verfügen Sie über einen revisionssicheren Nachweis darüber, wer welchen Zugriff wann geprüft und welche Entscheidung getroffen hat.
Definition von Rollen und Verantwortlichkeiten zwischen MSP und Kunde
Klare Rollen und Verantwortlichkeiten sind die Grundlage dafür, dass Ihr Zugriffsmanagementkonzept in der täglichen Praxis Anwendung findet. Für einen Managed Service Provider (MSP) bedeutet dies, mit jedem Kunden zu vereinbaren, wer die zulässigen Zugriffsrechte definiert, wer Änderungen genehmigt, wer Überprüfungen durchführt und wer bei Personen- oder Vertragsänderungen tatsächlich Rechte entzieht.
Erstellung einer einfachen, expliziten RACI-Matrix für Zugriffsrechte
Eine einfache RACI-Matrix (Verantwortlich, Rechenschaftspflichtig, Beratend, Informiert) für Zugriffsrechte schafft eine gemeinsame Übersicht darüber, wer Entscheidungen trifft und wer sie umsetzt. Wenn Sie bei Audits oder Vorfällen auf diese Matrix verweisen können, reduzieren Sie Missverständnisse und zeigen, dass A.5.18 fest in Ihrem Betriebsmodell verankert ist und nicht auf informellen Vereinbarungen beruht.
Eine praktische Möglichkeit, die Aufteilung darzustellen, ist eine RACI-Matrix, die die Hauptaktivitäten im Zugriffslebenszyklus abdeckt. Zum Beispiel:
- Festlegung, wer auf welche Kundensysteme zugreifen darf: – Der Kunde ist verantwortlich und der Managed Service Provider wird konsultiert.
- Genehmigung des erstmaligen MSP-Zugriffs auf eine neue Kundenumgebung: Der Kunde ist verantwortlich; der Managed Service Provider (MSP) ist für die Implementierung zuständig.
- Gewährung und Änderung des internen MSP-Zugriffs auf gemeinsam genutzte Tools: – Der Managed Service Provider (MSP) ist rechenschaftspflichtig und verantwortlich; Kunden können informiert werden.
- Regelmäßige Rezertifizierung des MSP-Zugriffs auf einen bestimmten Kunden: – Managed Service Provider (MSP) und Kunde teilen sich die Verantwortung, wobei klar vereinbart ist, wer was überprüft.
- Entzug des Zugangs bei Ausscheiden von Mitarbeitern oder Vertragsende: Der Managed Service Provider (MSP) ist für sein Personal und seine Tools verantwortlich; der Kunde ist für seine internen Benutzer verantwortlich.
Die schriftliche Dokumentation in Verträgen, Leistungsbeschreibungen und Verfahrensanweisungen bietet zwei Vorteile. Erstens erhalten Prüfer dadurch einen klaren Überblick darüber, wie Sie die Anforderungen von A.5.18 organisationsübergreifend erfüllen. Zweitens werden Reibungsverluste bei schwierigen Entscheidungen reduziert, beispielsweise beim Entzug des Zugriffs für langjährige Mitarbeiter oder bei der Einschränkung des Umfangs gemeinsam genutzter Administrationstools.
Umgang mit Grauzonen und Hochdrucksituationen
In Grauzonen, wie etwa bei Subunternehmern, Offshore-Teams und Notfallreparaturen, weichen Zugriffsrechte häufig von den Richtlinien ab. Daher sollten Sie diese Fälle als geplante Sonderfälle und nicht als Ausnahmen behandeln. Wenn Sie im Voraus festlegen, wer ungewöhnliche Zugriffsrechte genehmigen darf, wie lange diese gelten und wie die anschließende Überprüfung erfolgt, können Sie Vorfälle souveräner und mit weniger Improvisation bewältigen.
Stellen Sie sich einen Subunternehmer vor, der zur Stabilisierung einer risikoreichen Kundenumgebung hinzugezogen wird. Ohne klare Regeln könnte er weitreichende und dauerhafte Administratorrechte für mehrere Mandanten erhalten. Mit einem vereinbarten Modell erhält er hingegen eine spezifische Rolle für einen Mandanten, zeitlich befristete, projektbezogene Rechte und die Zusage, dass diese Rechte nach Abschluss der Arbeiten überprüft und gegebenenfalls entfernt werden.
Offshore-Netzwerkbetriebszentren sind ein weiteres Beispiel. Teams nutzen möglicherweise gemeinsam genutzte Tools, die viele Kunden erreichen, und der Zeitzonendruck kann dazu verleiten, Zugriffsrechte weitreichend und dauerhaft zu vergeben. Wenn Sie im Voraus festlegen, welche Offshore-Rollen es gibt, welche Tools verwendet werden dürfen, wie temporäre Zugriffsrechte vergeben werden und wer diese Zugriffsrechte überprüft, können Sie die Servicegeschwindigkeit aufrechterhalten und gleichzeitig verhindern, dass sich die Auswirkungen unkontrolliert ausbreiten.
In datenschutzsensiblen Umgebungen ist darauf zu achten, dass die Verwaltung der Zugriffsrechte den Datenschutzbestimmungen und den Grundsätzen des datenschutzfreundlichen Designs entspricht. Dies kann die Einbindung von Datenschutzbeauftragten oder Rechtsabteilungen in Teile des Genehmigungs- und Rezertifizierungsprozesses erfordern, insbesondere wenn es um personenbezogene Daten geht.
Wenn Sie später die Einhaltung der Vorschriften nachweisen müssen, ist es oft genauso wichtig wie die technischen Kontrollen selbst, zeigen zu können, dass Sie diese schwierigen Bereiche durchdacht, dokumentiert und vertraglich aufeinander abgestimmt haben.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Kadenz, Kennzahlen und Evidenz: Der Nachweis des Prinzips der geringsten Privilegierung in der Praxis
Sobald Ihre Rollen, Verantwortlichkeiten und Rezertifizierungszyklen festgelegt sind, müssen Sie deren Wirksamkeit nachweisen. Regelmäßige Abläufe, Kennzahlen und Nachweise machen aus einer internen Forderung etwas, das für Aufsichtsräte, Kunden und Wirtschaftsprüfer nachvollziehbar und vertrauenswürdig ist.
Auswahl aussagekräftiger Indikatoren für Vorstände und Kunden
Aussagekräftige Kennzahlen zur Zugriffsverwaltung helfen Vorständen und Kunden, den Umfang ihrer Zugriffsbeschränkungen zu erkennen, ohne sie mit technischen Details zu überfordern. Die besten Indikatoren zeigen Abdeckung, Aktualität und Wirkung: Wie viele Systeme sind betroffen, wie häufig finden Überprüfungen planmäßig statt und wie viele Rechte werden eingeschränkt oder entzogen, weil Zugriffe aktiv hinterfragt werden?
Anwendungen:
- Prozentsatz der Systeme im Geltungsbereich mit einem aktuellen Zugriffsverzeichnis.
- Prozentsatz der planmäßig abgeschlossenen Zugriffsüberprüfungen nach Risikostufe.
- Anzahl und Anteil der im Laufe jedes Überprüfungszyklus herabgestuften oder gelöschten Konten.
- Zeitaufwand für die Entziehung der Zugriffsrechte nach Benachrichtigung von ausscheidenden Mitarbeitern oder Rollenwechseln.
- Anzahl der Ausnahmen, bei denen ein riskanter Zugriff mit dokumentierter und zeitlich befristeter Begründung beibehalten wird.
Diese können durch qualitative Indikatoren ergänzt werden, beispielsweise durch Rückmeldungen von Gutachtern zur Verständlichkeit des Prozesses oder von Kunden zur Transparenz der Berichterstattung. Zusammen ergeben diese Maßnahmen ein Bild, das über die bloße Feststellung „Wir haben eine Richtlinie“ hinausgeht und konkrete Fortschritte hin zu einer strengeren Kontrolle und geringeren Auswirkungen aufzeigt.
Unauffällige, stetige Verbesserungen bei den Zugriffsdaten erzählen oft eine aussagekräftigere Geschichte als jede einzelne Prüfung.
Standardisierung Ihres Beweismaterials für A.5.18
Ein standardisiertes Nachweispaket für A.5.18 sorgt dafür, dass Sie für Audits und Kundenanfragen bestens gerüstet sind und keine Hektik in letzter Minute erleben. Wenn Sie genau wissen, welche Richtlinien, Aufzeichnungen und Protokolle Sie vorlegen müssen und diese im Rahmen des normalen Betriebs aktuell halten, verwandeln Sie die Zugriffsverwaltung von einer reinen Compliance-Übung in eine wiederholbare Geschäftspraxis.
Prüfer und Kunden erwarten nicht, dass Sie Ihre Nachweise jedes Mal neu erfinden. Ein einfaches, standardisiertes Nachweispaket für A.5.18 könnte Folgendes enthalten:
- Aktuelle Versionen Ihrer Zugriffskontroll- und Zugriffsrechterichtlinien.
- Rollendefinitionen für wichtige MSP-Funktionen und deren Zuordnung zu Berechtigungen.
- Beispielhafte Zugriffsanfrage- und Genehmigungsprotokolle für verschiedene Systeme.
- Zeitpläne und Protokolle der letzten Zugriffsprüfungen, aus denen die Entscheidungen und die vorgenommenen Änderungen hervorgehen.
- Protokolle oder Berichte, die die rechtzeitige Entfernung der Zugangsdaten für ausgewählte ausscheidende Mitarbeiter belegen.
- Beispiele dafür, wie Notfall- oder vorübergehender Zugang gewährt, genutzt und anschließend widerrufen wurde.
Wenn Sie dieses Paket auf einer Plattform wie ISMS.online verwalten, können Sie jedes Element direkt mit der entsprechenden Anforderung gemäß A.5.18 und den zugehörigen Kontrollen verknüpfen. Wenn ein Auditor oder Kunde wissen möchte, wie Sie Zugriffsrechte verwalten, müssen Sie nicht erst mühsam Screenshots und Tickets zusammensuchen, sondern können ihm eine strukturierte und nachvollziehbare Beschreibung geben.
Regelmäßige Berichterstattung sorgt für einheitliches Verständnis. Operative Teams prüfen monatlich Dashboards, Risikokomitees oder Vorstände vierteljährlich eine zusammenfassende Übersicht, und Großkunden erhalten vertragsgemäße Auszüge. Entscheidend ist, dass Sie die Datenbasis bestimmen und diese auf den Daten und Dokumenten aufbauen, die Sie bereits für Ihr Geschäft nutzen.
Buchen Sie noch heute eine Demo mit ISMS.online
ISMS.online bietet Ihnen eine zentrale Plattform zur Gestaltung, zum Betrieb und zur Dokumentation der Zugriffsverwaltung für Managed Service Provider (MSP) gemäß A.5.18. So können Sie den Zugriffsradius begrenzen und das Prinzip der minimalen Berechtigungen nachweisen, ohne Ihre Techniker mit zusätzlichem Verwaltungsaufwand zu überfordern. Die Plattform dient der Zentralisierung von Richtlinien, Workflows und Nachweisen für ISO 27001 und verwandte Rahmenwerke, wie in unserer Produktdokumentation und den Implementierungsleitfäden für Kunden auf isms.online beschrieben. Um die Robustheit Ihrer aktuellen Zugriffsstruktur zu testen, bietet eine kurze Demo eine praktische Möglichkeit, Ihre bestehenden Kontrollen mit den hier beschriebenen Modellen für Lebenszyklus, Rezertifizierung und Verantwortlichkeiten zu vergleichen.
Eine fokussierte Demo auf ISMS.online zeigt Ihnen, wie Ihre bestehenden Zugriffsrichtlinien, Rollenmodelle und MSP-Tools in strukturierte Workflows, Aufgaben und Nachweispakete umgewandelt werden können. Sie sehen, wie Zugriffsanfragen und Rezertifizierungszyklen zentral verwaltet werden können, ohne Ihre bestehenden Ticket- und Betriebsprozesse zu beeinträchtigen.
Was Sie in einer Demo sehen werden
Eine fokussierte Demo ist am effektivsten, wenn sie eine realistische Zugriffsgeschichte veranschaulicht und nicht nur abstrakte Funktionen vorstellt. Sie sollten erwarten können, zu sehen, wie Ihre Rollen, Tools und Kundenumgebungen in ein praktisches, A.5.18-konformes Zugriffsverwaltungsmodell integriert werden können.
Während einer Vorführung können Sie Folgendes erwarten:
- Lernen Sie ein Beispiel für ein Zugriffsrechte-Framework kennen, das direkt auf A.5.18 abgebildet ist und auf Ihre Rollen, Tools und Kundenumgebungen zugeschnitten ist.
- Erfahren Sie, wie sich Änderungen im Mitarbeiterlebenszyklus, Zugriffsanfragen und Rezertifizierungszyklen mit Tickets und Aktivitäten verknüpfen lassen, die Ihre Teams bereits verwalten.
