Berechtigungskonzept im Unternehmen richtig umsetzen

Fachbeitrag

Generell sind Unternehmen was die Vermeidung des Zugriffs auf Unternehmensdaten anbelangt, heutzutage schon recht gut sensibilisiert. Sie setzen IT-Sicherheitsmaßnahmen wie Intrusion-Detection-Systeme und Firewalls als Hürden für unberechtigte Dritte ein. Die meisten Unternehmen schützen sich hingegen nicht ausreichend gegen Gefahren von innen. Ein detailliertes schriftliches Berechtigungskonzept kann dagegen Abhilfe schaffen.

Was ist ein Berechtigungskonzept?

In einem Berechtigungskonzept werden Zugriffsregeln für einzelne Benutzer oder Benutzergruppen auf Datensätze eines IT-Systems festgelegt. Außerdem werden dort alle Prozesse, die die Umsetzung des Berechtigungskonzepts betreffen beschrieben, wie z.B. das Löschen und Erstellen von Nutzern, oder Passwortrestriktionen.

In der Regel müssen in Berechtigungskonzepten Rollen definiert werden, denen Berechtigungen erteilt oder entzogen werden können.

Über Zugriffsrechte wird geregelt, welche Person im Rahmen ihrer Funktion bevollmächtigt wird, IT-Anwendungen oder Daten zu nutzen. Die Zugriffsrechte (z. B. Lesen, Schreiben, Ausführen) auf IT-Anwendungen, Teilanwendungen oder Daten sind von der Funktion abhängig, die die Person wahrnimmt, z.B. Anwenderbetreuung, Arbeitsvorbereitung, Systemprogrammierung, Anwendungsentwicklung, Systemadministration, Revision, Datenerfassung, Sachbearbeitung. Dabei sollten immer nur so viele Zugriffsrechte vergeben werden, wie es für die Aufgabenwahrnehmung notwendig ist („Need-to-know-Prinzip“).

Wofür benötige ich es?

Sind Rollen nicht oder nur unzureichend definiert, kann es dazu führen, dass Mitarbeiter Zugriff auf Systeme und Daten erhalten, zu denen sie keine Berechtigung benötigen. Dies kann zu einer Verletzung der Vertraulichkeit und Integrität der Daten führen.

Mit einem unzureichenden Berechtigungskonzept entsteht eine unübersichtliche Zugriffslage, sodass Daten u.U. ganz unbemerkt entwendet werden können. So können z.B. Auszubildende, die während ihrer Zeit im Unternehmen verschiedene Abteilungen durchlaufen, am Ende einen ähnlichen Umfang an Zugriffsrechten erlangt haben wie der Systemadministrator. Nicht selten nimmt z.B. auch ein ausscheidender Mitarbeiter sensible Daten des Arbeitgebers mit zu seinem neuen Arbeitgeber.

Oftmals haben Administratoren jedoch in der täglichen Arbeit schlichtweg zu wenig Zeit Rollenprofile im Active Directory und in Fileservern anzulegen.

Durch die Einführung eines zentralen Berechtigungsmanagements kann man wieder den Überblick über Nutzerrollen bekommen und so auch Sicherheit erlangen, dass keine unberechtigten Zugriffe stattfinden.

Wie kann ein Berechtigungskonzept ausgestaltet sein?

Wichtig ist, das Berechtigungskonzept schriftlich zu fixieren. Ein Auszug aus dem Active Directory ist nicht ausreichend.

Im ersten Schritt empfiehlt es sich zur Erstellung eines Berechtigungskonzepts daher mit der Neudefinition von Nutzern zu beginnen.

  • Prozess für Neuanlage definieren (wie wird beantragt, wie genehmigt und wer ist zuständig für das Anlegen der neuen Nutzer)
  • Vorgaben für die Kennwörter definieren (Länge, Komplexität, Dauer der Geltung, Sperrung nach welcher Anzahl von Fehlversuchen)
  • Regelungen dazu wie Berechtigungen vergeben werden
  • Festlegen wie Berechtigungen für das System definiert sind (auf welcher Ebene greifen sie etc.)
  • Vertretungsfall berücksichtigen (zeitweise Übertragung der Rechte oder Doppelvergabe)
  • Regelungen wie das Dokument aktualisiert wird.

Was ist in der Praxis zu beachten?

Das beste Konzept bringt nichts, wenn es nicht aktuell gehalten wird. So weist auch das BSI in den Gefährdungskatalogen unter Punkt G 2.191 explizit daraufhin, dass bestehende Rollen- und Berechtigungskonzepte regelmäßig überprüft werden müssen.

Wenn ein Unternehmen aber durch ein aktuelles Berechtigungskonzept einen Überblick über die bestehenden Zugriffsrechte hat und die Rechte der einzelnen Mitarbeiter auf das notwendigste beschränkt, hält es sich sowohl an Datenschutzstandards, als auch an die Vorgaben des BSI-Grundschutzkatalogs und kann zusätzlich schnell Berechtigungsanfragen umsetzen. Gleichzeitig vermindert das Unternehmen die Gefahr des Datenverlusts von „innen“.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.