Drittzugriffe sollten wie zeitlich begrenzte Lifecycle-Identitäten behandelt werden. Das bedeutet klare Start- und Endpunkte, dokumentierte Verantwortlichkeit und ein verlässlicher Offboarding-Prozess, sobald die Zusammenarbeit endet. Ohne diese Disziplin bleiben externe Zugänge länger aktiv als der eigentliche Bedarf.
Warum Drittzugriffe in Bauprojekten sicherheitsrelevant sind
Drittzugriffe in Bauprojekten wirken oft temporär, verhalten sich aber sicherheitstechnisch wie langlebige Identitäten mit hohem Risiko. Subunternehmer, Planungsbüros, IT-Dienstleister und Gerätehersteller erhalten häufig Zugriff auf Projektportale, Dokumentenräume, Fernwartungskanäle und APIs. Sobald diese Zugriffe nicht sauber an Rollen, Aufgaben und Enddaten gebunden sind, entsteht ein offener Pfad für unbemerktes Weiterwirken nach Projektabschluss.
Für die Bewertung ist entscheidend, dass nicht nur Menschen, sondern auch Servicekonten, Integrationen und Automationszugriffe mitgedacht werden. Das ist ein klassischer NHI-Fall: Zugriff ist nur dann vertretbar, wenn Start, Zweck, Umfang und Offboarding nachvollziehbar dokumentiert sind. NHI Mgmt Group weist darauf hin, dass 92% der Organisationen NHIs an Dritte exponieren, was die Lieferkette direkt in die Sicherheitsbewertung einbezieht. Ergänzend betont das NIST Cybersecurity Framework 2.0 die Notwendigkeit sauberer Zugriffsverwaltung und kontinuierlicher Kontrolle.
In der Praxis fallen Drittzugriffe oft erst auf, wenn ein Lieferant das Projekt schon längst verlassen hat, statt durch einen geplanten Entzug im Rahmen des Offboarding erkannt zu werden.
Wie Organisationen Drittzugriffe praktisch bewerten und steuern
Eine belastbare Bewertung beginnt mit der Frage, ob der Drittzugriff wirklich notwendig ist oder nur aus Bequemlichkeit bestehen bleibt. Danach folgt eine Klassifizierung nach Kritikalität: Welche Systeme werden berührt, welche Daten sind betroffen, welche Aktionen sind erlaubt und ob der Zugriff lesen, schreiben, konfigurieren oder administrieren darf. Genau hier hilft ein NHI-orientierter Blick, weil nicht der Vertrag allein zählt, sondern der konkrete technische Zugriff.
Bewährt hat sich ein zeitlich begrenztes Modell mit klaren Kontrollen:
- Jeder Drittzugriff erhält einen benannten Eigentümer, einen geschäftlichen Zweck und ein Enddatum.
- Zugriffe werden auf das Minimum reduziert und bevorzugt just-in-time vergeben.
- Geheimnisse, Tokens und API-Schlüssel werden separat verwaltet und nach Projektende sofort widerrufen.
- Remote-Zugriffe auf Baustellen- oder Projektinfrastruktur werden protokolliert und regelmäßig rezertifiziert.
- Offboarding ist ein Pflichtschritt, kein nachgelagerter Sonderfall.
Das passt zu den Erkenntnissen aus dem Ultimate Guide to NHIs, der Lifecycle-Kontrolle, Rotation und Offboarding als Kernanforderungen beschreibt. Die operative Logik ist einfach: Drittzugriffe sollten wie temporäre Identitäten behandelt werden, nicht wie dauerhafte Benutzerkonten. Für die übergeordnete Governance liefert auch die NIST Cybersecurity Framework 2.0 eine brauchbare Struktur, insbesondere für Identifikation, Schutz und laufende Überwachung.
Diese Kontrollen brechen typischerweise dort auf, wo mehrere Nachunternehmer über gemeinsam genutzte Konten, geteilte Fernwartung oder unklare Verantwortlichkeiten auf dasselbe Bauvorhaben zugreifen.
Grenzfälle, typische Fehler und sinnvolle Ausnahmen
Strengere Drittzugriffskontrollen erhöhen den administrativen Aufwand, besonders in Bauprojekten mit vielen Beteiligten, wechselnden Gewerken und engen Zeitfenstern. Die Aufgabe besteht darin, Risiko und Projektdynamik auszubalancieren, ohne aus Bequemlichkeit Ausnahmewege zu normalisieren.
Ein häufiger Sonderfall sind kurzfristige Notfalleinsätze, etwa bei Ausfällen von Zutritts- oder Gebäudetechnik. Hier kann ein kurzfristig erweiterter Zugriff gerechtfertigt sein, aber nur mit dokumentierter Freigabe, kurzer TTL und nachgelagerter Überprüfung. Ein weiterer Grenzfall sind Integrationen zwischen Projektmanagement, BIM-Plattformen und IoT oder OT-nahen Systemen. Dort reicht klassisches Benutzer-IAM nicht aus, weil auch Maschinenkonten, Schnittstellen und Automationen bewertet werden müssen. Für diese Fälle ist der Stand der Praxis noch nicht einheitlich, aber aktuelle Guidance spricht klar für Zero-Trust-nahe Kontrollen, getrennte Geheimnisverwaltung und regelmäßige Rezertifizierung.
Besonders wichtig ist die Trennung zwischen vertraglicher Beziehung und technischem Zugriff. Ein laufender Vertrag ist kein Beleg dafür, dass Zugriff noch nötig ist. Umgekehrt muss jeder Ausnahmepfad genauso sauber beendet werden wie der Standardzugang. Der Ultimate Guide to NHIs zeigt, dass fehlende Offboarding-Prozesse und schlecht verwaltete Secrets eine der häufigsten Ursachen für fortbestehende Risiken sind.
Standards & Framework Alignment
This section maps relevant standards and security frameworks to the operational risks and controls described in this guidance.
OWASP Non-Human Identity Top 10 address the attack and risk surface, while NIST CSF 2.0 and NIST AI RMF set the governance and control requirements practitioners need to meet.
| Framework | Control / Reference | Relevance |
|---|---|---|
| OWASP Non-Human Identity Top 10 | NHI-03 | Drittzugriffe brauchen sauberes Offboarding und Rotation von Secrets. |
| NIST CSF 2.0 | PR.AC-4 | Third-party access is an access-management and least-privilege issue. |
| NIST AI RMF | The AI RMF governance logic fits temporary, accountable access decisions. |
Treat each third-party access as a bounded NHI lifecycle and revoke it immediately at project end.