27. April 2015 - Methoden für die Datenschutzkontrolle, Teil 2

Zugriffskontrolle: Unerlaubten Zugriffen auf der Spur

Wenn vermehrt auf vertrauliche Daten zugegriffen wird, geht es nicht unbedingt um eine externe Attacke, sondern oftmals um die eigenen Mitarbeiter, die im Berechtigungsmanagement falsch eingestuft wurden. Nutzen Sie Tools, um fehlerhafte Berechtigungen aufzuspüren.

Zugriffskontrolle geht nicht ohen Berechtigungskonzept Hat jeder nur die Berechtigungen und damit Zugriffe auf Daten, die er haben sollte? (Bild: valdum/iStock/Thinkstock)

Nicht nur Hacker greifen unerlaubt zu

Wenn es darum geht, vertrauliche Daten vor unerlaubten Zugriffen zu schützen, denken viele zuerst und oftmals auch ausschließlich an externe Angreifer. Aber auch die Nutzer der eigenen IT-Systeme könnten Daten lesen, kopieren, verändern oder löschen, obwohl sie dies gar nicht dürften. Diese Nutzer können die eigenen Mitarbeiter sein oder aber Geschäftspartner, denen Zugriffsrechte eingeräumt wurden.

Systemberechtigungen und Zugriffsberechtigungen genauer unterscheiden

Das Bundesdatenschutzgesetz (BDSG) fordert im Rahmen der technisch-organisatorischen Maßnahmen für die Zugriffskontrolle ausdrücklich, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können. Die Zugriffskontrolle lässt sich deshalb nicht allein dadurch gewährleisten, nur eine definierte Gruppe externer Nutzer zuzulassen und alle anderen über die Firewall zu blockieren. Die Zugriffskontrolle erfordert eine ganz genaue Sicht auf diejenigen, die eine Systemberechtigung haben.

Berechtigungen müssen regelmäßig überprüft werden

Das Berechtigungsmanagement ist selbst in kleinen Unternehmen schon kompliziert:

  • Selbst bei wenigen Nutzern können viele Anwendungen und Geräte in Betrieb sein.
  • Zudem muss ein Berechtigungsmanagement dynamisch sein. Denn die Aufgaben und Rollen der Nutzer ändern sich und sind oftmals auch zeitlich befristet.
  • Zusätzlich werden laufend neue Anwendungen und Geräte eingesetzt, andere wieder außer Betrieb genommen. Die Abbildung im Berechtigungssystem kommt häufig kaum hinterher.

So ist es nicht verwunderlich, dass es zu viele, abgelaufene und fehlerhafte Berechtigungen gibt, die die Zugriffskontrolle schwächen oder sogar aushebeln.

Zugriffskontrolle bedeutet immer auch, Berechtigungen zu checken

Neben der technischen Absicherung der Zugriffswege muss bei der Zugriffskontrolle das Berechtigungskonzept auf Stimmigkeit und Aktualität geprüft werden. Rein manuell ist dies kaum zu bewerkstelligen. Gute Lösungen aus dem Bereich IAM (Identity and Access Management) unterstützen deshalb bei der Kontrolle der Berechtigungen. Sie haben Module und Funktionen, die bei der Definition neuer Rollen und Berechtigungen sowie bei deren Vergabe nach Konflikten zwischen den Rechten suchen. Zudem bieten diese Werkzeuge an, nach abgelaufenen Berechtigungen zu suchen, oftmals sogar automatisch im gewählten zeitlichen Abstand und mit Warnung an definierte Personen.

Prüftools helfen, müssen aber selbst geprüft werden

Manche IAM-Tools bieten bereits im Standard Prüfroutinen und Berichte an, die geradezu ideal für die Zugriffskontrolle erscheinen. Wie bei allen Templates und Mustern sollten Sie allerdings daran denken, dass ein Tool immer nur nach Abweichungen von definierten Regeln suchen kann. Wenn es zum Beispiel die Regel „Administrator Anwendung soll nicht Administrator Netzwerk sein“ nicht gibt, Sie diese aber brauchen, müssen die Regeln nachbearbeitet werden.

Zudem sollten Sie die Ergebnisse der Tools immer auch stichprobenartig nachprüfen, damit Lücken im Prüfmodul nicht zu Lücken im Berechtigungsmanagement ausarten können.

Die aktuelle Checkliste fasst nochmals die Punkte zusammen, an die Sie bei der Prüfung der Zugriffskontrolle denken sollten. Schließlich soll der Datenschutz im Griff sein, nicht aber der komplette Datenbestand im Zugriff.


Download:


Oliver Schonschek
Oliver Schonschek, Diplom-Physiker, ist IT-Fachjournalist und IT-Analyst.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln