Fachbeitrag | Technischer Datenschutz 11.08.2017

Schritt für Schritt zum Berechtigungskonzept

Das Berechtigungskonzept muss abbilden, welche Zugriffe im Datenschutz jeweils erlaubt sind und welche nicht. Ist das Berechtigungskonzept zu strikt, hemmt es die Produktivität. Ist es zu lasch, sind die Daten in Gefahr. Trends wie Cloud, Mobility, Big Data und IoT machen es nicht leichter, ein solches Konzept auf die Beine zu stellen. Wir zeigen, worauf es ankommt.

Berechtigungskonzept

Die Berechtigungskonzepte sind in vielen Unternehmen lückenhaft und veraltet. Das ist für den Datenschutz und Prüfungen wie die Zugangs- und Zugriffskontrolle ein großes Problem.

Mängel im Berechtigungskonzept sind allerdings selten dadurch begründet, dass die Beteiligten die Bedeutung nicht sehen. Die Administratoren kennen sie durchaus.

Komplex und dynamisch

Doch ein Berechtigungskonzept ist komplex und unterliegt dynamischen Änderungen:

  • Die Nutzer erhalten neue Aufgaben und Rollen, wechseln die Abteilung und die Projekte.
  • Es gibt Vertretungen bei Krankheit und Urlaub.
  • Neue Nutzer kommen ins Unternehmen, andere verlassen die Firma.
  • Ähnlich ist es bei den IT-Systemen und Daten: Neue Geräte, Anwendungen und Daten kommen hinzu, alte Geräte werden verkauft, Software wird deinstalliert, Daten werden gelöscht.

Berechtigungskonzepte unterliegen noch weiteren Anforderungen, vor allem durch die neuen IT-Trends:

  • Mitarbeiter nutzen gerade mobile Endgeräte häufig betrieblich und privat (BYOD, Bring Your Own Device).
  • Zusätzlich zu den lokalen Anwendungen und Applikationen im Firmennetzwerk stehen den Nutzern Cloud-Applikationen zur Verfügung. Sie muss ein Berechtigungskonzept ebenfalls berücksichtigen.
  • Mit Industrie 4.0, Machine-to-Machine (M2M) und dem Internet of Things (IoT) steigt die direkte Vernetzung auf Geräteebene. Neben den Nutzern erhalten zunehmend Geräte Zugriffsrechte für personenbezogene Daten, die sie dann automatisiert verarbeiten.
  • Auch die IT-Sicherheit stellt neue Bedingungen: Es reicht nicht, die Berechtigungen eines Nutzers zu prüfen. Es muss eine Prüfung stattfinden, ob Mitarbeiter die Berechtigungen nicht missbrauchen (Innentäter, Insider-Attacken).

Schritt für Schritt vorgehen

Berechtigungskonzepte müssen vollständig, umfassend und aktuell sein. Keine leichte Aufgabe, aber es gelingt, wenn Ihr Unternehmen Schritt für Schritt vorgeht.

Überprüfen Sie im Rahmen der Zugangs- und Zugriffskontrolle das Berechtigungskonzept. Achten Sie darauf, ob der Ablauf, der zum Konzept führen soll, lückenlos ist und ob er regelmäßig durchlaufen wird.

Nur dann ist Ihr gewonnenes Bild  keine Momentaufnahme, sondern ein aussagekräftiges Zeichen für Datenschutz.

1. Alle Nutzer, Geräte und Anwendungen erfassen

Das erste Ziel, die Vollständigkeit des Berechtigungskonzepts,  lässt sich erst erreichen, wenn alle  Informationen im Unternehmen über Nutzer, ihre Aufgaben und Rollen, über Geräte und Anwendungen, sowohl lokal als auch im Netzwerk und in der Cloud, zusammengestellt sind.

Hier helfen Informationen wie

  • Mitarbeiterlisten,
  • Stellenprofile,
  • Projektlisten,
  • Organigramme,
  • Hardware-Listen,
  • Software-Listen und
  • Cloud-Verträge.

Denken Sie bei den Nutzern auch an solche, die keine Mitarbeiter sind, aber Zugriff bekommen müssen, etwa externe Dienstleister.

2. Digitale Identitäten abbilden

Die zu definierenden Berechtigungen werden Nutzern, Geräten und Anwendungen zugewiesen. Genauer: den zugehörigen digitalen Identitäten.

Wichtig ist, dass sich jede Person, jedes Gerät und jede Anwendung, die Zugriff auf personenbezogene Daten bekommen soll, eindeutig und sicher identifizieren lässt.

Gerade im Bereich IoT gibt es hier große Schwierigkeiten. Aber auch Maschinen brauchen eine eindeutige Identität. Sonst gerät das Berechtigungskonzept schwammig und riskant.

3. Verschiedene Zugriffsrechte aufgliedern

Bei den Zugriffsrechten reicht die Antwort „Zugriff erlaubt oder nicht“ leider nicht aus. Für ein wasserdichtes Konzept müssen Sie genau unterscheiden, ob ein Anwender nur eine Information lesen darf, ob ein Gerät Daten als Kopie vorhalten oder ob eine Applikation bestimmte Daten löschen darf.

Zu unterscheiden sind:

  • keine Berechtigung (weder erstellen, noch lesen oder ändern)
  • Lesen (Daten nur lesen)
  • Erstellen (Daten erfassen)
  • Ändern (Daten erfassen, bearbeiten sowie löschen)
  • alle Rechte (Vollzugriff auf Daten)

Grundlage der Berechtigungsvergabe muss das Prinzip der minimalen Berechtigung sein: So wenig Berechtigungen wie möglich, nur so viele wie zwingend erforderlich.

4. Rollenkonzept nutzen

Damit das Berechtigungskonzept beherrschbar bleibt, ohne lückenhaft zu sein, sind Rollenkonzepte empfehlenswert.

Die Idee dahinter ist, dass mehrere Nutzer, die die gleichen Aufgaben und damit die gleiche Rolle im Unternehmen haben, die gleichen Berechtigungen brauchen. Statt für jeden Nutzer die Berechtigungen erneut zu definieren, erhalten die Rollen die Berechtigungen. Die Nutzer werden dann den Rollen zugeordnet.

Entscheidend ist, die Berechtigungen auf Widersprüche zu überprüfen. Das gilt besonders, wenn Nutzer verschiedene Rollen gleichzeitig ausüben.

Zudem ist die Rollenzuordnung sowohl in Bezug auf den Nutzer als auch hinsichtlich der Berechtigungen regelmäßig auf Aktualität und Vollständigkeit zu überprüfen.

Nicht zu empfehlen ist es, Gruppenidentitäten zu bilden. So haben Sie keine Information, welcher Nutzer zur Gruppe gehört. Verschiedene Nutzer erhalten dann Gruppenberechtigungen und lassen sich nicht mehr unterscheiden.

5. Verfahren zur Prüfung der Identitäten festlegen

Die mühsame Zuordnung zwischen Nutzer, Rollen und Berechtigungen mit all den Unterstufen wie Lesen oder Löschen macht keinen Sinn, lässt sich die Identität des Nutzers, aber auch der Geräte und der Applikationen und Cloud-Apps nicht sicher überprüfen.

Allein das Passwortverfahren ist hier unzureichend. Denn Geräte und Anwendungen können keine Passwörter wählen und eingeben.

Wichtig ist deshalb ein IAM-System (Identity-and-Access-Management-System). Es bietet verschiedene Sicherheitsverfahren an, um Identitäten zu prüfen. Außerdem versorgt es Geräte und Anwendungen mit Identitäten und Sicherheitsfaktoren.

6. Regelmäßigen Prozesses für Audit und Aktualisierung aufsetzen

Das Berechtigungskonzept muss sowohl von der Definition her als auch von der technischen Umsetzung (mittels IAM-System) getestet und überprüft werden.

Legen Sie dabei ein besonderes Augenmerk auf die leider beliebten Ausnahmen und auf zeitlich befristete Berechtigungen:

  • Ausnahmen weichen das Berechtigungskonzept auf.
  • Sind Berechtigungen nicht richtig befristet, verliert das Konzept an Aktualität und Sicherheit.

Sehen Sie deshalb sowohl die Arbeiten am Berechtigungskonzept als auch seine Auditierung als fortlaufende Aufgaben.

Weitere Tipps finden Sie in der Checkliste.


Download: Checkliste zum Berechtigungskonzept


Autor: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)