- Entdecken Sie Dashboards und Evidenzansichten, die auf einen Blick zeigen, welche Zugriffsüberprüfungen anstehen, wo Ausnahmen bestehen und wie schnell Änderungen umgesetzt werden.
- Erörtern Sie einen risikoarmen Einstiegspunkt, wie beispielsweise die Durchführung von Pilotprojekten mit strukturierten Zugriffsüberprüfungen für ein einzelnes risikoreiches Tool oder eine Auswahl wichtiger Kunden.
Am Ende dieser Sitzung sollten Sie ein konkretes Bild davon haben, wie Ihre bestehenden Praktiken in ein überlegteres, überprüfbares Modell organisiert werden könnten, ohne einen kompletten Neuaufbau Ihres MSP zu erzwingen.
Wie eine Demo Ihnen hilft, Lücken in A.5.18 zu schließen
Eine Demo ist mehr als nur eine Produktvorführung; sie bietet Ihnen die Möglichkeit, Ihre aktuelle Zugriffsstruktur mit den Anforderungen von A.5.18 und den zugehörigen Kontrollen abzugleichen. Indem Sie sehen, wie Richtlinien, Rollen, Verantwortlichkeiten und Nachweise in ISMS.online zusammenwirken, erkennen Sie Ihre größten Schwachstellen und können feststellen, welche Änderungen das größte Risiko und den größten Aufwand reduzieren würden.
Trotz des steigenden Drucks nannten die meisten Befragten in unserer ISMS.online-Umfrage zum Stand der Informationssicherheit 2025 das Erreichen oder Aufrechterhalten von Zertifizierungen wie ISO 27001 oder SOC 2 als eine ihrer obersten Prioritäten.
Sie müssen Ihren Managed Service Provider (MSP) nicht von Grund auf neu gestalten, um die Anforderungen von A.5.18 zu erfüllen. Sie benötigen ein klares Modell, realistische Rezertifizierungsintervalle und eine zentrale Plattform, auf der Verantwortlichkeiten, Arbeitsabläufe und Nachweise zentral verwaltet werden. ISMS.online bietet Ihnen genau das, damit Sie die Auswirkungen von Sicherheitslücken minimieren, die Ausweitung von Berechtigungen eindämmen und das Prinzip der minimalen Berechtigungen zuverlässig nachweisen können. Wenn Sie als MSP mit geringen Sicherheitslücken agieren und jederzeit kontrollierten Zugriff nachweisen können, ist die Buchung einer kurzen Demo der nächste sinnvolle Schritt für Ihr Unternehmen und ein klares Signal an Ihre Kunden, dass Sie ihr Vertrauen ernst nehmen.
KontaktHäufig gestellte Fragen (FAQ)
Wie verändert ISO 27001 A.5.18 die Art und Weise, wie Managed Service Provider (MSPs) über die Frage nachdenken sollten, „wer Zugriff auf was hat“?
ISO 27001 A.5.18 erwartet von Ihnen, dass Sie den Zugriff als einen geregelter Lebenszyklus für jede Identität, nicht eine einmalige Berechtigungseinstellung, die man vergisst.
Zugriffsansicht über alle drei MSP-Ebenen hinweg
Für einen Managed Service Provider muss dieser Lebenszyklus drei Ebenen gleichzeitig umfassen:
- Ihr interne Geschäftssysteme – Personalwesen, Kundenbeziehungsmanagement, Finanzen, Ticketing, Dokumentation.
- Ihr gemeinsam genutzte MSP-Plattformen – RMM, Fernzugriff, Passwort-Tresore, Datensicherung, Überwachung.
- Ihr Kundenumgebungen – Cloud-Mandanten, On-Premise-Infrastruktur, SaaS-Administratorrollen.
Für jedes Personen- oder Dienstleistungskonto erwartet der Prüfer nun folgende Nachweise:
- Wie der Zugriff beantragt und genehmigt wurde: – wer die Anfrage gestellt hat, wer die Genehmigung erteilt hat und warum dieses Niveau gerechtfertigt war.
- Wie Änderungen vorgenommen werden: wenn Personen ihre Rolle, ihr Team oder ihren Kunden wechseln.
- Wie häufig der Zugriff überprüft wird: , mit unterschiedlichen Frequenzen für unterschiedliche Risikostufen.
- Wie und wann der Zugriff entfernt wird: wenn Mitarbeiter ausscheiden, Verträge auslaufen oder Werkzeuge ausgemustert werden.
Ein schneller Gesundheitscheck besteht darin, einen beliebigen Techniker oder Serviceaccount auszuwählen und, ohne die Postfächer zu durchsuchen, den gesamten Ablauf zu erläutern: ursprüngliche Anfrage, Genehmigung, aktueller Umfang, letzte Überprüfung und der Auslöser, der den Zugriff entzieht. Wenn dies nicht zuverlässig möglich ist, bestehen Lücken in A.5.18.
Ein einfaches Swimlane-Diagramm mit vier Phasen (Bereitstellung → Änderung → Überprüfung → Entfernung) und Zeilen für interne Systeme, gemeinsam genutzte MSP-Tools und Kunden-Tenants zeigt schnell, wo der eigentliche Prozess noch immer durch Nachfragen abläuft. Genau diese Schwachstellen werden ISO-27001-Auditoren und Unternehmenskunden genauer unter die Lupe nehmen.
ISMS.online unterstützt Sie dabei, diesen Lebenszyklus transparent und wiederholbar zu gestalten, indem es Ihre Zugriffsrichtlinien, Rollenkataloge, Workflows und Nachweise in einem zentralen Arbeitsbereich verwaltet. Ihre IAM-, RMM- und Remote-Access-Tools übernehmen weiterhin die technische Hauptarbeit; ISMS.online liefert Ihnen die nachvollziehbare Dokumentation darüber, wer auf welche Ressourcen, auf welcher Grundlage und für welchen Zeitraum Zugriff hat – genau das, was A.5.18 letztendlich gewährleisten soll.
Wie sieht ein praktisches Least-Privilege-Modell für einen Managed Service Provider (MSP) über interne und Kundensysteme hinweg aus?
Ein praktisches Modell der minimalen Privilegien für ein MSP-Zentrum basiert auf einem kleine, stabile Rollengruppe, sehr wenige ständige Administratoren und kurzlebige Beförderungen, wenn jemand tatsächlich mehr Macht benötigt.
Rollen definieren, die der tatsächlichen Arbeitsweise Ihrer Teams entsprechen
Die Verwaltung von Berechtigungen für jede Person einzeln stößt mit zunehmender Größe des Unternehmens an ihre Grenzen. Sie erhalten mehr Kontrolle und weniger Verwaltungsaufwand, wenn Sie:
- Definieren Sie ein klares Rollenkatalog, Zum Beispiel:
- Unterstützung der ersten Ebene
- Zweitlinien- oder Spezialingenieur
- Projektingenieur
- Plattform-/Tool-Administrator
- Service- oder Account-Manager
- Ordnen Sie jede Rolle folgenden Rollen zu:
- Die interne Systeme Es benötigt (Ticketing, Wissen, begrenzte Finanzansichten, CRM).
- Die MSP-Tools Es sollte (RMM, Fernzugriff, Passwort-Tresore, Backup-Konsolen) verwenden.
- Die Kundenumgebungen Es kann Zugriff haben, und auf welcher Ebene (schreibgeschützt, Standardbenutzer, eingeschränkter Administrator, mandantenweiter Administrator).
Dann entscheiden Sie Rolle für Rolle:
- COHO Expo bei der permanente Administratorrechte sind wirklich gerechtfertigt – in der Regel eine kleine Gruppe von Plattform- oder Sicherheitsingenieuren.
- Wo der Administrator sein sollte Just-in-Time – temporäre Erhöhung für eine bestimmte Änderung, mit Protokollierung und klaren Genehmigungen.
- Wo der Administrator hingehen sollte wird nie benötigtweil Aufgaben über Automatisierung, Tickets oder klar definierte Rollen abgewickelt werden können.
In der Praxis bedeutet das in der Regel, gemeinsam genutzte „God“-Konten durch benannte Administratoren zu ersetzen, die mandantenübergreifenden Rechte einzuschränken und Notfallkonten als seltene, streng geregelte Ausnahmen und nicht als alltägliche Werkzeuge zu behandeln.
Mit ISMS.online können Sie dieses Rollenmodell einmalig definieren, es mit Ihren Zugriffsrichtlinien verknüpfen und es mit Eintritts-, Versetzungs- und Austrittsereignissen sowie Zugriffsanfragen abgleichen. Wenn jemand dem Unternehmen beitritt, in ein anderes Team wechselt oder einen neuen Kunden betreut, wenden Sie jedes Mal dasselbe Prinzip der minimalen Berechtigungen an, anstatt unter Zeitdruck improvisieren zu müssen. So haben Sie eine klare, nachvollziehbare Erklärung parat, wenn ein ISO-27001-Auditor fragt, warum eine bestimmte Person über eine bestimmte Zugriffsebene verfügt.
Wie sollte ein Managed Service Provider (MSP) Zugriffsüberprüfungen und Rezertifizierungen strukturieren, um die Ausweitung von Berechtigungen unter Kontrolle zu halten?
Sie halten die Ausweitung von Berechtigungen unter Kontrolle, indem Sie überprüfen Zugang für Hochrisikogruppen häufiger als für NiedrigrisikogruppenDadurch erhalten die Prüfer genügend Kontext, um Entscheidungen treffen zu können, und es wird nachgewiesen, dass Herabstufungen und Entfernungen tatsächlich in den Tools stattgefunden haben.
Verwendung eines risikobasierten Rhythmus anstelle einer pauschalen jährlichen Überprüfung
Alle Konten gleich zu behandeln mag zwar ordentlich erscheinen, entspricht aber nicht der Denkweise von Angreifern oder Aufsichtsbehörden. Ein besser zu verteidigendes Vorgehen besteht darin, die Überprüfungshäufigkeit nach Zugriffskategorie festzulegen, zum Beispiel:
| Zugangsart | Typischer Überprüfungsrhythmus | Fokus der Rezensenten |
|---|---|---|
| MSP-weite Administration in Kundenumgebungen | Monatlich + nach größeren Änderungen | Notwendigkeit, Anwendungsbereich, Notfallnutzung, SoD |
| Dienstkonten (Skripte, Integrationen, Backups) | Vierteljährlich + nach Konfiguration | Eigentum, Zweck, Protokollierung, verwaiste Nutzung |
| RMM, VPN und andere Fernzugriffstools | Vierteljährliches | Gruppenzugehörigkeit, mandantenübergreifende Reichweite |
| Standardmäßige interne Benutzerkonten | Alle 6–12 Monate | Rollenpassung, Versetzungen/Austritte |
| Temporärer / Notfall-Privilegierter Zugang | Nach jeder Nutzung + monatliche Zusammenfassung | Rechtfertigung, Widerruf, ungewöhnliche Verwendung |
Neben der Kadenz sollten die Rezensionen einfach und einheitlich sein:
- Weisen Sie eindeutige Eigentümer zu: – typischerweise Serviceanbieter für gemeinsam genutzte Plattformen und Miteigentümer mit dem Kunden für ihre Mieter.
- Bereitstellung eines Kontext, nicht nur Benutzernamen: wem das Konto gehört, was es kann, wann es zuletzt benutzt wurde, warum es existiert.
- Für jede Identität eine Entscheidung protokollieren (beibehalten, herabstufen, entfernen) und verfolgen, ob Änderungen umgesetzt werden in Ihren Verzeichnissen und Tools, nicht einfach nur in einer Tabellenkalkulation angeklickt.
- Hochrisikozugänge sollten nur in Ausnahmefällen gewährt werden. Es sollte auf einer kurzfristigen Begründung und einem konkreten Plan zur erneuten Überprüfung bestanden werden.
Mit ISMS.online können Sie diese Überprüfungen planen, Prüfer zuweisen und Exporte oder Berichte aus IAM-, RMM-, VPN- und Fernzugriffstools anhängen, sodass Entscheidungen und Nachverfolgung zentral verwaltet werden. Dadurch wird die Aussage „Wir überprüfen den Zugriff regelmäßig“ in einer Richtlinie von einer bloßen Wunschvorstellung zu einer sichtbaren, wiederholbaren Kontrollmaßnahme, die Sie in Ruhe mit einem ISO-27001-Auditor oder einem anspruchsvollen Sicherheitsteam des Kunden durchgehen können.
Wie kann ein Managed Service Provider (MSP) die Verantwortlichkeiten für die Zugriffsrechte klar zwischen den einzelnen Kunden aufteilen?
Sie vermeiden Lücken und Schuldzuweisungen, wenn Sie sich auf Folgendes einigen: schriftliche, in einfacher Sprache verfasste Aufteilung der Verantwortlichkeiten mit jedem Kunden und betten Sie es in Verträge, Leistungsbeschreibungen und Betriebshandbücher ein.
