2. März 2009 - Wer darf was?

Berechtigungskonzept: Die wasserdichte Prüfung

Der Zugriff auf Unternehmensdaten muss geschützt werden – dies ist sicherlich die Kernaussage jedes Unternehmens. Viele Administratoren klagen jedoch über ein undurchsichtiges Berechtigungskonzept und Ausnahmeregelungen bzw. haben schon komplett den Überblick verloren. Wie sind die Daten sinnvoll zu schützen, und wie prüfen Sie als DSB ein datenschutzkonformes Berechtigungskonzept?

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

„Ein Berechtigungskonzept beschreibt ein System, in dem die Nutzung von Ressourcen nicht uneingeschränkt möglich ist, sondern es erfolgt je Benutzer und Ressource eine genaue Definition der Nutzung“, soweit Wikipedia.

Doch wie eine sinnvolle und nachvollziehbare Umsetzung eines Berechtigungskonzepts erfolgen kann, darüber schweigt auch Wikipedia.

Ein einheitliches System wäre die Ideallösung für ein gutes Berechtigungskonzept

Ideal wäre, auch im Sinne einer nachvollziehbaren Datenschutz-Prüfung, wenn es nur ein System und ein gut strukturiertes Berechtigungskonzept im Unternehmen geben würde. Das ist angesichts der unterschiedlichen IT-Strukturen leider noch Fiktion.

Vielfältige IT-Stukturen und ebenso vielfältige Arbeitsweisen

Jedes System erfordert eine eigene Betrachtungsweise. Zudem arbeiten die zuständigen Administratoren in ihrem Aufgabengebiet erfahrungsgemäß jeweils ein bisschen anders.

Ihr Prüfauftrag: Schwerpunkt auf die personenbezogenen Daten

Es ist nicht einfach, im Unternehmen das Berechtigungskonzept zu prüfen. Ihr eigentlicher Prüfauftrag liegt zudem schwerpunktmäßig darauf, zu verhindern, dass personenbezogene Daten von Unberechtigten gelesen oder manipuliert werden können.

Als DSB zwischen den Fronten

Kommen Sie mit Ihrer Prüfanfrage zum Berechtigungskonzept in die Fachabteilung, wird vermutlich erst einmal die Nase gerümpft. Mein Sicherheitskonzept ist in Ordnung – läuft schon über Jahre – noch keiner hat sich beschwert – was wollen Sie?

Klären Sie daher zunächst auf, weshalb Sie an dem Berechtigungskonzept interessiert sind.

Erstellen Sie ein Prüfkonzept

Bevor Sie an die „Front“ gehen, ist es ratsam, sich mit dem zu prüfenden System vertraut zu machen. Als Beispiel sei die Kontrolle eines Berechtigungskonzepts für ein Entgeltabrechnungssystem vorgestellt.

Anzeige

Datenschutz online

Tipp der Redaktion: Datenschutz online – der umfassende Ratgeber für den öffentlichen und nichtöffentlichen Bereich

Neben tiefergehenden Beiträgen zur Umsetzung eines Berechtigungskonzepts bietet Datenschutz Online lückenlose Informationen im Bereich Datenschutz zum Nachlesen, als Arbeitshilfen, in Form von kommentierten Urteilen uvm.

Mehr zu Datenschutz online


Kritische Fragen zum Berechtigungskonzept – auf was achten?

Erstellen Sie sich Notizen, um bei der Prüfung vor Ort nicht in Fettnäpfchen zu treten. Wenn Sie zu ahnungslos an eine Zugriffskontrolle herangehen, wird Ihnen nicht selten ein Flopp als ein Topp verkauft, soll heißen, der Admin wickelt Sie um den Finger.

Weisen Sie eine durchdachte Struktur bei den Kontrollfragen vor, haben Sie den Respekt Ihres Gesprächspartners schon halb gewonnen.

1. Prüfschritt Berechtigungskonzept: Benutzeraccount

Ein strukturiertes Berechtigungskonzept beginnt bei der Neudefinition eines Users. Ein Benutzerkonto, egal in welchem System, muss mit einem starken Kennwort ausgestattet sein.

Prüfen Sie also, ob folgende Einstellungen bei der Benutzerdefinition gesetzt wurden:

  • Kennwortlänge (größer/gleich 6 Zeichen)
  • automatisierte Kennwortalterung (weniger als 60 Tage)
  • Aufbau des Passworts (Groß-/Kleinschreibung, Sonderzeichen, Zahlen); keine Trivialpasswörter
  • Sperre bereits verwendeter Passwörter

Das beste Berechtigungskonzept nützt dem Datenschutz nichts, wenn sich ein unberechtigter Nutzer mit einem Trivialkennwort oder einer allgemeinen unternehmensspezifischen Zugangskennung als X-beliebiger Benutzer authentifizieren kann.

2. Prüfschritt Berechtigungskonzept: Erlauben Sie auf gar keinen Fall Gruppenuser

Nicht selten machen es sich die Verantwortlichen aus der IT einfach und definieren ein oder zwei Gruppenuser für die Anwendung. Die Mitarbeiter nehmen heute mal diesen und morgen jenen Benutzeraccount.

An eine nachvollziehbare „Eingabekontrolle“ nach § 9 BDSG und Anlagen ist so nicht zu denken. Empfehlenswert daher: konsequent verbieten und auf einer namensbezogenen Authentifizierung bestehen!

3. Prüfschritt Berechtigungskonzept: Funktionsrollen

Idealerweise werden Berechtigungen in Form von Funktionsrollen vergeben. Eine Rollenberechtigung ist wesentlich leichter zu handhaben, v.a. bei Änderung der Aufgaben eines Benutzers. Im Fall der Entgeltabrechnung würden u.a. folgende Prüfschritte anfallen:

  • dedizierte Zugriffsvergabe bei Mehrmandanten­systemen bzw. Abrechnungskreisen
  • Rollendefinition mit Rollenbeschreibung und entsprechenden Zugriffsregelungen prüfen
  • Berechtigung zur Stammdatenänderung im Personalsatz
  • eingeschränkte Schreib- und Leseberechtigung für besondere Datenfelder (Gehalts- bzw. Stundensätze)
  • Datenimportfunktion
  • Zugriff auf Änderungs- und Logprotokolle

4. Prüfschritt Berechtigungskonzept: Vertretungsregelungen

Allzu oft gibt es keine sinnvolle Vertretungsregelung. Nicht selten wird der Benutzeraccount des Kollegen verwendet. Achten Sie darauf, dass jede Rolle möglichst zweimal zugeteilt wurde.

5. Prüfschritt Berechtigungskonzept: Batch-Anwendungen

Gerade bei der Personalabrechnung sind umfangreiche Batchläufe notwendig, um monatlich Daten zu verarbeiten und z.B. eine abschließende Lohn- und Gehaltsabrechnung zu erstellen.

Hier gilt es zudem zu prüfen, wer Batchläufe starten darf oder ob Regelungen für den Printoutput getroffen wurden. Weiter ist der datenschutzkonforme Datentransfer z.B. an die Sozialkassen zu prüfen.

Es gibt kein Patentrezept für Berechtigungskonzepte

Sie sehen am Beispiel der Entgeltabrechnung, welch umfangreiche Dantschutz-Kontrollen im Hinblick auf ein Berechtigungskonzept nötig sind. Selbst für dieses Standardverfahren gibt es kein Patentrezept.

Mit den aufgezeigten Grundschritten sollten Sie jedoch in der Lage sein, weit komplexere Systeme wie z.B. SAP-Module zu prüfen. Viel Erfolg!

Hermann Keck

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln