Generell sind Unternehmen was die Vermeidung des Zugriffs auf Unternehmensdaten anbelangt, heutzutage schon recht gut sensibilisiert. Sie setzen IT-Sicherheitsmaßnahmen wie Intrusion-Detection-Systeme und Firewalls als Hürden für unberechtigte Dritte ein. Die meisten Unternehmen schützen sich hingegen nicht ausreichend gegen Gefahren von innen. Ein detailliertes schriftliches Berechtigungskonzept kann dagegen Abhilfe schaffen.
Der Inhalt im Überblick
Was ist ein Berechtigungskonzept?
In einem Berechtigungskonzept werden Zugriffsregeln für einzelne Benutzer oder Benutzergruppen auf Datensätze eines IT-Systems festgelegt. Außerdem werden dort alle Prozesse, die die Umsetzung des Berechtigungskonzepts betreffen beschrieben, wie z.B. das Löschen und Erstellen von Nutzern, oder Passwortrestriktionen.
In der Regel müssen in Berechtigungskonzepten Rollen definiert werden, denen Berechtigungen erteilt oder entzogen werden können.
Über Zugriffsrechte wird geregelt, welche Person im Rahmen ihrer Funktion bevollmächtigt wird, IT-Anwendungen oder Daten zu nutzen. Die Zugriffsrechte (z. B. Lesen, Schreiben, Ausführen) auf IT-Anwendungen, Teilanwendungen oder Daten sind von der Funktion abhängig, die die Person wahrnimmt, z.B. Anwenderbetreuung, Arbeitsvorbereitung, Systemprogrammierung, Anwendungsentwicklung, Systemadministration, Revision, Datenerfassung, Sachbearbeitung. Dabei sollten immer nur so viele Zugriffsrechte vergeben werden, wie es für die Aufgabenwahrnehmung notwendig ist („Need-to-know-Prinzip“).
Wofür benötige ich es?
Sind Rollen nicht oder nur unzureichend definiert, kann es dazu führen, dass Mitarbeiter Zugriff auf Systeme und Daten erhalten, zu denen sie keine Berechtigung benötigen. Dies kann zu einer Verletzung der Vertraulichkeit und Integrität der Daten führen.
Mit einem unzureichenden Berechtigungskonzept entsteht eine unübersichtliche Zugriffslage, sodass Daten u.U. ganz unbemerkt entwendet werden können. So können z.B. Auszubildende, die während ihrer Zeit im Unternehmen verschiedene Abteilungen durchlaufen, am Ende einen ähnlichen Umfang an Zugriffsrechten erlangt haben wie der Systemadministrator. Nicht selten nimmt z.B. auch ein ausscheidender Mitarbeiter sensible Daten des Arbeitgebers mit zu seinem neuen Arbeitgeber.
Oftmals haben Administratoren jedoch in der täglichen Arbeit schlichtweg zu wenig Zeit Rollenprofile im Active Directory und in Fileservern anzulegen.
Durch die Einführung eines zentralen Berechtigungsmanagements kann man wieder den Überblick über Nutzerrollen bekommen und so auch Sicherheit erlangen, dass keine unberechtigten Zugriffe stattfinden.
Wie kann ein Berechtigungskonzept ausgestaltet sein?
Wichtig ist, das Berechtigungskonzept schriftlich zu fixieren. Ein Auszug aus dem Active Directory ist nicht ausreichend.
Im ersten Schritt empfiehlt es sich zur Erstellung eines Berechtigungskonzepts daher mit der Neudefinition von Nutzern zu beginnen.
- Prozess für Neuanlage definieren (wie wird beantragt, wie genehmigt und wer ist zuständig für das Anlegen der neuen Nutzer)
- Vorgaben für die Kennwörter definieren (Länge, Komplexität, Dauer der Geltung, Sperrung nach welcher Anzahl von Fehlversuchen)
- Regelungen dazu wie Berechtigungen vergeben werden
- Festlegen wie Berechtigungen für das System definiert sind (auf welcher Ebene greifen sie etc.)
- Vertretungsfall berücksichtigen (zeitweise Übertragung der Rechte oder Doppelvergabe)
- Regelungen wie das Dokument aktualisiert wird.
Was ist in der Praxis zu beachten?
Das beste Konzept bringt nichts, wenn es nicht aktuell gehalten wird. So weist auch das BSI in den Gefährdungskatalogen unter Punkt G 2.191 explizit daraufhin, dass bestehende Rollen- und Berechtigungskonzepte regelmäßig überprüft werden müssen.
Wenn ein Unternehmen aber durch ein aktuelles Berechtigungskonzept einen Überblick über die bestehenden Zugriffsrechte hat und die Rechte der einzelnen Mitarbeiter auf das notwendigste beschränkt, hält es sich sowohl an Datenschutzstandards, als auch an die Vorgaben des BSI-Grundschutzkatalogs und kann zusätzlich schnell Berechtigungsanfragen umsetzen. Gleichzeitig vermindert das Unternehmen die Gefahr des Datenverlusts von „innen“.
Welche Rolle sollte Ihrer Ansicht der DSB in der Erstellung/Überprüfung eines Berechtigungskonzepts einnehmen? Das „ob“ wäre ja Datenschutz, aber das „wie“, also die Ausgestaltung, eher IT Sicherheit.
Wenn ein neues System eingeführt werden soll, sollte der Datenschutzbeauftragte bereits in der Planungsphase eingebunden werden und kann hier auch das in der Planungsphase befindliche Berechtigungskonzept prüfen. Geprüft wird hierbei nicht nur das „Ob“, sondern auch das „Wie“, da auch trotz Berechtigungskonzepts eine Verletzung der Vertraulichkeit und Integrität nicht von vorneherein ausgeschlossen ist. Es kommt darauf an, wie das Berechtigungskonzept im Einzelfall ausgestaltet ist. Dass ein solches Berechtigungskonzept einzuführen ist, ergibt sich aus Art. 5 Abs. 1 lit. f, 24, 32 DSGVO. Die Pflicht des DSB zur Beratung und Überwachung ergibt sich aus Art. 39 DSGVO.