Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Ratgeber
15. Mai 2019

Zugriffskontrolle: Unerlaubten Zugriffen auf der Spur

Gratis
Zugriffskontrolle: Unerlaubten Zugriffen auf der Spur
Bild: valdum / iStock / Thinkstock
0,00 (0)
DSGVO und Datenschutz-Kontrollen
Wer hat welche Zugriffe auf Daten im Unternehmen? Darf derjenige überhaupt zugreifen? Schaffen Sie Ordung per Zugriffskontrolle! Denn sie ist unabdingbar, um die Sicherheit der Verarbeitung unter der Datenschutz-Grundverordnung (DSGVO) zu gewähleisten.

Bei der Umsetzung der Datenschutz-Grundverordnung stehen zahlreiche Anpassungen im Bereich der Datensicherheit an.

Wer seine Sicherheits-Maßnahmen bisher an den verschiedenen Datenschutz-Kontrollen wie der Zugriffskontrolle ausgerichtet hat, wird feststellen, dass die Grundverordnung diese Kontrollen nicht so nennt – wohl aber das neue Bundesdatenschutzgesetz (BDSG-neu).

Darüber hinaus schließt die Sicherheit der Verarbeitung in der DSGVO grundsätzlich ein, dass Zugriffskontrollen weiterhin wichtig und erforderlich sind.

Unerlaubte Zugriffe verhindern

Zum einen ist es schlicht logisch, Zugriffe, die ohne Berechtigung erfolgen, zu erkennen und abzuwehren. Sonst lässt sich eine unrechtmäßige Verarbeitung personenbezogener Daten nicht verhindern.

Zum anderen hängen viele Sicherheits-Maßnahmen, die die DSGVO fordert, mit der Zugriffskontrolle zusammen:

  • Zu der geforderten Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste bei der Verarbeitung auf Dauer sicherzustellen, gehört es, erlaubte und unerlaubte Zugriffe zu erkennen und entsprechend zu behandeln.
  • Auch die Verschlüsselung von personenbezogenen Daten dient der Kontrolle der Zugriffe.
  • Bei den Sicherheits-Maßnahmen muss der Verantwortliche laut DSGVO die Risiken berücksichtigen, die mit der Verarbeitung verbunden sind. Das betrifft insbesondere Risiken durch Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten.

Schutz vor internen und externen Angreifern

Geht es darum, vertrauliche Daten vor unerlaubten Zugriffen zu schützen, denken viele zuerst und oftmals ausschließlich an externe Angreifer.

Aber auch die Nutzer der eigenen IT-Systeme könnten Daten lesen, kopieren, verändern oder löschen, obwohl sie dies nicht dürfen. Diese Nutzer können die eigenen Mitarbeiterinnen oder Mitarbeiter sein oder Geschäftspartner, die Zugriffsrechte haben. Diese sogenannten Innentäter gelten sogar als ein besonders hohes Datenrisiko.

Berechtigungs-Management prüfen

Unternehmen müssen deshalb ihr Berechtigungs-Management sehr sorgfältig prüfen. Und zwar nicht nur einmal, sondern fortlaufend.

Das Berechtigungs-Management ist jedoch selbst bei kleinen Unternehmen kompliziert. Denn schon bei wenigen Nutzern sind viele Anwendungen und Geräte in Betrieb. Und zwar mit steigender Tendenz, denkt man an die mobilen Endgeräte und das Internet of Things (IoT).

Zudem muss ein Berechtigungs-Management dynamisch sein. Denn die Aufgaben und Rollen der Nutzer ändern sich und sind oft zeitlich befristet. Die Abbildung im Berechtigungs-System kommt häufig kaum hinterher. So ist es nicht verwunderlich, dass es zu viele, abgelaufene und fehlerhafte Berechtigungen gibt. Sie schwächen die Zugriffskontrolle oder hebeln sie gar aus.

Berechtigungen checken

Prüfen Sie bei der Zugriffskontrolle, ob das Berechtigungs-Konzept stimmig und aktuell ist. Rein manuell ist das allerdings kaum zu bewerkstelligen.

Gute Lösungen aus dem Bereich IAM (Identity and Access Management) unterstützen bei der Kontrolle der Berechtigungen und Rollen:

  • Sie haben Module und Funktionen, die bei der Definition neuer Rollen und Berechtigungen sowie bei der Vergabe von Berechtigungen und Rollen nach Konflikten zwischen den Rechten suchen.
  • Zudem bieten diese Werkzeuge an, nach abgelaufenen Berechtigungen zu suchen, oftmals sogar automatisch im gewählten zeitlichen Abstand und mit Warnung an definierte Personen.
  • Manche IAM-Tools bieten bereits im Standard Prüfroutinen und Berichte an, die ideal für die Zugriffskontrolle sind.

Wie bei allen Templates und Mustern denken Sie allerdings daran, dass ein Tool immer nur nach Abweichungen von definierten Regeln sucht. Gibt es zum Beispiel die Regel „Administrator Anwendung soll nicht Administrator Netzwerk sein“ nicht, brauchen Sie sie aber, müssen die Regeln nachbearbeitet werden.

Prüfen Sie zudem die Prüfergebnisse der Tools immer stichprobenartig nach. So arten Lücken im Prüfmodul nicht zu Lücken im Berechtigungs-Management aus.

Die Checkliste fasst die Punkte zusammen, an die Sie bei der Prüfung der Zugriffskontrolle denken sollten.


Download:


Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek

Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.

Er wurde als einer der „Top 50 Global Thought Leaders and Influencers on Privacy“ sowie mehrfach als Influencer und Media Leader für Technologien wie Blockchain, AI, VR / AR und Mobile Computing ausgezeichnet. Seine Spezialgebiete sind Datenschutz, Datensicherheit, IT-Sicherheit, Business & IT.

Kontakt:

http://www.schonschek.de

0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen.