Berechtigungsprozess

Der Berechtigungsprozess, auch als Entitlement-Prozess bekannt, beschreibt die Gesamtheit der Regeln, Verfahren und Kontrollen zur Vergabe, Änderung, Prüfung und Entziehung von Zugriffsrechten auf Informationssysteme, Anwendungen, Daten und Ressourcen. Ziel ist der Schutz sensibler Informationen, die Minimierung von Risiken durch Fehl- oder Missbrauch und die Erfüllung regulatorischer Anforderungen.

Anwendungsbereich umfasst IT-Umgebungen, On-Premise- und Cloud-Dienste, Anwendungen, Datenbanken und Netzwerkressourcen. Berechtigungen richten sich nach Rollen, Gruppen

Zu den Akteuren gehören Antragsteller, Vorgesetzte, Fachbereiche, IT-Sicherheit bzw. Identity- und Access-Management-Teams, Compliance sowie Auditoren.

Typische Phasen: Bedarfsermittlung und Antrag, Prüfung und Freigabe, Bereitstellung (Provisioning), Betrieb und Monitoring, Entzug bzw. Anpassung,

Wichtige Modelle und Kontrollen: RBAC, ABAC, Time-bound Access, Mehrfaktor-Authentisierung, Least Privilege, Separation of Duties (SoD). Geeignete

Herausforderungen: veraltete Rollen, zu umfangreiche Berechtigungen, unvollständige Dokumentation, komplexe Cloud-Umgebungen. Gute Praxis: klare Richtlinien, regelmäßige Rechten-Reviews,

Relevante Normen und Regelwerke: DSGVO, ISO/IEC 27001, IT-Grundschutz, SOC 2. Ein gut implementierter Berechtigungsprozess unterstützt Compliance