PERS.2.3 — Rollentrennung
SOLLTE
Security level: normal-SdT
Effort 3
BSI-Stand-der-Technik-Kernel
Statement (Anforderung)
Personal SOLLTE für unvereinbare Aufgaben eine Rollentrennung verankern.
Guidance (Erläuterung)
Bei einer Aufgabentrennung (Separation of Duties) werden miteinander in Konflikt stehende Aufgaben und Verantwortlichkeitsbereiche getrennt, um die Möglichkeiten zu unbefugter oder unbeabsichtigter Änderung oder zum Missbrauch zu reduzieren. Unvereinbar sind zwei Aufgaben insbesondere, wenn zwischen ihnen (1.) ein Interessenkonflikt oder (2.) ein erhöhtes Risiko für Datenmissbrauch vorliegt. (1.) Interessenkonflikte können z.B. die Auditierung der eigenen Aufgaben oder der Ergebnisse von Vorgesetzten sein. (2.) Ein erhöhtes Risiko für Datenmissbrauch liegt z.B. vor, wenn sowohl Rechnungsstellung als auch -genehmigung in einer Hand liegen.
Tags:
Insider Threat
Statement properties
| Name | Value |
|---|---|
| documentation | Geschäftsverteilungsplan |
| result | für unvereinbare Aufgaben eine Rollentrennung |
| action_word | verankern |
| modal_verb | SOLLTE |
Control properties
| Name | Value |
|---|---|
| alt-identifier | e21a20ee-0e0c-4e42-b2fd-9849257bf3da |
| sec_level | normal-SdT |
| effort_level | 3 |
| tags | Insider Threat |
Framework mappings
this control ↔ the corresponding control in each framework (toggle per framework in Settings)
Auto-generated similarity matches — orientation only, verify before use. The score is the text-similarity confidence, not an authoritative crosswalk.
| Framework | Mapped control | Mapped control title | Match |
|---|---|---|---|
| GitHub Security Controls 🐙 | GH-IAM-01 | SSO via corporate IdP | |
| GitHub Security Controls 🐙 | GH-IAM-02 | MFA enforced | |
| NIS2 🇪🇺 | Art. 21(2)(j) | MFA enforced | |
| BSI: IT-Grundschutz-Kompendium 🇩🇪 | ORP.4 (requirement IDs to pin) | MFA enforced | |
| ISO 27001:2013 & 27001:2022 🌐 | A.5.17; A.8.5 | MFA enforced | |
| GitHub Security Controls 🐙 | GH-IAM-03 | Managed user lifecycle | |
| GitHub Security Controls 🐙 | GH-IAM-04 | Deprovisioning and recertification | |
| GitHub Security Controls 🐙 | GH-IAM-05 | Team-based access only | |
| GitHub Security Controls 🐙 | GH-IAM-06 | Outside collaborator control | |
| GitHub Security Controls 🐙 | GH-IAM-07 | PAT governance | |
| GitHub Security Controls 🐙 | GH-IAM-08 | Deploy key hygiene | |
| GitHub Security Controls 🐙 | GH-IAM-09 | GitHub Apps instead of bot users | |
| GitHub Security Controls 🐙 | GH-IAM-10 | Network access control |
Sub-controls
- PERS.2.3.1 Rollentrennung - Verzeichnisdienst
- PERS.2.3.2 Rollentrennung - Virtualisierung
- PERS.2.3.3 Rollentrennung - Audits
- PERS.2.3.4 Rollentrennung - Änderungen und Tests
Raw OSCAL JSON (complete control)
{
"class": "BSI-Stand-der-Technik-Kernel",
"controls": [
{
"class": "BSI-Stand-der-Technik-Kernel",
"id": "PERS.2.3.1",
"parts": [
{
"id": "PERS.2.3.1_stm",
"name": "statement",
"props": [
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Geschäftsverteilungsplan"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "zwischen Administration von Verzeichnisdiensten und Pflege der verwalteten Daten eine Rollentrennung"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "verankern"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "SOLLTE"
}
],
"prose": "Personal SOLLTE zwischen Administration von Verzeichnisdiensten und Pflege der verwalteten Daten eine Rollentrennung verankern."
},
{
"id": "PERS.2.3.1_gdn",
"name": "guidance",
"prose": "Administrierende von Verzeichnisdiensten haben sehr weitreichende Rechte, einschließlich der Möglichkeit, Zugangskontrollen zu ändern. Durch eine Rollentrennung wird verhindert, dass eine Person die vollständige Kontrolle über die angebundene Infrastruktur und die Dateninhalte übernimmt. Dies reduziert das Risiko vorsätzlicher und fahrlässiger Schäden an zentraler Stelle."
}
],
"props": [
{
"name": "alt-identifier",
"value": "8cfe386c-0e94-4926-b82d-07d24441e434"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "4"
},
{
"name": "tags",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv",
"value": "Insider Threat"
}
],
"title": "Rollentrennung - Verzeichnisdienst"
},
{
"class": "BSI-Stand-der-Technik-Kernel",
"id": "PERS.2.3.2",
"parts": [
{
"id": "PERS.2.3.2_stm",
"name": "statement",
"props": [
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Geschäftsverteilungsplan"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "zwischen Administration von virtuellen Systemen und Virtualisierungslösungen eine Rollentrennung"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "verankern"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "SOLLTE"
}
],
"prose": "Personal SOLLTE zwischen Administration von virtuellen Systemen und Virtualisierungslösungen eine Rollentrennung verankern."
},
{
"id": "PERS.2.3.2_gdn",
"name": "guidance",
"prose": "Die Administration von virtuellen Systemen bezeichnet im hier relevanten Kontext die operative Verwaltung einzelner virtueller Gastsysteme (VMs, Container, etc.), einschließlich ihrer Bereitstellung, Konfiguration, Wartung und Zugriffskontrolle. Die Virtualisierungslösung hingegen ist hier die übergeordnete Plattform oder Hypervisor-Ebene, welche physische Ressourcen virtualisiert und mehreren virtuellen Gastsystemen bereitstellt. Diese Differenzierung entspricht dem Prinzip der Rollen- bzw. Funktionstrennung (separation of duties bzw. role separation), bei dem Aufgabenbereiche so abgegrenzt werden, dass keine Person gleichzeitig über kritische Systemebenen hinweg vollumfängliche Kontrolle besitzt. Damit wird ein wesentliches Sicherheitsprinzip technischer Infrastruktur auf die Virtualisierungsschichten übertragen. Der Zweck dieser Trennung liegt in der Begrenzung von Fehlerrisiken und der Prävention von Missbrauch – sowohl vorsätzlich als auch unbeabsichtigt. Eine Person, die zugleich die Virtualisierungsebene und virtuelle Systeme verwaltet, könnte durch Fehlkonfiguration, Nachlässigkeit oder Manipulation unbeabsichtigt erhebliche Auswirkungen auf eine Vielzahl von Systemen haben oder deren Nachvollziehbarkeit beeinträchtigen. Eine klare Rollentrennung kann dem vorbeugen, indem sie Kontrollmechanismen stärkt, die Integrität der Umgebung wahrt und Fehler früher erkennen lässt."
}
],
"props": [
{
"name": "alt-identifier",
"value": "e26fc4a9-c6cf-41f8-bfd7-e01cc950de47"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "4"
},
{
"name": "tags",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv",
"value": "Insider Threat"
}
],
"title": "Rollentrennung - Virtualisierung"
},
{
"class": "BSI-Stand-der-Technik-Kernel",
"id": "PERS.2.3.3",
"parts": [
{
"id": "PERS.2.3.3_stm",
"name": "statement",
"props": [
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Geschäftsverteilungsplan"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "zwischen Implementierung von Sicherheitsanforderungen und deren Überprüfung eine Rollentrennung"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "verankern"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "SOLLTE"
}
],
"prose": "Personal SOLLTE zwischen Implementierung von Sicherheitsanforderungen und deren Überprüfung eine Rollentrennung verankern."
},
{
"id": "PERS.2.3.3_gdn",
"name": "guidance",
"prose": "Fehlt eine Rollentrennung zwischen Umsetzung und Überprüfung von Sicherheitsmaßnahmen, so besteht ein Interessenkonflikt zwischen der Aufgabe korrekter Implementierung und dem Finden von weiterem Verbesserungspotenzial oder Mängeln bei einer Überprüfung."
}
],
"props": [
{
"name": "alt-identifier",
"value": "e105f038-c2ae-4411-b7bd-26d6b0188e5e"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "3"
},
{
"name": "tags",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv",
"value": "Insider Threat"
}
],
"title": "Rollentrennung - Audits"
},
{
"class": "BSI-Stand-der-Technik-Kernel",
"id": "PERS.2.3.4",
"parts": [
{
"id": "PERS.2.3.4_stm",
"name": "statement",
"props": [
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Geschäftsverteilungsplan"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "zwischen Implementierung und Test eine Rollentrennung"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "verankern"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "SOLLTE"
}
],
"prose": "Personal SOLLTE zwischen Implementierung und Test eine Rollentrennung verankern."
},
{
"id": "PERS.2.3.4_gdn",
"name": "guidance",
"prose": "Liegen Implementierung von Funktionen und Änderungen, sowie deren Test in derselben Hand, so werden Probleme durch Nachlässigkeit oder Versehen leicht übersehen."
}
],
"props": [
{
"name": "alt-identifier",
"value": "de64f532-164e-4b94-b32f-481ccc0be507"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "4"
}
],
"title": "Rollentrennung - Änderungen und Tests"
}
],
"id": "PERS.2.3",
"parts": [
{
"id": "PERS.2.3_stm",
"name": "statement",
"props": [
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Geschäftsverteilungsplan"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "für unvereinbare Aufgaben eine Rollentrennung"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "verankern"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "SOLLTE"
}
],
"prose": "Personal SOLLTE für unvereinbare Aufgaben eine Rollentrennung verankern."
},
{
"id": "PERS.2.3_gdn",
"name": "guidance",
"prose": "Bei einer Aufgabentrennung (Separation of Duties) werden miteinander in Konflikt stehende Aufgaben und Verantwortlichkeitsbereiche getrennt, um die Möglichkeiten zu unbefugter oder unbeabsichtigter Änderung oder zum Missbrauch zu reduzieren. Unvereinbar sind zwei Aufgaben insbesondere, wenn zwischen ihnen (1.) ein Interessenkonflikt oder (2.) ein erhöhtes Risiko für Datenmissbrauch vorliegt. (1.) Interessenkonflikte können z.B. die Auditierung der eigenen Aufgaben oder der Ergebnisse von Vorgesetzten sein. (2.) Ein erhöhtes Risiko für Datenmissbrauch liegt z.B. vor, wenn sowohl Rechnungsstellung als auch -genehmigung in einer Hand liegen."
}
],
"props": [
{
"name": "alt-identifier",
"value": "e21a20ee-0e0c-4e42-b2fd-9849257bf3da"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "3"
},
{
"name": "tags",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv",
"value": "Insider Threat"
}
],
"title": "Rollentrennung"
}