- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

Zugriffskontrolle: Unerlaubten Zugriffen auf der Spur

Wer hat welche Zugriffe auf Daten im Unternehmen? Darf derjenige überhaupt zugreifen? Schaffen Sie Ordung per Zugriffskontrolle! Denn sie ist unabdingbar, um die Sicherheit der Verarbeitung unter der Datenschutz-Grundverordnung (DSGVO) zu gewähleisten.

Bei der Umsetzung der Datenschutz-Grundverordnung stehen zahlreiche Anpassungen im Bereich der Datensicherheit an.

Wer seine Sicherheits-Maßnahmen bisher an den verschiedenen Datenschutz-Kontrollen wie der Zugriffskontrolle ausgerichtet hat, wird feststellen, dass die Grundverordnung diese Kontrollen nicht so nennt – wohl aber das neue Bundesdatenschutzgesetz (BDSG-neu).

Darüber hinaus schließt die Sicherheit der Verarbeitung [1] in der DSGVO grundsätzlich ein, dass Zugriffskontrollen weiterhin wichtig und erforderlich sind.

Unerlaubte Zugriffe verhindern

Zum einen ist es schlicht logisch, Zugriffe, die ohne Berechtigung erfolgen, zu erkennen und abzuwehren. Sonst lässt sich eine unrechtmäßige Verarbeitung personenbezogener Daten nicht verhindern.

Zum anderen hängen viele Sicherheits-Maßnahmen, die die DSGVO fordert, mit der Zugriffskontrolle zusammen:

Schutz vor internen und externen Angreifern

Geht es darum, vertrauliche Daten vor unerlaubten Zugriffen zu schützen, denken viele zuerst und oftmals ausschließlich an externe Angreifer.

Aber auch die Nutzer der eigenen IT-Systeme könnten Daten lesen, kopieren, verändern oder löschen, obwohl sie dies nicht dürfen. Diese Nutzer können die eigenen Mitarbeiterinnen oder Mitarbeiter sein oder Geschäftspartner, die Zugriffsrechte haben. Diese sogenannten Innentäter gelten sogar als ein besonders hohes Datenrisiko.

Berechtigungs-Management prüfen

Unternehmen müssen deshalb ihr Berechtigungs-Management sehr sorgfältig prüfen. Und zwar nicht nur einmal, sondern fortlaufend.

Das Berechtigungs-Management ist jedoch selbst bei kleinen Unternehmen kompliziert. Denn schon bei wenigen Nutzern sind viele Anwendungen und Geräte in Betrieb. Und zwar mit steigender Tendenz, denkt man an die mobilen Endgeräte und das Internet of Things (IoT) [3].

Zudem muss ein Berechtigungs-Management dynamisch sein. Denn die Aufgaben und Rollen der Nutzer ändern sich und sind oft zeitlich befristet. Die Abbildung im Berechtigungs-System kommt häufig kaum hinterher. So ist es nicht verwunderlich, dass es zu viele, abgelaufene und fehlerhafte Berechtigungen gibt. Sie schwächen die Zugriffskontrolle oder hebeln sie gar aus.

Berechtigungen checken

Prüfen Sie bei der Zugriffskontrolle, ob das Berechtigungs-Konzept stimmig und aktuell ist. Rein manuell ist das allerdings kaum zu bewerkstelligen.

Gute Lösungen aus dem Bereich IAM (Identity and Access Management) unterstützen bei der Kontrolle der Berechtigungen und Rollen:

Wie bei allen Templates und Mustern denken Sie allerdings daran, dass ein Tool immer nur nach Abweichungen von definierten Regeln sucht. Gibt es zum Beispiel die Regel „Administrator Anwendung soll nicht Administrator Netzwerk sein“ nicht, brauchen Sie sie aber, müssen die Regeln nachbearbeitet werden.

Prüfen Sie zudem die Prüfergebnisse der Tools immer stichprobenartig nach. So arten Lücken im Prüfmodul nicht zu Lücken im Berechtigungs-Management aus.

Die Checkliste fasst die Punkte zusammen, an die Sie bei der Prüfung der Zugriffskontrolle denken sollten.


Download:


Oliver Schonschek
Oliver Schonschek, Diplom-Physiker, ist IT-Fachjournalist und IT-Analyst.