24. November 2010 - Zugangskontrolle: Ein weites Feld

Das zweite Gebot: Die Zugangskontrolle

Die Zugangskontrolle soll verhindern, dass Unbefugte DV-Anlagen benutzen können. Es geht dabei um die Frage der Identifikation und der anschließenden Authentifikation. Die Zugangskontrolle hat auch das Ziel, einen externen Zugang zu DV-Anlagen, etwa aus dem Internet, zu unterbinden. Ein schier grenzenloses Kontrollfeld für den Datenschutzbeauftragten!

das-zweite-gebot-die-zugangskontrolle.jpeg
Ein wichtiges Instrument der Zugangskontrolle sind Passwörter (Bild: Thinkstock)

Nach dem ersten Gebot der Zutrittskontrolle führt die Anlage zu § 9 BDSG als zweites Gebot die Zugangskontrolle auf. Sie soll „verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können“.

Definition der Zugangskontrolle

Mit Zugangskontrolle ist die Verhinderung einer Nutzung von Anlagen gemeint, mit denen personenbezogene Daten verarbeitet werden. Es geht also darum, dass nur befugte Personen Zugang zu DV-Anlagen erhalten.

Vorsicht, Verwechslungsgefahr

Oft wird die Zugangskontrolle allerdings verwechselt. Die Kontrolle, dass befugte Personen DV-Anlagen nur im Rahmen ihrer Berechtigungen nutzen, ist Aufgabe der Zugriffskontrolle.

Keine Passwörter „verleihen“!

Der zu kontrollierende Bereich aus Nr. 2 der Anlage zu § 9 BDSG zur Zugangskontrolle beginnt beim Einschalten der Datenverarbeitungsanlage und beim Hochfahren des Systems.

Kern einer korrekten Datensicherungsmaßnahme ist es, unberechtigte Zugriffe zu verhindern. Jeder Benutzer muss sich daher für den Zugang auf IT-Systeme identifizieren und authentifizieren. Das oft praktizierte „Ausleihen“ von Benutzeraccounts, z.B. während der Urlaubsvertretung, muss grundsätzlich verboten werden.

Prüfen Sie die Passwortqualität

Kontrollieren Sie als Datenschutzbeauftragter die betrieblichen Regelungen zur Passwortvergabe. Wer darf Kennwörter vergeben oder ändern? Prüfen Sie auch gleich die Qualität der Kennwörter wie Passwortlänge, Verwendung von Ziffern und Sonderzeichen, Anwendung der Groß-/Kleinschreibung, regelmäßiger Passwortwechsel sowie Sperrung bei wiederholter Fehleingabe. Zudem sollten Benutzerinfos über den korrekten Umgang mit Passwörtern existieren. Wichtig: Die Weitergabe von Passwörtern an Kollegen darf keinesfalls erlaubt sein!

Geben Sie mobile Geräte stets nur verschlüsselt heraus

Das Gebot der Zugangskontrolle ist z.B. auch für den sicheren Zugang zu mobilen Geräten anzuwenden. Notebooks, auf denen personenbezogene Daten gespeichert sind, sollten nur noch mit aktiver Datenverschlüsselung an Nutzer ausgegeben werden. Sofern es sich auf den Mobilgeräten gar um Daten nach § 42a BDSG handelt, ist ein wirksames Data-Loss-Prevention-(DLP-)Verfahren zwingend.

Sind sichere Übertragungstechniken im Einsatz?

Das Thema sicherer Übertragungstechniken in Verbindung mit der Zugangskontrolle ist ein weites Feld. Prüfen Sie doch mal in Ihrem Unternehmen, welche Datenkategorien und -felder ungeschützt transferiert werden!

E-Mails mit Mitarbeiterdaten und Bankinformationen werden noch zu oft ohne jegliche Sicherungsmaßnahmen an den Steuerberater oder externe Unternehmen zur Personalabrechnung gesendet. Dass dabei der Transfer über eine „Postkarte“ erfolgt, sollte inzwischen hinlänglich bekannt sein.

Schutz vor Viren & Co. gehören auch zur Zugangskontrolle

Zum Stand der Technik in der Datenverarbeitung ist ein aktiver Virenscanner mittlerweile unerlässlich. Dass hierbei auch das Thema Zugangskontrolle tangiert wird, sollte der Datenschutzbeauftragte bedenken. Denn schleusen infizierte Dateien über ungesicherte Systeme schädlichen Code ein, untergräbt das die Bemühungen, zu verhindern, dass Unbefugte die Datenverarbeitungssysteme nutzen.

Abschottung nach außen

Eine Firewall dient der Beschränkung sowie der Regelung der Netzwerkzugriffe, um den unberechtigten Zugriff von außen auf Unternehmenssysteme zu verhindern. Doch Vorsicht, die Funktion einer Firewall besteht nicht darin, Angriffe zu erkennen!

Bildschirmsperre immer aktivieren

Ein so lapidares Thema wie eine automatische Bildschirmsperre bei längerem Inaktivsein sollte eine Selbstverständlichkeit sein, um neugierige Blicke zu verhindern.

Eine Tastenkombination oder ein Mausklick vor Verlassen des Arbeitsplatzes schützt vertrauliche Informationen und wahrt die Zugangskontrolle. Dass die Reaktivierung des Bildschirms nur per Kennwort durchgeführt werden darf, versteht sich von selbst.

(Nicht) offen für Ausgeschiedene

Scheiden Mitarbeiter aus dem Unternehmen aus, wird des Öfteren die Deaktivierung der Zugangsberechtigungen vernachlässigt. Eine zeitnahe Sperrung der Befugnisse ist jedoch zwingend notwendig!

Berechtigungen kontrollieren

Außerdem sollte man im Zuge der Zugangskontrolle regelmäßig die Gültigkeit von Berechtigungen kontrollieren. Bisweilen werden im Rahmen von Urlaubsvertretungen erweiterte Zugriffsrechte erteilt. Auf die Rücknahme nach Beendigung der Vertretungsphase wird die Administration in den seltensten Fällen aufmerksam gemacht.

Maßnahmen-Checkliste

Die Checkliste der notwendigen Kontroll- und Dokumentationsmaßnahmen ist selbstverständlich nicht vollständig. Prüfen und ergänzen Sie die Liste entsprechend Ihren betrieblichen Erfordernissen.

Hermann Keck
Hermann Keck ist externer Datenschutzbeauftragter.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln