IT-Sicherheit

Hand legt Buchstaben in ein Leuchtfeld mit dem Text „Conflict of Interest“ – Symbolbild für Interessenskonflikt und fehlende Aufgabentrennung in der Informationssicherheit

Aufgabentrennung in der Informationssicherheit nach ISO 27001 – Interessenskonflikte erkennen und vermeiden

Geschrieben von: Yanick Röhricht

18. August 2025

Ein wirksames Informationssicherheitsmanagementsystem (ISMS) lebt nicht nur von Technik, Richtlinien und Zertifizierungen, sondern vor allem von klaren Verantwortlichkeiten und einer durchdachten Sicherheitsorganisation. Genau hier setzt das Prinzip der Aufgabentrennung nach ISO 27001 an. ISO/IEC 27001:2024 greift diese Anforderung in Control 5.3 auf und verlangt, dass widersprüchliche oder konfliktträchtige Aufgaben klar voneinander getrennt werden.

Das Ziel dieser Anforderung ist klar: Wer eine sicherheitsrelevante Handlung vornimmt – sei es in der IT-Sicherheit, bei der Datenverarbeitung oder in der Systemadministration – darf diese nicht gleichzeitig kontrollieren oder genehmigen. Diese Trennung schützt nicht nur vor menschlichen Fehlern, Interessenskonflikten und bewusstem Missbrauch, sondern ist auch eine Voraussetzung für Auditfähigkeit, NIS-2-Konformität und den Schutz sensibler Daten gemäß DSGVO.

In diesem Beitrag zeigen wir praxisnah, warum das Prinzip der Aufgabentrennung so entscheidend für die Informationssicherheit ist, wie Unternehmen es auch mit begrenzten Ressourcen umsetzen können und warum es für externe Informationssicherheitsbeauftragte, Datenschutzbeauftragte und Auditoren eine zentrale Rolle spielt.


Inhaltsverzeichnis

Was fordert ISO 27001 Control 5.3  zur Aufgabentrennung konkret?

Die ISO/IEC 27001:2024 Control 5.3 verlangt im Hinblick auf die Aufgabentrennung :

  • Trennung von widersprechenden Aufgaben, z. B. Administration und Kontrolle,
  • Vermeidung von Interessenskonflikten, durch organisatorische und prozessuale Trennung,
  • Zuweisung von Aufgaben nach dem Vier-Augen-Prinzip,
  • technische und organisatorische Vorkehrungen, wenn personelle Trennung nicht möglich ist (z. B. Logging, Monitoring),
  • regelmäßige Überprüfung, ob bestehende Strukturen ausreichen.

In einfachen Worten: Niemand sollte in einer Position sein, in der er eigene Fehler vertuschen oder eigene Entscheidungen unkontrolliert durchsetzen kann.

Was ist mit “ Aufgabentrennung “ nach ISO 27001 gemeint?

Aufgabentrennung (auch: Funktionstrennung oder Segregation of Duties) bedeutet, dass kritische Aufgaben in Teilaufgaben zerlegt und auf verschiedene Rollen verteilt werden. Ziel ist es, dass keine einzelne Person die komplette Kontrolle über sicherheitsrelevante Prozesse hat:

Beispiele:

  • Die Person, die eine Firewall konfiguriert, darf nicht gleichzeitig das Logging kontrollieren.
  • Wer Software-Updates freigibt, sollte diese nicht selbst einspielen.
  • Administrative Rechte dürfen nicht dauerhaft bei Entwicklerrollen liegen.

Gerade bei der Umsetzung der NIS-2-Richtlinie und des NIS-2-Umsetzungsgesetzes gewinnt diese Maßnahme stark an Bedeutung.

Ziele der Aufgabentrennung nach ISO 27001

  • Reduktion von Missbrauchsrisiken (z. B. bei privilegierten Zugängen),
  • Stärkung der Kontrollmechanismen,
  • Sicherstellung von Objektivität und Transparenz,
  • Vermeidung von Interessenkonflikten,
  • Erfüllung gesetzlicher und regulatorischer Anforderungen (z. B. DSGVO, BDSG, NIS-2, DORA).
  • Vorbereitung auf ISO27001-Audits und Zertifizierungen.

Checkliste: So vermeiden Sie Interessenskonflikte in der Informationssicherheit

Damit eine wirksame und auditfeste Aufgabentrennung gelingt, braucht es strukturierte Prozesse und klare Zuweisungen. Die folgende Checkliste zeigt auf, welche organisatorischen und technischen Maßnahmen Unternehmen etablieren sollten – ob im Mittelstand oder Konzern, ob mit internem oder externem Informationssicherheitsbeauftragten:

Anforderung
Kritische Aufgaben wurden identifiziert und analysiert.
Konfliktpotenziale bei Aufgabenüberschneidung wurden bewertet.
Aufgaben mit hohem Missbrauchspotenzial sind organisatorisch getrennt.
Es gibt dokumentierte Rollenbeschreibungen.
Vier-Augen-Prinzip ist etabliert (z. B. bei IT-Changes, Berechtigungsvergabe).
Technische Kontrollen (z. B. Logging, Alerts) sichern Prozesse zusätzlich ab.
Regelmäßige Reviews überprüfen Wirksamkeit der Trennung.

Risiken ohne Aufgabentrennung nach ISO 27001

Fehlt die Trennung von Aufgaben im Unternehmen, entsteht schnell eine gefährliche Grauzone. Sicherheitslücken, Missbrauchsrisiken und Kontrollverluste können die Folge sein – mit direkten Auswirkungen auf Datenschutz, IT-Sicherheit und die Einhaltung gesetzlicher Vorgaben wie der DSGVO oder NIS-2:

  • Manipulation: Einzelpersonen können unkontrolliert Systeme oder Daten ändern.
  • Vertuschung: Eigene Fehler oder Verstöße bleiben unentdeckt.
  • Rechtsverstöße: Fehlende Kontrollmechanismen können gegen DSGVO, NIS-2 oder DORA verstoßen.
  • Image- und Vertrauensverlust bei Kunden, Partnern und Prüfbehörden.
  • Auditfeststellungen durch ISO-Prüfer oder Aufsichtsbehörden.

So setzen Sie die Aufgabentrennung nach ISO 27001 praktisch um

Damit Aufgabentrennung nicht nur als Grundsatz existiert, sondern tatsächlich im Unternehmen gelebt wird, braucht es konkrete Maßnahmen, klare Zuständigkeiten und dokumentierte Prozesse. Die folgende Übersicht zeigt, wie Sie Control 5.3 in der Praxis umsetzen können:

MaßnahmeBeschreibung
Aufgaben analysierenWelche Aufgaben dürfen nicht in einer Hand liegen?
Rollen definierenAufgaben auf unterschiedliche Rollen und Bereiche verteilen.
Technische Kontrollen etablierenLogging, Alerting, Monitoring bei nicht trennbaren Aufgaben.
Vier-Augen-Prinzip umsetzenZ. B. bei administrativen Änderungen oder Freigaben.
Schulung der MitarbeitendenSensibilisierung für Trennung von Aufgaben und deren Zweck.
Regelmäßige KontrollePrüfen, ob Rollenverteilung und technische Kontrollen wirksam sind.

Dokumentation und Umsetzung im ISMS

Damit Aufgabentrennung nicht nur als theoretisches Prinzip im Raum steht, sondern Teil eines lebendigen Informationssicherheits-Managementsystems (ISMS) ist, muss sie dokumentiert, gesteuert und regelmäßig überprüft werden. Die folgenden Punkte zeigen, wie Sie Control 5.3 konkret im ISMS abbilden:

  • Definition im Rollen- und Berechtigungskonzept,
  • Nennung im SoA (Statement of Applicability) unter Control 5.3,
  • Verlinkung zu Change-Management- und Berechtigungsprozessen,
  • Protokollierung technischer Überwachungsmaßnahmen,
  • Dokumentation von Ausnahmen inkl. Begründung und Kompensationsmaßnahmen.

 Relevanz der Informationssicherrollen für DSGVO, NIS-2 & Co

  • DSGVO: Art. 32 verlangt angemessene organisatorische Schutzmaßnahmen. Trennung von Aufgaben reduziert Missbrauchsrisiken bei Datenzugriffen.
  • NIS-2-Richtlinie und NIS-2-Umsetzungsgesetz: Erwartet klare Verantwortlichkeiten und risikobasierte Sicherheitskontrollen – insbesondere im Bereich IT-Sicherheit und Informationssicherheit.
  • CRA (Cyber Resilience Act): Produktentwicklung und Sicherheitsfreigabe sollten nicht in denselben Händen liegen.
  • DORA: Klare Governance- und Kontrollstrukturen sind Pflicht. Aufgabentrennung ist ein zentrales Prinzip bei ICT-Risikomanagement.

Auch externe Informationssicherheitsbeauftragte und externe Datenschutzbeauftragte müssen sicherstellen, dass Trennung von Funktionen dokumentiert und kontrolliert wird.

Fazit – Aufgabentrennung und Interessenskonflikte

Aufgabentrennung ist kein bürokratisches Hindernis, sondern ein Kernelement wirksamer Informationssicherheit und IT-Sicherheit. Sie verhindert Kontrollverlust, reduziert Haftungsrisiken und stärkt das Vertrauen in sicherheitsrelevante Prozesse. Besonders im Kontext der NIS-2-Richtlinie, des NIS-2-Umsetzungsgesetzes und der DSGVO ist sie unverzichtbar.

Ein gut dokumentiertes und implementiertes Kontrollsystem auf Basis des ISMS – idealerweise mit Unterstützung eines externen Informationssicherheitsbeauftragten – erhöht nicht nur die Resilienz, sondern auch die Auditfähigkeit nach ISO27001.

Vor allem mit Blick auf das NIS-2-Umsetzungsgesetz, die DSGVO oder DORA ist die konsequente Aufgabentrennung mehr als Best Practice – sie ist regulatorische Pflicht. Unternehmen, die hier sauber dokumentieren und kontrollieren, stärken ihre Auditfähigkeit, reduzieren Haftungsrisiken und erhöhen langfristig ihre Datensicherheit.

Unternehmen, die das Prinzip der Funktionstrennung ernst nehmen, schaffen nachhaltige Datensicherheit und werden regulatorischen Anforderungen gerecht – ob im Mittelstand oder im Konzern.

FAQ: Aufgabentrennung nach ISO 27001

Was bedeutet Aufgabentrennung im Kontext der ISO 27001?

Aufgabentrennung bedeutet, dass sicherheitskritische Tätigkeiten wie Konfiguration, Freigabe und Kontrolle nicht von einer einzigen Person durchgeführt werden dürfen. Das verhindert Interessenskonflikte und schützt vor Missbrauch – ein zentrales Prinzip in ISO 27001 Control 5.3.

Warum ist Aufgabentrennung für die IT-Sicherheit so wichtig?

Weil sie verhindert, dass Einzelpersonen unkontrollierte Macht über Systeme, Daten oder Prozesse erhalten. Das schützt vor internen Bedrohungen und reduziert die Angriffsfläche.

Was ist das Verbot der Selbstkontrolle?

Eine Person darf sicherheitsrelevante Maßnahmen nicht selbst umsetzen und gleichzeitig kontrollieren – z. B. Adminrechte vergeben und deren Einsatz selbst prüfen.

Welche Aufgaben sollten im Unternehmen zwingend getrennt sein?

Klassische Beispiele sind: Systemadministration und Monitoring, Entwicklung und Produktivfreigabe, Benutzeranlage und Rechtevergabe.

Was fordert ISO 27001 konkret zur Aufgabentrennung?

Die Norm verlangt organisatorische und technische Maßnahmen zur Trennung widersprüchlicher Aufgaben. Diese müssen dokumentiert und überprüfbar sein.

Wie hilft Aufgabentrennung bei der Einhaltung der DSGVO?

Sie stärkt die Datenintegrität und verhindert unbefugte Zugriffe – zentrale Anforderungen aus Art. 32 DSGVO zur Sicherheit der Verarbeitung.

Ist die Aufgabentrennung auch im NIS-2-Umsetzungsgesetz vorgeschrieben?

Ja. Die NIS-2-Richtlinie und das deutsche NIS-2-Umsetzungsgesetz fordern explizit Governance-Strukturen mit klaren Zuständigkeiten – Aufgabentrennung ist ein Kernelement.

Was passiert, wenn Aufgabentrennung im Unternehmen fehlt?

Es drohen Sicherheitsvorfälle, Compliance-Verstöße, Auditfeststellungen und im Ernstfall Bußgelder – etwa durch DSGVO- oder NIS-2-Verstöße.

Wer ist verantwortlich für die Umsetzung der Aufgabentrennung?

In der Regel das ISMS-Team oder der Informationssicherheitsbeauftragte – oft unterstützt durch interne oder externe IT- und Datenschutzbeauftragte.

Kann ein externer Informationssicherheitsbeauftragter bei der Umsetzung helfen?

Ja. Ein externer Informationssicherheitsbeauftragter bringt Fachwissen und Erfahrung mit, um Aufgabentrennung sicher, effizient und auditfähig zu gestalten.

Was ist der Unterschied zwischen Interessenskonflikt und fehlender Trennung?

Ein Interessenskonflikt entsteht, wenn eine Rolle zu viel Macht über Sicherheitsentscheidungen hat. Fehlende Trennung begünstigt solche Konflikte.

Wie prüft man, ob Aufgaben richtig getrennt sind?

Durch Rollenanalysen, Verantwortlichkeitsmatrizen (z. B. RACI), Auditberichte und technische Kontrollmechanismen wie Protokollierung und Vier-Augen-Freigabe.

Welche Rolle spielt die Funktionstrennung bei der ISO 27001-Zertifizierung?

Eine dokumentierte Aufgabentrennung ist oft ein Prüfschwerpunkt im ISO-Audit – bei Nichterfüllung drohen Abweichungen.

Wie lässt sich Aufgabentrennung bei wenig Personal umsetzen?

Die Geschäftsleitung sollte eine Leitlinie zur Informationssicherheit. Mit technischen Kontrollen wie Protokollierung, Alerting, automatischen Eskalationen und externen Prüfinstanzen.

Was bedeutet Segregation of Duties (SoD)?

Der englische Begriff für Aufgabentrennung – in vielen Standards und Audits ein Pflichtkriterium für sichere Betriebsprozesse.

Wie wird Aufgabentrennung im ISMS dokumentiert?

Über Rollen- und Berechtigungskonzepte, das Statement of Applicability (SoA), Verfahrensanweisungen und Auditprotokolle.

Wie oft muss die Wirksamkeit der Trennung überprüft werden?

Mindestens jährlich oder bei Veränderungen der Organisation, IT-Struktur oder regulatorischer Anforderungen wie NIS-2.

Was ist, wenn sich Aufgaben trotz Trennung überschneiden?

In diesem Fall müssen Kompensationsmaßnahmen (z. B. Monitoring, zusätzliche Freigabestufen) dokumentiert und begründet werden.

Gibt es Branchen, in denen die Aufgabentrennung besonders relevant ist?

Ja. Besonders kritisch ist sie im Finanzsektor (DORA), in der öffentlichen Verwaltung (IT-SiG), im Gesundheitswesen und in KRITIS-Unternehmen.

Welche Rolle spielt der externe Datenschutzbeauftragte bei der Kontrolle der Aufgabentrennung?

Er prüft regelmäßig, ob datenschutzrelevante Prozesse unabhängig und nachvollziehbar sind – und ob Risiken durch Interessenskonflikte bestehen.

UNVERBINDLICHES UND KOSTENLOSES ERSTGESPRÄCH VEREINBAREN

ÜBER DEN AUTOR

Yanick Röhricht

Yanick Röhricht ist Senior Consultant bei ALPHATECH Consulting. Als Berater unterstützt er Unternehmen bei der Umsetzung gesetzlicher Datenschutzvorgaben sowie beim Aufbau eines Informationssicherheits-Managements. Als Wirtschaftsjurist (LL.M.) und mit Zertifizierungen als Datenschutzbeauftragter (TÜV) und IT-Sicherheitsbeauftragter (DGI) verfügt er über fundierte Fachkenntnisse und langjährige Erfahrung in diesem Bereich.

Mehr zu diesem Thema erfahren

Verwandte Blogbeiträge

Kontaktieren Sie uns!
Gerne beantworten wir Ihre Fragen zum Thema Datenschutz und IT-Sicherheit.

Hier unverbindlich anfragen

Ihr Ansprechpartner

Yanick Röhricht LL.M.

Zertifizierter Datenschutzbeauftragter (TÜV), zertifizierter Informationssicherheitsbeauftragter (DGI)

ALPHATECH
Consulting GmbH

Mainzer Straße 75
65189 Wiesbaden

Telefon

+49 611 445 010 04

e-mail

kontakt@alphatech-consulting.de

Wir arbeiten zertifiziert

Social Media