Umwandlung der „gemeinsamen Verantwortung“ in eine überprüfbare Vereinbarung
Ein einfaches und effektives Muster ist ein RACI-Modell, das genau festlegt, wer für was verantwortlich ist:
- Die Der Kunde ist verantwortlich. für:
- Die Festlegung, wer auf welche Systeme, Mieter und Daten zugreifen darf.
- Genehmigung Ihres erstmaligen und fortlaufenden Zugriffs auf deren Umgebungen.
- Die Teilnahme an oder die ausdrückliche Genehmigung von regelmäßigen Zugangsüberprüfungen für ihren Mieter.
- Die MSP ist verantwortlich für:
- Die Umsetzung und Durchsetzung dieser Entscheidungen in Ihren Tools und bei Ihren Mitarbeitern.
- Tägliche Kontrollfunktionen – Protokollierung, Überwachung, Passwort- und Schlüsselverwaltung, Automatisierungsregeln.
- Die Zugriffsrechte sollten dem Prinzip der minimalen Berechtigungen entsprechen und umgehend entzogen werden, wenn Personen das Unternehmen verlassen oder sich die Zuständigkeiten ändern.
- Bereitstellung regelmäßiger und eindeutiger Nachweise über Zugriffsanfragen, Genehmigungen, Überprüfungen und Löschungen.
Gemeinsam vereinbaren Sie, wie dies in folgenden Fällen funktioniert:
- Ein neuer Kunde wird an Bord geholt und der Erstzugriff auf seinen Mieter wird genehmigt.
- Ein neuer Dienst, eine neue Region oder ein neues Projekt erfordert einen tieferen oder breiteren Zugang.
- Es werden Subunternehmer oder Offshore-Teams hinzugezogen, die genau definierte Rechte benötigen.
- Sie benötigen während eines Vorfalls einen Notfallzugang und müssen diesen anschließend sicher wiederherstellen können.
Wenn Sie dies in einer einfachen RACI-Matrix festhalten und in Vereinbarungen und Arbeitsabläufe einbinden, erhalten Sie eine wiederholbare A.5.18-Struktur. Wenn Sie eine zu weit gefasste Anfrage ablehnen oder einen nicht mehr gerechtfertigten Zugriff entziehen müssen, können Sie auf das vereinbarte Modell verweisen, anstatt jeden Fall einzeln zu verhandeln.
Mit ISMS.online können Sie die RACI-Matrix, Ihre Zugriffsrichtlinien und Kundendatensätze verknüpfen, sodass Sie die unvermeidliche Frage „Wer entscheidet was für diesen Mandanten, und wie weisen Sie das nach?“ mit einer einzigen, übersichtlichen Ansicht beantworten können, anstatt in Verträgen und alten Besprechungsnotizen suchen zu müssen.
Welche Kennzahlen und Nachweise überzeugen Prüfer und Kunden tatsächlich davon, dass das Prinzip der minimalen Berechtigung tatsächlich existiert?
Prüfer und Kunden lassen sich überzeugen, wenn man kombiniert ein kleiner, stabiler Satz von Kennzahlen mit elektrostatisch ableitenden konkrete Artefakte Untermauern Sie Ihre Aussagen mit Fakten, nicht durch das Hinzufügen weiteren Policentextes.
Erstellung einer kurzen, glaubwürdigen Scorecard für Zugangs- und Governance-Management
Für einen Managed-Service-Provider könnte eine sinnvolle Scorecard Folgendes erfassen:
- Reichweite: – Prozentsatz der Systeme und Mandanten im Geltungsbereich, die über ein aktuelles, benanntes Zugriffsverzeichnis verfügen.
- Aktualität: – Anteil der planmäßig abgeschlossenen Zugriffsüberprüfungen pro Risikostufe.
- Auswirkungen: – Anzahl und Prozentsatz der in jedem Überprüfungszyklus herabgestuften oder gelöschten Konten.
- Empfänglichkeit: – Medianzeit für die Entfernung des Zugangs nach dem Ausscheiden eines Mitarbeiters, einem Rollenwechsel oder dem Vertragsende.
- Ausnahmen: – Anzahl der risikoreichen Rechte, die mit dokumentierter Begründung beibehalten wurden, und Datum der nächsten Überprüfung.
Diese Zahlen kommen am besten zur Geltung, wenn sie zusammen mit einem Standard-Beweismaterial präsentiert werden, zum Beispiel:
- Ihre aktuellen Zugriffskontrollrichtlinien sind ISO 27001 A.5.15–A.5.18 zugeordnet.
