Zum Inhalt
ISMS.online

ISO 27001 Zugriffskontrolle und Identitätsmanagement für MSPS

Managed Service Provider (MSPs) haben Zugriff auf viele Kundensysteme, weshalb ihr Zugriffsmodell für die Geschäftsleitung von großer Bedeutung ist. ISO 27001 wandelt Zugriffs- und Identitätsrisiken in sichtbare, auditierbare Kontrollen um, die das Vertrauen der Kunden und die Zustimmung der Aufsichtsbehörden sichern. Moderne MSPs müssen nicht nur schnelle Reaktionszeiten, sondern auch einen disziplinierten und kontrollierten Zugriff nachweisen – jeden Tag, für jeden Kunden.

Autorin
Mark Sharron
Aktualisiert Dezember 1, 2025
4 / 5 Sterne

Warum der MSP-Zugang jetzt ein Risiko auf Vorstandsebene darstellt

Der Zugriff von Managed Service Providern (MSPs) stellt mittlerweile ein Risiko auf Vorstandsebene dar, da Ihre Techniker innerhalb der IT-Infrastruktur jedes Kunden arbeiten und kritische Systeme schnell verändern können. Diese Befugnis kann Dutzende von Organisationen gleichzeitig schützen, doch ohne eine sorgfältige Planung und Kontrolle kann ein einziger Sicherheitsvorfall, Fehler oder Insider-Vorfall zu Sicherheitslücken, Vertragsverlusten und behördlichen Untersuchungen bei Ihren Kunden führen.

Diese Informationen sind allgemeiner Natur und stellen keine Rechts-, Regulierungs- oder Zertifizierungsberatung dar; Sie sollten sich für Ihre spezifische Situation stets von entsprechend qualifizierten Fachleuten beraten lassen.

Strenge Zugangsentscheidungen verwandeln die Macht der Managed Service Provider (MSP) von einem stillen Risiko in eine sichtbare Sicherheit.

Das MSP-„Explosionsradius“-Problem

Das Problem bei Managed Service Providern (MSPs) besteht darin, dass die Identität eines einzelnen kompromittierten Technikers viele Kunden erreichen kann, bevor es jemand bemerkt. Tools für Fernüberwachung und -verwaltung, administrative Cloud-Rollen, VPNs und Supportportale ermöglichen Ihren Mitarbeitern umfassenden und permanenten Zugriff auf Systeme und Daten. Dies ist zwar für schnellen Support unerlässlich, bedeutet aber auch, dass eine einzige kompromittierte Identität innerhalb von Minuten schwerwiegende Änderungen auslösen kann.

Deshalb betrachten immer mehr Kunden, Versicherer und Aufsichtsbehörden Managed Service Provider (MSPs) als Teil ihrer kritischen Infrastruktur und nicht nur als IT-Lieferanten. Leitlinien nationaler Sicherheitsbehörden zum Thema Cyberrisiken bei Lieferanten heben Managed Service Provider aufgrund ihres umfassenden Zugriffs auf zahlreiche Organisationen zunehmend als kritische Punkte in der digitalen Lieferkette hervor – und nicht als gewöhnliche Anbieter. So werden MSPs beispielsweise in staatlichen Leitlinien zum Management von Cyberrisiken explizit als wichtige Abhängigkeiten in der Lieferkette definiert, die sorgfältig überwacht werden müssen.

In der ISMS.online-Umfrage „State of Information Security 2025“ nannten rund 41 % der Unternehmen die Bewältigung von Drittparteirisiken und die Überwachung der Lieferantenkonformität als eine der größten Herausforderungen im Bereich der Informationssicherheit.

Sie erwarten zunehmend, dass Sie nicht nur Ihre Reaktionsfähigkeit im Falle von Vorfällen nachweisen, sondern anhand von Aufzeichnungen belegen können, wer welche Aktionen in welchen Umgebungen für jeden verbundenen Client durchgeführt hat. Datenschutz- und Sicherheitsbehörden legen immer mehr Wert auf Verantwortlichkeit und Nachvollziehbarkeit, einschließlich der Führung von Aufzeichnungen darüber, wer wann welche Aktionen auf Systemen mit sensiblen Daten durchgeführt hat, anstatt sich allein auf die Reaktionsfähigkeit bei Vorfällen zu verlassen. Leitlinien wie die Ressourcen des britischen Information Commissioner zur Verantwortlichkeit betonen die Bedeutung strukturierter Aufzeichnungen gegenüber informellen Vorgehensweisen, um nachzuweisen, dass den Verantwortlichkeiten im täglichen Betrieb nachgekommen wurde.

ISO 27001 bietet Ihnen eine gemeinsame Sprache zur Beschreibung und Steuerung dieses Risikos. Ihr Zugriffsmodell ist somit nicht einfach nur eine „traditionelle Vorgehensweise“, sondern ein bewusst entwickeltes, dokumentiertes und getestetes System. ISO 27001 wird als standardisiertes, risikobasiertes Informationssicherheitsmanagementsystem mit Kontrollmechanismen für Organisationen jeder Art beschrieben. Daher eignet es sich hervorragend als gemeinsames Rahmenwerk für Sie, Auditoren, Aufsichtsbehörden und Kunden.

Warum die Führungsebene die Verantwortung für das Zugangsgeschoss übernehmen muss

Die Führungsebene muss die Verantwortung für Zugriffsrechte übernehmen, da Zugriffsentscheidungen heute Umsatz, Haftung und Reputation vieler Kunden gleichzeitig direkt beeinflussen. Früher lagen Entscheidungen über Gruppen in einem Verzeichnis, VPN-Profile oder Jump-Host-Zugriffe in den Händen der technischen Teams; heute entscheiden genau diese Entscheidungen darüber, ob Ihr Unternehmen Ausschreibungen gewinnt, die Due-Diligence-Prüfung besteht und schädliche Vorfälle vermeidet.

Vorstandsmitglieder und leitende Angestellte müssen nicht jede RMM-Einstellung verstehen, aber sie benötigen einen klaren Überblick über:

  • Welche Systeme und Kundenumgebungen können Ihre Mitarbeiter und Tools erreichen?
  • Wie privilegierte Zugriffsrechte gewährt, überwacht und widerrufen werden
  • Wie schnell Sie Rechte entziehen können, wenn jemand ausscheidet oder die Rolle wechselt
  • Wie all dies in einem wiederholbaren Managementsystem erfasst wird

Anhand dieser Punkte können Eigentümer, Geschäftsführer und Serviceleiter auf einfache Weise erkennen, ob der Zugriff unter Kontrolle ist oder abdriftet.

ISO 27001 wandelt die Zugriffskontrolle von einem undurchsichtigen technischen Thema in ein Set von Risiken, Kontrollen, Kennzahlen und Überprüfungen um, das von der Führungsebene überwacht werden kann. Sobald Führungskräfte die potenziellen Auswirkungen unkontrollierter Zugriffe durch Managed Service Provider (MSPs) verstehen, sind sie deutlich eher bereit, die notwendigen Änderungen zu unterstützen und in disziplinierte Identitäts- und Zugriffsmanagementpraktiken zu investieren.

Kontakt


Was ISO 27001 wirklich für Zugriff und Identität in einem Managed Service Provider (MSP) verlangt

ISO 27001 verpflichtet Sie als Managed Service Provider (MSP) zur Einrichtung eines risikobasierten Informationssicherheitsmanagementsystems (ISMS), das sowohl Ihren eigenen Zugriff als auch den Zugriff Ihrer Mitarbeiter und Tools auf Kundensysteme regelt. Um diese Anforderung zu erfüllen, müssen Sie Kontrollen auswählen, implementieren und pflegen, die einen angemessenen und nachvollziehbaren Zugriff auf Informationen und Systeme während des gesamten Lebenszyklus gewährleisten. Die Norm selbst definiert ein risikobasiertes ISMS, das alle relevanten Informationen und Prozesse abdecken muss. Für MSPs umfasst dies selbstverständlich auch die Zugriffswege Ihrer Mitarbeiter und Tools auf Kundensysteme sowie Ihre interne Infrastruktur.

Im Bericht „State of Information Security 2025“ wird darauf hingewiesen, dass Kunden zunehmend erwarten, dass Lieferanten sich an formale Rahmenwerke wie ISO 27001, ISO 27701, DSGVO, Cyber ​​Essentials, SOC 2 und neue KI-Standards anpassen.

In der Praxis lassen sich die Klauseln und die Kontrollen gemäß Anhang A in einen einfachen Zyklus übersetzen: Kontext verstehen, Risiken bewerten, Kontrollen anwenden und kontinuierlich verbessern. Zugriffs- und Identitätsentscheidungen durchdringen diesen gesamten Zyklus, von der Risikoidentifizierung bis zum täglichen Kontrollbetrieb, und dürfen daher nicht als einmalige Konfigurationsmaßnahme behandelt werden.

Auf der Ebene des Managementsystems fordert ISO 27001 Folgendes:

  • Definieren Sie den Geltungsbereich Ihres ISMS
  • Interne und externe Angelegenheiten sowie die beteiligten Parteien verstehen
  • Informationssicherheitsrisiken bewerten
  • Diese Risiken mit geeigneten Kontrollmaßnahmen behandeln.
  • Überwachen, überprüfen und kontinuierlich verbessern

Zugriffskontrolle und Identitätsmanagement finden sich sowohl in den übergeordneten Abschnitten (z. B. bei der Definition von Risikokriterien oder Kompetenzanforderungen) als auch in den Referenzkontrollen von Anhang A. Die neueste Ausgabe gliedert die Kontrollen in die Themenbereiche Organisation, Personal, physische Infrastruktur und Technologie, wobei Identität und Zugriff als Kernkompetenzen und nicht als Zusatzfunktionen betont werden. Der Kommentar zu ISO 27001:2022 hebt hervor, wie aktualisierte und neue Kontrollen in Bezug auf Identität, Authentifizierung und privilegierten Zugriff diese Themenbereiche übergreifend darstellen und unterstreichen damit, dass Identität und Zugriff zentrale Disziplinen und keine bloßen Ergänzungen sind.

Konkret bedeutet die Norm, dass Sie Folgendes tun müssen:

  • Legen Sie eine Zugriffskontrollrichtlinie fest, die Prinzipien wie das Prinzip der minimalen Berechtigungen, das Prinzip der Kenntnisnahme nur bei Bedarf und die Funktionstrennung definiert.
  • Benutzerzugriffe vom Onboarding bis zum Offboarding verwalten, einschließlich regelmäßiger Überprüfungen
  • Schützen Sie Authentifizierungsinformationen und fordern Sie eine starke Authentifizierung für risikoreiche Zugriffe an.
  • Zugriff auf Anwendungen, Netzwerke und Informationen gemäß den Geschäftsanforderungen steuern
  • Aktivitäten überwachen und protokollieren, insbesondere dort, wo hohe Berechtigungen gelten.

Die detaillierte Formulierung findet sich in den Normen selbst, aber die Absicht ist klar: Der Zugang erfolgt nicht willkürlich, sondern wird als Teil eines lebendigen Managementsystems geregelt, begründet und überprüft, das Ihr Managementteam verstehen und hinterfragen kann.

Was ändert sich, wenn Sie ein MSP sind?

Als Managed Service Provider (MSP) erstrecken sich die Anforderungen der ISO 27001 über Ihre eigenen Systeme hinaus auf die zahlreichen Kundenumgebungen, in denen Ihre Mitarbeiter und Tools zum Einsatz kommen. Viele allgemeine Richtlinien der ISO 27001 sind auf eine einzelne Organisation zugeschnitten; Ihre Realität umfasst jedoch mehrere Kunden, Mandanten, Netzwerke und Verträge.

Sie agieren in einer doppelten Realität: Ihren eigenen internen Systemen und zahlreichen Kundenumgebungen, jede mit ihren eigenen Netzwerken, Mandanten, Anwendungen und Daten, die alle von Ihren Mitarbeitern und Tools genutzt werden. ISO 27001 erlaubt es Ihnen nicht, eine Hälfte dieses Gesamtbildes zu ignorieren. Wenn Ihre Tools oder Mitarbeiter Zugriff auf Kundenumgebungen haben, gehören diese Zugriffspfade in Ihren Geltungsbereich und Ihre Risikobewertung. Das bedeutet nicht, dass Sie für jede einzelne Kontrolle beim Kunden verantwortlich sind, aber es bedeutet, dass Sie dafür verantwortlich sind, wie sich Ihre Organisation und ihre Tools an allen Schnittstellen verhalten.

Konkret sollte Ihr ISMS Folgendes beinhalten:

  • Identifizieren Sie alle Methoden, die Ihre Mitarbeiter und Tools für den Zugriff auf Kundensysteme verwenden (RMM-Agenten, Cloud-Delegierte Administration, VPNs, Jump-Hosts, Direktanmeldungen, Supportportale).
  • Klassifizieren Sie diese Methoden nach Risiko- und Berechtigungsstufe.
  • Legen Sie fest, wer diese Rechte genehmigen und zuweisen kann.
  • Stellen Sie sicher, dass die Authentifizierung für jeden Pfad ausreichend stark ist.
  • Aktivitäten sollten so protokolliert und überprüft werden, dass wichtige Aktionen bei Bedarf rekonstruiert werden können.

Zusammengenommen verwandeln diese Praktiken Ihr ISMS von einer Reihe von Dokumenten in eine alltägliche Disziplin, die Ingenieure, Servicemanager und Sicherheitsverantwortliche befolgen und erklären können.

Diese Erwartungen gelten unabhängig davon, ob Sie ein Managed Service Provider (MSP) mit zehn Mitarbeitern oder ein globaler Anbieter sind. Umfang und Technologie mögen unterschiedlich sein, aber die Prinzipien bleiben dieselben: Zugriffswege sind bekannt, gerechtfertigt, kontrolliert und überprüfbar.



ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Ein Vorsprung von 81 % vom ersten Tag an

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s


Von Konten zu Identitäten: Der IAM-Lebenszyklus für MSP-Ingenieure

Ein effektiver IAM-Lebenszyklus für MSP-Ingenieure behandelt jede menschliche und nicht-menschliche Identität als verwaltetes Asset mit einem klar definierten Anfang und Ende. Um die Anforderungen der ISO 27001 zu erfüllen, müssen Sie von der Denkweise einzelner Konten zu verwalteten Identitäten übergehen, deren Erstellung, Nutzung und Löschung vollständig geregelt und auditierbar sind.

Gestaltung eines kohärenten Identitätsmodells

Ein konsistentes Identitätsmodell beginnt mit einer verlässlichen Datenquelle, üblicherweise einem zentralen Identitätsanbieter oder Verzeichnis, in dem alle Techniker, Service-Desk-Analysten, Manager und Automatisierungskonten definiert sind. Von dort aus werden die Identitäten in Kundenmandanten, RMM-Tools, Ticketsysteme und andere Anwendungen integriert, anstatt überall unkontrollierte lokale Konten anzulegen und darauf zu hoffen, dass die Dokumentation mithält.

Zu den wichtigsten Designprinzipien gehören:

  • Eine einzige Identität pro Person: Jeder Mensch hat eine primäre Identität, auch wenn er mehrere Rollen innehat.
  • Benannte Konten anstelle gemeinsam genutzter Anmeldedaten: Gemeinsam genutzte „Admin“- oder „Support“-Konten werden nach Möglichkeit vermieden oder, falls dies nicht möglich ist, streng kontrolliert.
  • Rollenbasierte Gruppenzugehörigkeit: Anstatt Personen direkt Hunderten von Ressourcen hinzuzufügen, ordnen Sie sie klar definierten Gruppen oder Rollen zu, die mit Berechtigungen verbunden sind.
  • Attributbasierte Richtlinien: Soweit möglich, wird der Zugriff durch Attribute wie Client, Umgebungstyp, Gerätekompatibilität, Standort oder Tageszeit eingeschränkt.

Diese Architektur erleichtert die Umsetzung der Anforderungen der ISO 27001 hinsichtlich Benutzerzugriffsmanagement und Benutzerverantwortlichkeiten erheblich. Best-Practice-Materialien zum Identitäts- und Zugriffsmanagement (IAM) erläutern übereinstimmend, dass zentrale Identitätsanbieter, benannte Konten und definierte Rollen die Grundlage bilden, um die Anforderungen hinsichtlich Zugriffsrechten, Zugriffszeiten und Überwachung zu erfüllen. Ressourcen wie Einführungen in das IAM legen dieselben Prinzipien dar und unterstreichen deren Übereinstimmung mit den Erwartungen der ISO 27001.

Es schafft außerdem die Grundlage für die Automatisierung, da Änderungen an Rollen und Attributen automatisch in die richtigen Systeme fließen können, anstatt dass man sich auf manuelle Aktualisierungen überall verlassen muss.

Verwaltung von Ein-, Umzügen und Auszügen bei einer Vielzahl von Mietern

Die Verwaltung von Neuzugängen, Versetzungen und Austritten von Mitarbeitern in vielen Mandanten erfordert, dass jede Personaländerung als Auslöser für das Hinzufügen, Anpassen oder Entfernen von Zugriffsrechten in strukturierter Weise dient. Der Identitätslebenszyklus stellt für Managed Service Provider (MSPs) oft die größte Herausforderung im Hinblick auf ISO 27001 dar, da Techniker zwischen Teams und Kunden wechseln, externe Dienstleister kommen und gehen und sich jede Änderung in vielen Umgebungen auswirkt.

Ein praktisches Lebenszyklusmodell für einen Managed Service Provider (MSP) sollte Folgendes beinhalten:

Erstellen Sie einen wiederholbaren Onboarding-Workflow, bei dem die Personalabteilung oder das Management die Erstellung von Benutzerkonten in Ihrem zentralen Verzeichnis auslöst, Standardrollen für Einsteiger zugewiesen werden und kundenspezifische Zugriffsrechte erst nach ausdrücklicher Genehmigung durch die zuständigen Personen gewährt werden. Dies reduziert die Abhängigkeit von Ad-hoc-Anfragen und stellt sicher, dass neue Mitarbeiter mit angemessenen, nicht übermäßigen Zugriffsrechten starten.

Schritt 2 – Rollenänderungen als Zugriffsüberprüfungen behandeln

Interne Versetzungen und Rollenwechsel sollten als Ereignisse behandelt werden, die eine Überprüfung und häufig eine Reduzierung der Zugriffsrechte erfordern, nicht nur deren Erweiterung. Beispielsweise sollte ein Wechsel vom Service Desk zu Projekten die Entfernung alter Berechtigungen sowie die Zuweisung neuer Berechtigungen zur Folge haben, damit die Zugriffsrechte dem aktuellen Aufgabenbereich entsprechen und sich nicht im Laufe der Zeit anhäufen.

Schritt 3 – Maßnahmen der ausscheidenden Mitarbeiter schnell und vollständig umsetzen

Stellen Sie sicher, dass beim Ausscheiden eines Mitarbeiters sämtliche Zugriffswege zu internen und Kundensystemen umgehend deaktiviert oder neu zugewiesen werden. Dies umfasst VPN-Profile, den Zugriff auf die RMM-Konsole, Cloud-Rollen und alle noch vorhandenen lokalen Konten. Ziel ist es, Sicherheitslücken schnellstmöglich zu schließen und verwaiste Konten zu vermeiden, an die sich niemand mehr erinnert, bis ein Problem auftritt.

Um dies nachzuweisen, benötigen Sie Aufzeichnungen, die HR-Ereignisse, Tickets oder Anfragen mit Identitätsänderungen verknüpfen, sowie regelmäßige Überprüfungen, ob keine inaktiven Konten mehr vorhanden sind. Aus Sicht der ISO 27001 ist dies ein starker Beleg dafür, dass Ihre Kontrollen in der Praxis funktionieren und nicht nur auf dem Papier existieren. Es gibt Kunden die Gewissheit, dass der Zugriff nicht lange nach dem Ausscheiden eines Mitarbeiters aus Ihrem Unternehmen bestehen bleibt. Die Leitlinien zum Nachweis der ISO-27001-Konformität betonen, wie wichtig es ist, Artefakte aufzubewahren, die die tatsächliche Funktionsweise der Kontrollen belegen – wie z. B. Lebenszyklusaufzeichnungen und Prüfprotokolle – anstatt lediglich Richtliniendokumente zu führen, die beschreiben, was geschehen soll.

Eigentümer, Service-Manager und Sicherheitsverantwortliche können diese Lebenszyklusdatensätze nutzen, um häufige Prüfungsfragen wie „Wie wird der Zugriff entfernt, wenn ein Techniker das Unternehmen verlässt?“ ohne großen Aufwand zu beantworten.



Entwurf eines Dual-Scope-Zugriffskontrollmodells für Managed Service Provider

Ein ISO 27001-konformes Zugriffsmodell für einen Managed Service Provider (MSP) muss sowohl die interne Umgebung als auch die privilegierten Zugänge in Kundenumgebungen gleichermaßen abdecken. Der effektivste Ansatz besteht darin, ein einheitliches Modell mit klar definierten „Zonen“ zu entwerfen, anstatt diese als zwei völlig getrennte, unabhängig voneinander agierende Bereiche zu betrachten.

Interner Zugriff vs. Kundenzugriff: Eine Richtlinie, zwei Perspektiven

Sie können damit beginnen, eine einheitliche Zugriffskontrollrichtlinie zu definieren, die explizit den Zugriff auf Ihre eigenen Systeme und Informationen sowie den Zugriff Ihrer Mitarbeiter, Tools und Automatisierungen auf Kundensysteme regelt. Innerhalb dieser Richtlinie können Sie dann die Handhabung interner und Kundenzugriffe differenzieren, ohne die Gesamtkonsistenz zu beeinträchtigen oder widersprüchliche Regeln zu erstellen.

Die Richtlinie sollte zumindest Folgendes unterscheiden:

  • Interner Zugriff: mit Fokus auf den Schutz Ihrer eigenen Daten, Finanzen, Ihres geistigen Eigentums und Ihres Geschäftsbetriebs
  • Kundenzugang: mit dem Fokus auf den Schutz der Systeme und Daten jedes einzelnen Kunden, die Einhaltung seiner Verpflichtungen und die Vermeidung von Auswirkungen zwischen Mandanten.

Beide Ansätze sollten die gleichen Grundprinzipien teilen: minimale Berechtigungen, Kenntnisbedarf, Funktionstrennung, starke Authentifizierung, Protokollierung und regelmäßige Überprüfung. Die Unterschiede liegen hauptsächlich in den Zuständigkeiten und den Autorisierungsbefugnissen. Beispielsweise kann die Erstellung eines neuen Technikerkontos in Ihrer RMM-Konsole die Genehmigung des internen Managements erfordern, während die Vergabe von Administratorrechten an diesen Techniker im Produktionssystem eines bestimmten Kunden möglicherweise auch die Zustimmung des Kunden selbst voraussetzt.

Verwendung von RBAC und ABAC über mehrere Clients hinweg

Die Kombination von RBAC und ABAC über mehrere Mandanten hinweg ermöglicht die strukturierte und nachvollziehbare Beschreibung komplexer Zugriffsanforderungen. So können Sie die Komplexität realer Anwendungen abbilden, ohne auf einmalige, undurchsichtige Berechtigungen zurückzugreifen, die unter Zeitdruck niemand verständlich erklären kann.

  • RBAC: Es werden Standardrollen wie „Service Desk Analyst“, „Tier-2-Engineer“, „Cloud Architect“, „Security Specialist“ und „Billing Administrator“ definiert. Jede Rolle verfügt über klar definierte Verantwortlichkeiten und zugehörige Berechtigungen, die Sie einmalig dokumentieren und konsistent wiederverwenden können.
  • ABAC: Fügt Bedingungen basierend auf Attributen wie Client, Umgebung (Produktion vs. Test), Datensensibilität, Gerätekonformität oder Tageszeit hinzu. Beispielsweise kann ein Tier-2-Techniker während der Supportzeiten und von verwalteten Geräten nur auf die ihm zugewiesenen Clients zugreifen.

Ein solches Dual-Scope-Modell ist genau das, was sich Wirtschaftsprüfer und erfahrene Kunden wünschen: eine konsistente Logik, die erklärt, warum jede Person intern und in der jeweiligen Kundenumgebung tun kann, was sie tun kann, ohne dass ein „geheimnisvoller Zugriff“ unerklärt bleibt.

Um den Unterschied deutlich zu machen, kann es hilfreich sein, Ihren jetzigen Standpunkt mit Ihrem Zielzustand zu vergleichen:

Ein einfaches Beispiel:

Aspekt Unverwalteter MSP-Zugriff ISO 27001-konformer MSP-Zugang
Identities Gemeinsame Administrator-Logins, lokale Konten Benannte Identitäten, zentrales Verzeichnis, rollenbasierte
Privilegierter Zugriff Ad-hoc-Berechtigungen für spezifische Werkzeuge Genehmigte Rollen, kundenorientierte Berechtigungen
Protokollierung und Beweismittel Inkonsistente Protokolle und Screenshots Standardprotokolle, Überprüfungen und revisionssichere Artefakte
Kundenvertrauen Häufige Fragen, langsame Verlängerungen Klare Erklärungen, schnellere Due-Diligence-Prüfungen und Verlängerungen

Der größte Vorteil liegt im Übergang von einem gemeinsam genutzten, intransparenten Zugriff zu benannten, rollenbasierten Identitäten, die Sie gegenüber Auditoren und Kunden erklären und verteidigen können. Ein solcher Vergleich hilft Ihnen, internen Stakeholdern zu verdeutlichen, dass die Ausrichtung des Zugriffs an den ISO-27001-Prinzipien nicht nur eine Frage der Einhaltung von Vorschriften ist, sondern eine sinnvolle Reduzierung des operativen und kommerziellen Risikos darstellt.



Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


Umgang mit privilegierten und Fernzugriffen auf Kundenumgebungen

Für Managed Service Provider (MSPs) zählt der privilegierte Fernzugriff auf Kundenumgebungen zu den risikoreichsten Bereichen und unterliegt häufig besonders strengen Prüfungen gemäß ISO 27001. Diese Zugriffswege müssen als Hochrisikokanäle behandelt werden, die streng kontrolliert, stark authentifiziert, umfassend überwacht und regelmäßig überprüft werden, da Missbrauch auf dieser Ebene unmittelbare und sichtbare Folgen haben kann.

Fernzugriff als kontrolliertes Gateway behandeln

Sie behandeln den Fernzugriff wie ein kontrolliertes Gateway, indem Sie privilegierte Verbindungen über wenige, gehärtete Zugangspunkte leiten, die Ihre Richtlinien stets durchsetzen. Anstatt Technikern direkten Zugriff von überall auf alles zu ermöglichen, leitet ein sicheres Modell alle privilegierten Zugriffe über Gateways, die Authentifizierung, Autorisierung und Überwachung zentralisieren.

Typische Muster sind:

  • RMM-Plattformen oder Fernzugriffstools, die mit benutzerbezogener Authentifizierung und Autorisierung konfiguriert sind
  • Bastion- oder Jump-Hosts, die administrative Sitzungen in sensible Umgebungen vermitteln
  • Cloudbasierte delegierte Administrations- oder Managementebenen, die Aktionen mit hohen Berechtigungen zentralisieren

Jedes Gateway sollte eine starke Authentifizierung, vorzugsweise Multi-Faktor-Authentifizierung, erzwingen und die Berechtigungen jeder Identität anhand von Rollen und Attributen einschränken. Sitzungen sollten so detailliert protokolliert werden, dass wichtige Aktionen im Streitfall oder bei Vorfällen rekonstruiert werden können. Risikoreiche Änderungen an Sicherheitseinstellungen, Identitätsanbietern oder Netzwerksteuerungen sollten für Ihr Monitoring sichtbar sein. Indem Sie diese Gateways als Teil Ihres ISO-27001-Kontrollsets gestalten, demonstrieren Sie, dass privilegierter Zugriff nicht willkürlich, sondern bewusst eingeschränkt und nachvollziehbar ist.

Verwaltung von Gemeinschaftskonten, Auftragnehmern und Notfällen

Sie handhaben gemeinsam genutzte Konten, externe Dienstleister und Notfälle, indem Sie deren Nutzung minimieren, Zugangsdaten streng kontrollieren und detaillierte Aktivitätsprotokolle führen, wenn dies unvermeidbar ist. Die Realität ist jedoch komplexer: Einige ältere Systeme, Anbieterportale oder Kundenumgebungen benötigen weiterhin generische oder gemeinsam genutzte Konten. Möglicherweise sind Sie auch auf externe Dienstleister, Spezialisten von Drittanbietern oder Zeitarbeitskräfte angewiesen, und echte Notfälle können vorkommen.

Zu den pragmatischen Praktiken gehören:

  • Die Anzahl gemeinsam genutzter Konten minimieren und dokumentieren, warum jedes einzelne existiert
  • Gemeinsam genutzte Zugangsdaten werden in einem sicheren Tresor mit benutzerbezogener Überprüfung gespeichert, sodass Sie sehen können, wer sie wann verwendet hat.
  • Sitzungsaufzeichnung oder detaillierte Befehlsprotokollierung für Aktivitäten, die mit gemeinsam genutzten oder Notfallkonten durchgeführt werden.
  • Strenge Fristen und Genehmigungsverfahren für Auftragnehmer und temporäre Zugänge werden angewendet, mit klaren Enddaten und Verantwortlichkeiten für den Widerruf.
  • Definition und Einübung von Notfallmaßnahmen, die Schnelligkeit und Verantwortlichkeit in Einklang bringen, einschließlich der nachträglichen Überprüfung von Notfallmaßnahmen

Auf diese Weise wird der außergewöhnliche Zugriff zu einer nachvollziehbaren und verteidigbaren Angelegenheit gegenüber Auditoren und Kunden, anstatt zu einer Ansammlung undurchsichtiger Abkürzungen, die niemand so recht versteht. Diese Kontrollen tragen wesentlich dazu bei, die Anforderungen der ISO 27001 an das Management privilegierter Zugriffe zu erfüllen, selbst bei technologischen Einschränkungen. Analysen der Aktualisierungen der ISO 27001:2022 unterstreichen, wie die überarbeiteten Kontrollen für Identität und privilegierten Zugriff sicherstellen sollen, dass risikoreicher Zugriff geregelt, gerechtfertigt und nachvollziehbar ist. Ein disziplinierter Umgang mit gemeinsam genutzten und Notfallzugriffen entspricht diesem Ziel.



Kontrollnachweis: Protokollierung, Überwachung und Prüfungsnachweise

ISO 27001 legt ebenso viel Wert auf den Nachweis der Wirksamkeit Ihrer Kontrollen wie auf deren Gestaltung. Im Bereich Zugriffskontrolle und Identitätsmanagement bedeutet dies, dass Sie systematische Nachweise benötigen, dass Anfragen, Genehmigungen, Änderungen, Überprüfungen und Überwachungen wie beschrieben in Ihren internen Systemen und Kundenumgebungen durchgeführt werden. Praktische Leitfäden zur Dokumentation der ISO-27001-Konformität betonen immer wieder, dass Auditoren nach Belegen für die Wirksamkeit der Kontrollen suchen – wie beispielsweise Aufzeichnungen, Tickets und Berichte – und nicht nur nach Richtlinien und Absichtserklärungen.

In der Umfrage von 2025 gaben nur etwa 29 % der Organisationen an, keine Bußgelder wegen Verstößen gegen den Datenschutz erhalten zu haben, was bedeutet, dass die meisten mindestens einmal mit einem Bußgeld belegt wurden.

Aufbau eines revisionssicheren Zugriffsnachweises

Ein revisionssicherer Nachweis der Zugriffsrechte sollte es Ihnen ermöglichen, wichtige Zugriffsentscheidungen und -aktivitäten nachzuvollziehen, ohne Dutzende von E-Mails und Konsolen durchsuchen zu müssen. Er muss sich zudem nahtlos in Ihre Richtlinien und Risikobewertungen einordnen lassen, damit Sie nachweisen können, dass Sie Ihre Zusagen einhalten und sich nicht auf informelle Vorgehensweisen verlassen.

Ein typischer Beweismittelsatz im Zusammenhang mit Zugang und Identität umfasst:

  • Eine Zugriffskontrollrichtlinie, die interne und Kundenumgebungen klar abdeckt
  • Verfahren oder Handbücher für die Einarbeitung, Änderung und Ausscheidung von Mitarbeitern und Auftragnehmern
  • Rollen- und Gruppendefinitionen, einschließlich der Frage, wer die Mitgliedschaft genehmigen kann
  • Aufzeichnungen über Zugriffsanfragen und Genehmigungen, idealerweise verknüpft mit Tickets oder Änderungsaufzeichnungen
  • Protokolle zur regelmäßigen Überprüfung der Zugriffe, sowohl für interne Systeme als auch für wichtige Kundenumgebungen
  • Konfigurations-Snapshots für kritische Steuerungselemente wie Multi-Faktor-Authentifizierung, bedingter Zugriff, RMM-Berechtigungen und privilegierte Rollen
  • Protokolle oder Berichte, die aufzeigen, wer wann privilegierte Zugriffskanäle genutzt hat.

Anhand dieser Nachweise können Sie gängige Prüfungsfragen wie „Wer hat diesem Techniker den Zugriff auf die RMM-Plattform genehmigt?“ oder „Wann wurde der Zugriff auf diesen Kundentenant zuletzt überprüft?“ beantworten, ohne kurzfristig neue Artefakte erstellen zu müssen.

Wenn Sie diese Dokumente kontinuierlich pflegen und im Rahmen Ihrer regulären Geschäftstätigkeit aktualisieren, vermeiden Sie den Zeitdruck, unter dem Sie vor einer Prüfung Nachweise zusammentragen müssen. Zudem haben Sie im Fehlerfall eine klare Dokumentation, aus der Sie lernen können, und können Kunden und Prüfern nachweisen, dass Ihre Kontrollmechanismen in der Praxis funktionieren.

Überwachung des Zugriffs gemäß Ihrem Risikoregister

ISO 27001 erwartet, dass Ihr Monitoring Ihren Risiken angemessen ist und nicht nur eine allgemeine Protokollerfassung darstellt. Im Kontext eines Managed Service Providers (MSP) bedeutet dies in der Regel, die Systeme und Zugriffspfade zu priorisieren, die bei Missbrauch oder Kompromittierung den größten Schaden anrichten würden, und sicherzustellen, dass Ihr Monitoring diese Prioritäten klar widerspiegelt. Dies ergibt sich direkt aus dem risikobasierten Ansatz der Norm, der fordert, dass Kontrollen und Monitoring anhand ihrer Auswirkungen und Eintrittswahrscheinlichkeit ausgewählt und angepasst werden, anstatt von einer allgemeinen Checkliste übernommen zu werden.

In der Praxis umfasst dies häufig Folgendes:

  • Intensivere Überwachung des privilegierten Zugriffs auf Produktionsumgebungen von Kunden
  • Überwachung von Authentifizierungsereignissen für Ihren zentralen Identitätsanbieter und Ihre Verwaltungskonsolen
  • Warnungen bei ungewöhnlichen Zugriffsmustern, wie z. B. Anmeldungen von unerwarteten Standorten, massenhafte Änderungen an Gruppen oder wiederholte fehlgeschlagene Zugriffsversuche auf Hochrisikosysteme
  • Die Protokolle müssen lange genug aufbewahrt werden, um Untersuchungen zu unterstützen und den Kontrollbetrieb im Laufe der Zeit nachzuweisen.

Entscheidend ist, die Anwendungsfälle für das Monitoring mit Ihrer Risikobewertung zu verknüpfen. Wenn Sie festgestellt haben, dass eine Kompromittierung Ihrer RMM-Plattform schwerwiegende Folgen hätte, sollte Ihr Monitoring aufzeigen, wie Sie dies überwachen: optimierte Warnmeldungen, getestete Benachrichtigungswege und klare Verantwortlichkeiten für die Priorisierung und Reaktion. Dadurch wird das Monitoring zu einem dynamischen Kontrollinstrument gemäß ISO 27001 und nicht nur zu einer Checkliste.

Eine ISMS-Plattform wie ISMS.online hilft Ihnen, jedes zugriffsbezogene Risiko mit Kontrollen und den Nachweisen für deren Wirksamkeit zu verknüpfen. So können Sie Prüfern und Kunden ein schlüssiges Bild präsentieren, anstatt nur isolierte Protokolle und Screenshots. Um zu sehen, wie das in der Praxis aussieht, veranschaulicht ein kurzer Rundgang durch ein funktionierendes ISMS die Zusammenhänge zwischen Risiken, Kontrollen und Nachweisen deutlich besser – sowohl für technische als auch für nicht-technische Stakeholder.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Rollen und Verantwortlichkeiten mit Kunden definieren

Zugriffskontrolle ist für einen Managed Service Provider (MSP) nicht nur eine interne Angelegenheit, sondern ein gemeinsames Anliegen mit jedem Kunden. ISO 27001 fordert klare Rollen und Verantwortlichkeiten. Im MSP-Kontext bedeutet dies, explizit festzulegen, wer auf beiden Seiten der Geschäftsbeziehung Zugriffe anfordert, genehmigt, implementiert und überprüft. Der Standard selbst fordert definierte Rollen, Verantwortlichkeiten und Befugnisse für die Informationssicherheit. Daher ist die Übertragung dieser Konzepte in gemeinsame Zugriffsverwaltungsvereinbarungen mit Kunden eine logische Weiterentwicklung.

Gemeinsame Verantwortung für die Zugriffssteuerung durch RACI-Matrizen und Verträge

Eine praktische Methode zur Klärung von Verantwortlichkeiten ist die Erstellung einer Verantwortlichkeitsmatrix für jeden Kunden, häufig in Form einer RACI-Matrix (Verantwortlich, Rechenschaftspflichtig, Beratend, Informiert). Diese Matrix kann Aktivitäten wie die Definition der Rollen Ihrer Mitarbeiter in ihrer Umgebung, die Genehmigung neuer privilegierter Zugriffe, die Häufigkeit von Überprüfungen und die Verwaltung von Identitätsanbietern und Protokollierung umfassen.

Die meisten Organisationen, die an der ISMS.online-Umfrage 2025 teilnahmen, gaben an, im vorangegangenen Jahr von mindestens einem Sicherheitsvorfall im Zusammenhang mit Drittanbietern oder Lieferanten betroffen gewesen zu sein.

Diese Matrix können Sie dann mit Ihren Vertragsdokumenten abgleichen: Rahmenverträge, Service-Level-Agreements und Datenverarbeitungsvereinbarungen. Diese sollten klare Erwartungen hinsichtlich folgender Punkte enthalten:

  • Starke Authentifizierung für alle MSP-Mitarbeiter, die auf Kundensysteme zugreifen.
  • Protokollierung und Aufbewahrung von MSP-Aktivitäten im Kundenumfeld
  • Häufigkeit und Umfang der Zugriffsüberprüfungen
  • Benachrichtigungsfristen und Zusammenarbeit bei Vorfällen mit MSP-Zugriff

Wenn die Matrix und die Verträge der Realität entsprechen, lassen sich Überraschungen minimieren und die Einhaltung der ISO 27001 wird zu einer gemeinsamen Anstrengung statt zu einer einseitigen Belastung. Zudem erhalten beide Seiten so etwas Konkretes, worauf sie sich bei Fragen im Rahmen der Due-Diligence-Prüfung, der Vertragsverlängerung oder im Umgang mit Aufsichtsbehörden berufen können.

Die Umwandlung von Zugangsgovernance in einen kommerziellen Vorteil

Zugriffsmanagement wird zum Wettbewerbsvorteil, wenn Sie detaillierte Kundenfragen zur Kontrolle und Überwachung des Zugriffs auf deren Systeme souverän beantworten können. Kunden stellen zunehmend Fragen wie: „Welche Ihrer Mitarbeiter haben Zugriff auf unsere Produktionsumgebung?“, „Wie überprüfen Sie diese Zugriffe?“ oder „Was passiert, wenn ein privilegiertes Konto kompromittiert wird?“. Wenn Sie Ihr ISO-27001-konformes Zugriffsmodell klar beschreiben, Beispiele vorlegen und Ihre Zusammenarbeit bei Genehmigungen und Überprüfungen erläutern können, heben Sie sich von Anbietern ab, die nur vage Zusicherungen geben.

Manche Managed Service Provider (MSPs) gehen noch weiter und bieten die Zugriffsverwaltung als Teil ihres Leistungsumfangs an, zum Beispiel:

  • Dazu gehören regelmäßige Briefings zum Thema Zugangs- und Governance-Richtlinien als Teil der Kontoüberprüfungen.
  • Bereitstellung von Standardberichten, die wichtige Kennzahlen wie die Anzahl der MSP-Identitäten mit privilegiertem Zugriff, kürzlich erfolgte Änderungen und den Überprüfungsstatus zusammenfassen.
  • Sie bieten Managed Identity oder Privileged Access Services als Zusatzfunktionen an, die auf denselben Kontrollmechanismen basieren, die sie intern verwenden.

Richtig umgesetzt, kann diese Transparenz das Vertrauen in Geschäftsbeziehungen stärken und die Gespräche über Vertragsverlängerungen und neue Geschäftsmöglichkeiten mit erfahrenen oder regulierten Kunden erleichtern. ISO 27001 wird so nicht nur zu einem Zertifikat, sondern zu einem Rahmenwerk, mit dem Sie verdeutlichen können, warum Kunden Ihnen ihre wichtigsten Zugangsdaten anvertrauen sollten und wie Sie diese diszipliniert schützen.

Wenn Sie dies Ihrem Führungsteam in kommerziellen Begriffen präsentieren möchten, können Sie eine disziplinierte Zugriffsverwaltung als Alleinstellungsmerkmal positionieren, das Reibungsverluste im Vertrieb reduziert, Sicherheitsfragebögen verkürzt und die Wahrscheinlichkeit einer sicherheitsbedingten Kundenabwanderung verringert.



Buchen Sie noch heute eine Demo mit ISMS.online

ISMS.online bietet Ihrem Managed Service Provider (MSP) eine zentrale Plattform, um Zugriffskontrolle und Identitätsmanagement in ein dynamisches, ISO 27001-konformes System zu verwandeln, das Ihr Team effektiv nutzen kann. Anstatt Richtlinien, Risiken, Kontrollbeschreibungen und Zugriffsnachweise in Tabellenkalkulationen, E-Mails und auf gemeinsamen Laufwerken zu verteilen, können Sie diese zentral auf einer Plattform verwalten, die die Arbeitsweise Ihres Unternehmens widerspiegelt. Die öffentlichen Informationen zu ISMS.online beschreiben, wie die Plattform als zentraler Arbeitsbereich für den Aufbau und die Pflege eines ISMS konzipiert ist und Teams nicht länger mit der Verwaltung statischer, unzusammenhängender Dokumente überlässt.

Warum eine ISMS-Plattform die Zugriffsverwaltung handhabbar macht

Eine ISMS-Plattform vereinfacht die Zugriffsverwaltung, indem sie eine stabile Grundlage für Ihre ISO-27001-Arbeit bietet, während sich Ihr Unternehmen und Ihre Tools weiterentwickeln. Bei der Formalisierung von Zugriff und Identität gemäß ISO 27001 wird schnell deutlich, dass die größte Herausforderung nicht darin besteht, festzulegen, was „gut“ aussieht, sondern alles konsistent und aktuell zu halten, wenn sich Ihre Mitarbeiter, Kunden und Ihre Remote-Zugriffsinfrastruktur ändern.

Rund zwei Drittel der im Bericht „State of Information Security 2025“ befragten Organisationen gaben an, dass die Geschwindigkeit und das Ausmaß der regulatorischen Änderungen die Einhaltung der Vorschriften zunehmend erschweren.

Mit ISMS.online können Sie beispielsweise:

  • Definieren Sie Ihren Geltungsbereich so, dass er sowohl den internen als auch den kundenseitigen Zugriff klar abdeckt.
  • Erfassen Sie die Risiken, die sich aus privilegiertem MSP-Zugriff ergeben, und verknüpfen Sie diese mit spezifischen Kontrollmechanismen.
  • Speichern Sie Ihre Zugriffsrichtlinien, Betriebshandbücher und Verantwortlichkeitsmatrizen auf strukturierte Weise.
  • Ordnen Sie kritische Tools wie Ihren Identitätsanbieter, RMM, VPN und Ihre Lösung für privilegierten Zugriff den Kontrollen in Anhang A zu.
  • Fügen Sie jedem Steuerelement direkt Nachweise wie Screenshots, Berichte, Tickets und Prüfprotokolle hinzu.

Mit dieser Grundlage werden Audits planbarer und weniger aufwändig. Checklisten zur Auditvorbereitung von unabhängigen Prüfern betonen regelmäßig, dass die vorab verknüpften Risiken, Kontrollen und Nachweise die Beweiserhebung in letzter Minute deutlich reduzieren und sowohl interne als auch externe Audits einfacher planen und durchführen lassen. Sind Ihre Informationen bereits nach Kontrollen und Risiken geordnet, müssen Sie nicht jedes Mal unter Zeitdruck Berichte neu erstellen, wenn Nachweise angefordert werden.

Was Sie in einer Demo entdecken können

Eine Demo von ISMS.online mit Schwerpunkt auf Zugriffskontrolle und Identitätsmanagement kann Ihnen beispielsweise Folgendes zeigen:

  • Ein Modellrisikoregistereintrag für privilegierte MSP-Zugriffe, verknüpft mit den Kontrollen und Behandlungsplänen gemäß Anhang A
  • Eine beispielhafte Zugriffskontrollrichtlinie, die den MSP-Zugriff auf Kundenumgebungen explizit abdeckt
  • Arbeitsabläufe zur Dokumentation und zum Nachweis von Ein-, Austritts- und Wechselprozessen für Ingenieure
  • Möglichkeiten zur Nachverfolgung von Zugriffsprüfungen, Genehmigungen und Ausnahmen, die mit Ihren Ticket- und HR-Systemen kompatibel sind.
  • Wie man sich mit vorab verknüpften Kontrollaufzeichnungen und Nachweisen auf ein ISO 27001-Audit oder eine Kundenprüfung vorbereitet

Wenn Sie innerhalb von sechs bis zwölf Monaten eine Zertifizierungsfrist einhalten müssen oder eine wichtige Kundenbewertung ansteht und Ihre aktuellen Zugriffspraktiken noch immer unübersichtlich erscheinen, kann Ihnen eine kurze, fokussierte Sitzung dabei helfen, Prioritäten zu setzen: zum Beispiel die RMM-Zugriffsverwaltung zu verschärfen, Ihr Identitätsmodell klarer zu definieren oder Ihre ersten Zugriffsüberprüfungen in einen wiederholbaren Rhythmus zu bringen.

Die Zusammenführung von Führungs-, Betriebs-, Technik- und Compliance-Perspektiven in einem gemeinsamen ISMS-Arbeitsbereich ist oft der entscheidende Wendepunkt. Dadurch wandelt sich die Zugriffskontrolle und das Identitätsmanagement von einer Ansammlung von Einzelaktionen zu einer strukturierten, teamweiten Disziplin, die Ihre Kunden schützt, Ihr Wachstum unterstützt und kritischen Prüfungen standhält. Wenn Sie eine disziplinierte Zugriffsverwaltung einfacher aufbauen, nachweisen und pflegen möchten, ist die Buchung einer Demo von ISMS.online der nächste sinnvolle Schritt für Ihren Managed Service Provider (MSP).

Kontakt


Häufig gestellte Fragen (FAQ)

Sie erfüllen die Anforderungen der ISO 27001, indem Sie dazu in der Lage sind demonstrieren Sie es anhand von Live-Beweisen, wer worauf Zugriff hat, warum diese Zugriffsrechte bestehen und wie Sie die Kontrolle darüber sowohl in Ihren eigenen Systemen als auch in jeder Kundenumgebung, mit der Sie in Kontakt kommen, behalten.

Verankern Sie alles in einem einfachen „Design → Betrieb → Beweis“-Zyklus.

Anstatt zu versuchen, jede einzelne Kontrollmaßnahme auswendig zu lernen, sollten Sie Ihr Denken anhand von drei wiederholbaren Ebenen strukturieren:

  • Design: – klare, schriftliche Absichtserklärung:
  • Eins Zugriffskontrollrichtlinie das Folgendes explizit umfasst:
  • Ihre interne Infrastruktur (IdP, RMM, PSA, Finanzen, Personalwesen, interne Anwendungen).
  • Kundengebiete, die Ihre Mitarbeiter, Tools und Automatisierungen erreichen können.
  • Eine kleine, treffend benannte Gruppe von Rollen und Gruppen die widerspiegeln, wie Ihre Ingenieure tatsächlich arbeiten.
  • Einfach Verfahren Für Neuzugänge, Umzüge, Austritte und privilegierte Zugänge.
  • Operieren: – Alltagsverhalten, das dem Design entspricht:
  • Benannte Konten sind Rollen zugeordnet, nicht generische Anmeldedaten.
  • MFA wird an den entscheidenden Engpässen durchgesetzt.
  • Regelmäßige Zugriffsüberprüfungen für Hochrisikosysteme und wichtige Kundennutzer.
  • Unter Beweis stellen: – Beweise, die Sie ohne große Umschweife vorlegen können:
  • Tickets oder Workflow-Datensätze für Zugriffsgenehmigungen.
  • Protokolle und Berichte, die die Frage beantworten: „Wer hatte was, wann und wer hat es abgezeichnet?“
  • Konfigurationsexporte, die Ihrem angegebenen Modell entsprechen.

Wenn Sie alle drei Ebenen in einer strukturierten Umgebung wie ISMS.online erfassen – Risiken, Richtlinien, Rollen, Verfahren, Anfragen, Überprüfungen und Protokolle –, die miteinander verknüpft sind, hören Sie auf, über Theorie zu diskutieren, und zeigen, wie Ihre Zugriffskontrollen tatsächlich funktionieren. Genau dann können Auditoren aufatmen und Kunden beginnen, Ihren Antworten zu vertrauen, anstatt jedes Detail zu hinterfragen.

Wie kann ein Managed Service Provider (MSP) ein einheitliches Zugriffsmodell erstellen, das sowohl interne als auch Kundensysteme umfassend abdeckt?

Das macht man, indem man definiert ein Zugriffsrahmen, nicht zweiund dann dieses Framework in Ihre Identitäts-, RMM- und Fernzugriffsarchitektur zu integrieren, sodass überall die gleiche Logik gilt.

Beginnen Sie mit einer einzigen Scope-Definition, die die „Grauzone des Kunden“ abschließt.

Die meisten Managed Service Provider (MSPs) schaffen unbeabsichtigt Risiken, indem sie den Kundenzugriff getrennt von der internen Sicherheit behandeln. Korrigieren Sie dies explizit in Ihrer Zugriffskontrollrichtlinie, indem Sie Folgendes festlegen:

  • Zugriff auf alle MSP-eigenen Systeme und Daten.
  • Zugang durch MSP-Mitarbeiter, Auftragnehmer, Tools und Automatisierungen zu alle Kundensysteme und Daten.

Stellen Sie sicher, dass der Geltungsbereich unübersehbar ist. Sobald er schriftlich festgehalten ist, wissen Kunden und Auditoren nicht mehr, ob ihre Umgebung zu Ihrem ISMS gehört oder nicht.

Verwenden Sie einen kleinen, stabilen RBAC-Rücken und schichten Sie dann ABAC darauf.

Ein praktikables MSP-Modell sieht üblicherweise so aus:

  • RBAC (rollenbasierte Zugriffskontrolle) für Strukturen:
  • Definieren Sie 6–10 Rollen, die der Realität entsprechen, zum Beispiel:
  • Service Desk
  • Eskalation / Tier-2-Ingenieur
  • Cloud-/M365-Ingenieur
  • Security Analyst
  • Plattformingenieur (RMM / Tools)
  • Finanzen / Abrechnung
  • Für jede Rolle dokumentieren:
  • Interne Systeme, die es nutzen kann (RMM, PSA, Ticketing, Finanzen, Protokolle usw.).
  • Es kann Kundensysteme oder Mandantentypen betreffen (Produktion vs. Test, spezifische Plattformen).
  • Wer ist für die Stelle zuständig und wer genehmigt Änderungen?
  • ABAC (attributbasierte Zugriffskontrolle) für differenzierte Betrachtung:
  • Um eine Ausweitung der Rollenverteilung zu vermeiden, verwenden Sie Attribute wie zum Beispiel:
  • Kunde oder Kundengruppe.
  • Umfeld (Produktion vs. Nicht-Produktion).
  • Geräteposition (verwaltet vs. nicht verwaltet).
  • Zeitbereich oder Ort.
  • Beispielregel:
  • „Tier 2 Techniker betreuen ausschließlich die ihnen zugewiesenen Produktionskunden und verwalten die Geräte während der genehmigten Supportzeiten.“

Diese Regel lässt sich in einer Richtlinie nachvollziehbar formulieren, in einem Identitätsanbieter (IdP) oder einem Routing-Making-Management-System (RMM) implementieren und in einem Audit überprüfen. Genau diese Klarheit strebt ISO 27001 an.

Integrieren Sie das Modell in die Tools, mit denen Ihr Team bereits arbeitet.

Das Modell existiert nur, wenn es sich in der Konfiguration widerspiegelt:

  • Verzeichnis / IdP: – Gruppen = Rollen, bedingter Zugriff = ABAC, SSO in RMM- und Cloud-Konsolen.
  • RMM-/Fernzugriffsplattformen: – Nur namentlich genannte Konten, die Rollen zugeordnet sind; Multi-Faktor-Authentifizierung wird erzwungen; klare Trennung zwischen „kann sehen“ und „kann ändern“.
  • Cloud-Administrationsebenen: – Mandantenspezifische Rollen und Administratoreinheiten, nicht ein einziges „Gottkonto“ für alle.
  • VPN / Zero-Trust / Jump-Hosts: – dieselbe Rollen- und Attributlogik durchsetzen, bevor irgendjemand ein Kundennetzwerk erreicht.

Eine hilfreiche Plausibilitätsprüfung besteht darin, ein Diagramm zu erstellen, das auf der einen Seite „MSP-intern“ und auf der anderen Seite „Kundenumgebungen“ darstellt. Zeichnen Sie Ihre Standardrollen mit klaren Bedingungen über die Grenze hinweg ein und ergänzen Sie dieses Diagramm anschließend mit verknüpften Richtlinien, Gruppendefinitionen und Datensätzen in ISMS.online. Wenn Ihnen dies gelingt, sind Sie einem Zugriffsdesign gemäß ISO 27001, das sich für Techniker dennoch praktikabel anfühlt, sehr nahe.

Wie sieht das Prinzip der minimalen Privilegien und die Multi-Faktor-Authentifizierung in der Praxis aus, wenn Ingenieure Dutzende von Mandanten betreuen?

Im realen MSP-Alltag funktionieren das Prinzip der minimalen Berechtigungen und die Multi-Faktor-Authentifizierung. als ProgrammEs geht nicht um eine einmalige Absicherungsmaßnahme. Ziel ist ein Muster, das sich auch bei Warteschlangen, Notfällen und Personalwechseln aufrechterhalten lässt – und das sich auch in einer Prüfung verteidigen lässt.

Das Prinzip der geringsten Privilegien in eine kontinuierliche Abstimmungsschleife verwandeln

Anstatt gleich am ersten Tag alle Berechtigungen perfekt absichern zu wollen, konzentrieren Sie sich auf Folgendes:

  • Standardrollen zuerst: – Geben Sie jeder Rolle nur das, was für die täglichen Aufgaben benötigt wird.
  • Just-in-time-Erhöhung: – Verwenden Sie für ungewöhnliche oder risikoreiche Arbeiten temporäre, mit einem Ticket gesicherte Hubarbeitsbühnen.
  • Geplante Überprüfungen: – mindestens vierteljährlich für:
  • Interne Kernsysteme (IdP, RMM, PSA, Cloud-Admin-Portale).
  • Hochrisikokunden, Mieter oder regulierte Kunden.
  • Nutzungsorientierte Optimierung: – Wenn ein Recht nie genutzt wird, sollte es abgeschafft werden; wenn es missbraucht wird oder mit einem Vorfall in Verbindung steht, sollte es verschärft werden.

In der Praxis bedeutet das in der Regel:

  • Keine Profile mit der Option „Standardmäßig globale Administratorrechte für alles“.
  • Klare Abgrenzung nach Kunde, Umfeld und Funktion.
  • Ein sichtbarer Unterschied zwischen Menschen, die können view sensible Daten und diejenigen, die können Übernehmen kritische Systeme.

Wenn Sie Ihre Rollen, Eskalationswege und Überprüfungsintervalle in ISMS.online dokumentieren und tatsächliche Überprüfungsprotokolle und Tickets anhängen, schaffen Sie eine lebendige Dokumentation, die sowohl ISO 27001 als auch den Sicherheitsanforderungen Ihrer Kunden gerecht wird.

Setzen Sie MFA dort ein, wo ein Kompromiss katastrophal wäre – und leiten Sie den Zugriff über diese Punkte.

Die separate Verwaltung von MFA in jedem einzelnen Mandanten und Tool ist nicht skalierbar. Konzentrieren Sie sich stattdessen auf Folgendes:

  • MSP-kontrollierte Engpässe:
  • Identitätsanbieter / Verzeichnis.
  • RMM- und Fernzugriffsplattformen.
  • Cloud-Management-Ebenen und wichtige Administrationskonsolen.
  • VPN, Zero-Trust oder Jump-Hosts vor den Kundennetzwerken.
  • Routingregeln:
  • „Jeder privilegierte Zugriff muss mindestens einen vom Managed Service Provider (MSP) kontrollierten MFA-Prüfpunkt durchlaufen.“
  • „Lokale Ausnahmen in Kundenobjekten werden dokumentiert, begründet und überprüft.“

Mit dieser Vorgehensweise können Sie sowohl Prüfern als auch Kunden völlig ungerührt Folgendes sagen:

Kein Techniker kann die Produktionsumgebung eines Kunden erreichen, ohne mindestens ein starkes, vom Managed Service Provider (MSP) kontrolliertes Authentifizierungsgateway zu durchlaufen.

Wenn Sie dies mit Konfigurationsexporten, Richtlinienreferenzen und in ISMS.online gespeicherten Testaufzeichnungen untermauern können, hören Sie auf, über Screenshots von Grenzfällen zu streiten, und beginnen, über eine kohärente Kontrollstrategie zu sprechen.

Wie sollten Managed Service Provider (MSPs) RMM-Plattformen und gemeinsam genutzte Administratorkonten explizit in den Geltungsbereich von ISO 27001 einbeziehen?

Man tut es, indem man sie behandelt als erstklassige, risikoreiche Vermögenswerte in Ihrem ISMS, und nicht als „IT-Tools“, die irgendwie außerhalb der formalen Governance stehen.

RMM sollte wie ein kritisches System und nicht nur wie eine Komfortfunktion behandelt werden.

Für jede RMM- oder Fernzugriffsplattform sollten Sie Folgendes nachweisen können:

  • Anlagenregistrierung und Risikoverknüpfung:
  • Es erscheint in Ihrem Anlagenverzeichnis als kritische Komponente mit privilegiertem Zugriff.
  • Es steht im Zusammenhang mit Risiken in den Bereichen Fernzugriff, Lieferkette und Automatisierung.
  • Es hat einen identifizierten Eigentümer und einen technischen Verwalter.
  • Kontrollabdeckung:
  • Zugriffsverwaltung: benannte Konten, MFA, Rollendefinitionen.
  • Protokollierung und Überwachung: Wer hat was auf welchen Endpunkten oder Mandanten wann getan?
  • Änderungsmanagement: Wie Konfigurationen und Skripte genehmigt und bereitgestellt werden.
  • Lieferantenüberwachung: Was Sie prüfen und überwachen, wenn es sich bei der Plattform um eine SaaS-Plattform handelt.
  • Konfiguration, die auf Ihr Modell abgestimmt ist:
  • Die Rollen im RMM spiegeln Ihr RBAC-Design wider (z. B. Service Desk vs. Tier 2 vs. Plattformadministrator).
  • Gefährliche Funktionen (Massenskripte, Registry-Bearbeitung, Rechteerweiterung) sind auf klar definierte Rollen beschränkt.
  • Die Bereitstellung und Entfernung von Agenten sind kontrollierte Vorgänge, die nicht von jedermann ausgelöst werden können.

Wenn all dies mit Ihren Richtlinien und Risikoregistern in ISMS.online verknüpft ist, können Sie ruhige und transparente Gespräche mit Kunden führen, die über RMM-basierte Lieferkettenangriffe gelesen haben und nun Details statt Zusicherungen wünschen.

Gemeinsame Konten und Notfallkonten sollten besonders im Fokus stehen.

Sofern noch allgemeine oder Notfallkonten existieren, werden diese nicht versteckt, sondern transparent verwaltet:

  • Pflegen Sie a Kurzformat, Blocksatz solche Konten:
  • Warum jeder einzelne von ihnen existiert.
  • Wo es eingesetzt werden kann.
  • Wem gehört es und wer bewertet es?
  • Legen Sie sie in eine sicheres Passwort oder Geheimnisspeicher:
  • Zugriff nur über namentlich genannte Logins.
  • Mit protokolliertem Check-out und Check-in.
  • Mit Rotation nach einem festgelegten Zeitplan oder nach Gebrauch.
  • Verwendung mit der Kette dokumentierte Szenarien:
  • Schwerwiegende Vorfälle und bekannte, zeitlich begrenzte Wartungsfenster.
  • Vorübergehende Umgehungslösungen, falls Anbieter keine benannten Konten unterstützen – mit einem Plan zur erneuten Überprüfung.
  • Überprüfen Sie das Register regelmäßig:
  • Entfernen Sie Konten, die nicht mehr gerechtfertigt sind.
  • Verschärfen Sie die Bedingungen dort, wo Sie Abweichungen oder Überbeanspruchung festgestellt haben.

Prüfer und Kunden wissen, dass die Einschränkungen von Anbietern und veraltete Systeme real sind. Sie sind weniger besorgt über die Existenz gemeinsam genutzter Konten als vielmehr darüber, ob Sie die Kontrolle darüber nachweisen und stetige Fortschritte bei der Reduzierung der Abhängigkeit davon erzielen können. ISMS.online bietet Ihnen eine Plattform, um die Tresorverfahren, Notfallpläne, Überprüfungen und Risikobehandlungen zu einem stimmigen Gesamtbild zu verknüpfen.

Welche spezifischen Nachweise für die Zugriffskontrolle gemäß ISO 27001 sollte ein Managed Service Provider (MSP) ohne große Umstände vorlegen können?

Denken Sie in zwei Kategorien: wie Sie den Zugang zur Arbeit gestaltet haben und wie man beweisen kann, dass es tatsächlich so funktioniertISO 27001-Auditoren – und erfahrene Kunden – werden in der Regel beides prüfen.

Designartefakte: So soll Ihr Zugriffsmodell funktionieren

Folgendes sollten Sie griffbereit haben:

  • Ein einzelner Zugriffskontrollrichtlinie dass:
  • Dies gilt eindeutig sowohl für Ihr internes Umfeld als auch für die Kundenobjekte, mit denen Sie in Kontakt stehen.
  • Nennt die wichtigsten Prinzipien (Prinzip der minimalen Berechtigungen, Funktionstrennung, Multi-Faktor-Authentifizierung an Zugangspunkten).
  • Weist Verantwortlichkeiten zu und legt Überprüfungsfrequenzen fest.
  • Eine prägnante Rollen- und Gruppenkatalog dass:
  • Listet jede Rolle auf und gibt an, wo sie zutrifft (intern, beim Kunden oder beides).
  • Beschreibt typische Aktivitäten und den Systemumfang.
  • Weist jeder Rolle einen Verantwortlichen zu.
  • Prozeduren / Runbooks: für kritische Aktivitäten:
  • Onboarding-, Rollenwechsel- und Offboarding-Prozesse (einschließlich Auftragnehmer).
  • Gewährung, Änderung und Entzug privilegierter Zugriffsrechte.
  • Sichere Verwendung von RMM und anderen Fernzugriffstools.
  • Aktivierung und Überprüfung des Notfallzugangs / des Zugangs über die Glasscheibe.

Es müssen keine Hochglanzdokumente sein. Sie müssen jedoch einheitlich, auffindbar und mit Ihren Risikobewertungen und den Kontrollmaßnahmen gemäß Anhang A in ISMS.online verknüpft sein.

Betriebsaufzeichnungen: Wie sie im Alltag funktionieren

Um zu zeigen, dass Ihr Design lebendig ist, müssen Sie damit rechnen, dass die Prüfer Stichproben nehmen:

  • Zugriffsanfrage-/Genehmigungsprotokolle:
  • Tickets oder Workflow-Einträge, aus denen hervorgeht, wer den Zugriff angefordert hat, was benötigt wurde, wer ihn genehmigt hat und für welche Rolle.
  • Beispiele für Joiner-Mover-Leaver-Prozesse:
  • Nachweise dafür, dass Konten rechtzeitig erstellt, angepasst und gelöscht werden, auch in Kunden-Tenants und Drittanbieterportalen.
  • Zugriff auf die Ergebnisse der Überprüfung:
  • Berichte oder Protokolle für regelmäßige Überprüfungen zu folgenden Themen:
  • IdP / Verzeichnisgruppen.
  • RMM und privilegierte Gruppen.
  • Hochrisiko-Kundenumgebungen.
  • Konfigurationsnachweise:
  • Screenshots oder Exporte von:
  • MFA / Regeln für bedingten Zugriff.
  • RMM-Rollen- und Berechtigungssätze.
  • Mitgliedschaft in der Administratorgruppe.
  • Protokolle und Zusammenfassungen:
  • Genug, um die Frage zu beantworten, ohne neue Arbeit:
  • „Welche privilegierten Accounts gibt es heute?“
  • „Wer hat diese RMM-Funktion letzte Woche genutzt?“
  • „Wie würden Sie eine ungewöhnliche Nutzung eines Ingenieurkontos erkennen?“

Eine einfache interne Übung, die oft Schwachstellen aufdeckt, besteht darin, einen Ingenieur auszuwählen und die Überprüfung anhand von Live-Artefakten durchzuführen, die in ISMS.online gespeichert sind:

  • Wie ihr Zugang beantragt und genehmigt wurde.
  • Auf welche internen und Kundensysteme sie zugreifen können.
  • Wann wurde dieser Zugriff zuletzt überprüft?
  • Wie Sie den Missbrauch ihres Kontos erkennen und damit umgehen würden.

Wenn diese Geschichte leicht nachzuvollziehen ist und die Beweise tatsächlich aktuell sind, haben Sie gute Chancen auf die ISO 27001-Zertifizierung und die damit oft verbundenen strengeren Sicherheitsüberprüfungen durch die Kunden.

Wie kann ein Managed Service Provider (MSP) die Zutrittskontrolle nach ISO 27001-Standard so gestalten, dass Kunden sie aktiv schätzen und dafür bezahlen?

Man macht es, indem man Bringen Sie Ihre Zugangsrichtlinien in jedes ernsthafte Kundengespräch ein. – von Angebotsanfragen bis hin zu Quartalsberichten – und indem sie Dienstleistungen anbieten, die diese Disziplinen auf ihre eigene Seite des Zauns ausdehnen.

Beantworten Sie die drei Zugangsfragen, die Kunden insgeheim beschäftigen.

Die meisten sicherheitsbewussten Käufer wünschen sich klare Antworten auf folgende Fragen:

  1. Wer in Ihrer Organisation kann unsere kritischen Systeme verändern?
  2. Wie behält man die Kontrolle über diese Zugriffsrechte, wenn Mitarbeiter hinzukommen, umziehen oder das Unternehmen verlassen?
  3. Was geschieht in der Praxis, wenn ein Konto missbraucht oder kompromittiert wird?

Nutzen Sie Ihre bisherigen Arbeiten für ISO 27001, um souverän antworten zu können:

  • Teile ein einseitiges Zugriffsdiagramm:
  • Wie Ihre Techniker auf ihre Umgebung zugreifen (IdP → RMM → Cloud-Portal / VPN).
  • Wo das Außenministerium seinen Sitz hat.
  • Hier finden Protokollierung und Überwachung statt.
  • Bereitstellung einer widerstandsfähigen kurze, leserfreundliche Rollentabelle, Zum Beispiel:
Rollen Typischer Zugangsbereich Überprüfen Sie die Häufigkeit
Service Desk Standard-Benutzerunterstützung, kein direkter Administrator Vierteljährliches
Tier-2-Ingenieur Administratorrechte für zugewiesene Mandanten Vierteljährliches
Security Analyst Protokolle, Warnmeldungen, Tools für die Vorfallbearbeitung, eingeschränktes RMM Monatlich
Plattform-Ingenieur RMM-Konfiguration, Integrationen, keine Kundendaten Monatlich
  • Verwenden Sie eine klare Sprache, die Ihren ISMS.online-Dokumenten entnommen ist:
  • „So gehen wir bei der Einarbeitung und dem Ausscheiden von Ingenieuren vor.“
  • „So unterscheiden wir Routinearbeiten von risikoreichen Änderungen.“
  • „So überprüfen wir privilegierte Zugriffsrechte jedes Quartal.“

Wenn potenzielle Kunden sehen, dass Sie ruhig und mit entsprechenden Belegen über Zugriffsrechte sprechen können, heben sie sich oft von Managed Service Providern ab, die nur sagen können: „Wir haben MFA“ und „Wir sind ISO-zertifiziert“, ohne Details zu nennen.

Integrieren Sie die Zugriffsverwaltung in die Kontoverwaltung und die Services, nicht nur in die Audits.

Damit die Zugriffsverwaltung zu einem Teil Ihres Wertschöpfungspotenzials wird und nicht nur eine lästige Pflicht im Backoffice darstellt, integrieren Sie sie in Ihre Kontoverwaltung:

  • Fügen Sie einen kurzen Abschnitt „Zugriff und Identität“ zu regelmäßigen Serviceüberprüfungen:
  • Änderungen der MSP-Identitäten mit Zugriffsrechten.
  • Datum und Ergebnisse der letzten Zugriffsprüfung.
  • Abgeschlossene Sicherheitsmaßnahmen (z. B. Stilllegung generischer Konten, Verschärfung der Rollen).
  • Angebot Zusatzleistungen, die Ihre eigenen Fachgebiete widerspiegeln:
  • Überprüfung des kontrollierten Zugriffs auf die eigenen Mitarbeiter des Kunden und auf Drittanbieter.
  • Unterstützung bei der Entwicklung von RBAC/ABAC-Modellen für ihre Geschäftsbereiche und SaaS-Plattformen.
  • Unterstützung bei der Einführung von MFA, bedingtem Zugriff und privilegierten Zugriffsarbeitsplätzen.

Hier stärkt eine Plattform wie ISMS.online unauffällig Ihre Positionierung. Wenn alle Ihre zugangsbezogenen Risiken, Richtlinien, Diagramme, Verfahren, Tickets, Überprüfungen und Protokolle an einem Ort zusammengefasst sind, wird es selbstverständlich:

  • Geben Sie Vertriebs- und Kundenbetreuern die Sicherheit, mit Kunden über Zugangsfragen zu sprechen.
  • Erstellen Sie konsistente, faktengestützte Antworten auf Sicherheitsfragebögen.
  • Zeigen Sie, dass Ihr ISO 27001-Zertifikat ein lebendiges System widerspiegelt und nicht nur eine jährliche Formalität.

Kunden wollen nicht nur ein ISO-Zertifikat; sie wollen das Gefühl haben, dass Ihre Techniker eine sichere Erweiterung ihres eigenen Teams sind. Die Zugriffsverwaltung zu einem sichtbaren und wiederholbaren Bestandteil Ihrer Vertriebs- und Leistungsprozesse zu machen, ist einer der effektivsten Wege, diesen Status zu erreichen – und sich gegenüber einem günstigeren, aber weniger disziplinierten Wettbewerber zu behaupten.

Mark Sharron

Mark Sharron leitet die Strategie für Suche und generative KI bei ISMS.online. Sein Schwerpunkt liegt auf der Vermittlung der praktischen Umsetzung von ISO 27001, ISO 42001 und SOC 2 – der Verknüpfung von Risiken mit Kontrollen, Richtlinien und Nachweisen mit auditfähiger Rückverfolgbarkeit. Mark arbeitet mit Produkt- und Kundenteams zusammen, um diese Logik in Arbeitsabläufe und Webinhalte zu integrieren und Unternehmen dabei zu helfen, Sicherheit, Datenschutz und KI-Governance sicher zu verstehen und nachzuweisen.

Twitter

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.