- Rollendefinitionen für zentrale MSP- und kundenorientierte Funktionen.
- Beispiele für Zugriffsanfragen und Genehmigungen, einschließlich der Fälle, in denen der Kunde seine Zustimmung erteilt hat.
- Aktuelle Prüfberichte und Änderungsprotokolle für repräsentative Tools und Kundenmandanten.
- Eine Handvoll Beispiele, die zeigen, wie Abläufe für ausscheidende Mitarbeiter und Notfallzugriffe gewährt, protokolliert und widerrufen werden.
Mit ISMS.online können Sie jede Kennzahl und jedes Beispiel mit der zugehörigen Klausel oder Kontrollmaßnahme verknüpfen, Verantwortliche zuweisen und alles im laufenden Betrieb aktuell halten. Wenn ein ISO-27001-Auditor oder ein wichtiger Kunde fragt: „Woran erkennen Sie, dass Ihr Prinzip der minimalen Rechtevergabe funktioniert?“, können Sie innerhalb von Minuten ein konsistentes Paket zusammenstellen und nachweisen, dass Sie … zeigen Kontrolle ausüben, anstatt darauf zu hoffen, dass eine Präsentation oder eine mündliche Erklärung ausreicht.
Wie kann ISMS.online einem Managed Service Provider (MSP) bei der Implementierung von A.5.18 helfen, ohne die Techniker auszubremsen?
ISMS.online bietet Ihnen eine Governance- und Evidenzebene für A.5.18, damit Sie die Zugriffskontrolle entwerfen, zuweisen und nachweisen können, während Ihre Ingenieure weiterhin die ihnen bereits bekannten technischen Plattformen nutzen.
Die heutigen Ad-hoc-Entscheidungen in ein geregeltes Zugangssystem umwandeln
Im täglichen Arbeitsalltag kann Ihr Team ISMS.online für Folgendes nutzen:
- Erfassen Sie A.5.18-konforme Zugriffsrichtlinie, ein realistischer Rollenkatalog und eine MSP/Kunden-RACI an einem Ort, damit jeder sehen kann, wer welche Zugriffsrechte genehmigen und besitzen kann.
- Link Arbeitsabläufe für Beitritt, Versetzung und Austritt und Zugriffsanfragen an Personalabteilungen oder Ticketsysteme, sodass Änderungen bei Personen und Verantwortlichkeiten zuverlässig Änderungen beim Zugriff nach sich ziehen.
- Programm risikobasierte Zugangsüberprüfungen Bei Konten, Tools und Mandanten mit hohem Risiko sollten Prüfer benannt und Exporte oder Screenshots von IAM, RMM, VPN, Passwort-Tresoren und anderen Plattformen als Nachweis der geprüften und angepassten Einstellungen beigefügt werden.
- Bewahren Sie ein Leben Beweismittelpaket für A.5.18 und zugehörige Zugriffskontrollen, die für ISO 27001-Audits und Kundenprüfungsanfragen bereit sind, anstatt sie in Panik aus Tabellenkalkulationen und E-Mail-Verläufen neu zusammenzusetzen.
Weil ISMS.online sich auf Wer entscheidet, wer genehmigt, wer prüft und wie beweist man das?Ihre Techniker nehmen weiterhin die eigentlichen Berechtigungsänderungen in Ihrer bestehenden Infrastruktur vor. Sie erhalten eine konsistente, wiederholbare Vorgehensweise für die Zugriffsverwaltung; Ihre Techniker erhalten klarere Richtlinien, weniger improvisierte Genehmigungen und deutlich weniger Anfragen in letzter Minute wie „Können Sie diesen Zugriffsbericht bis morgen erstellen?“.
Wenn Sie möchten, dass Ihr Managed Service Provider (MSP) Vorständen und Kunden nachweisen kann, dass der Zugriff kontrolliert und die Auswirkungen begrenzt sind – anstatt sich darauf zu verlassen, dass man Ihnen das einfach glaubt –, lohnt es sich, zu sehen, wie vergleichbare Anbieter ISMS.online zur Strukturierung von A.5.18 nutzen. So positionieren Sie sich als der Partner, der … erklären Kontrollierter Zugang nur bei Bedarf, nicht nur ein Versprechen zum Zeitpunkt der Prüfung.
