11.09.2017

Zugriffskontrolle: Unerlaubten Zugriffen auf der Spur

Um die Sicherheit der Verarbeitung zu gewährleisten, sind auch unter der Datenschutz-Grundverordnung (DSGVO) Zugriffskontrollen nötig. Und das nicht nur, weil es das neue Bundesdatenschutzgesetz fordert.

Zugriffskontrolle
© valdum /​ iStock /​ Thinkstock

Bei der Vorbereitung auf die Datenschutz-Grundverordnung stehen zahlreiche Anpassungen im Bereich der Datensicherheit an.

Wer seine Sicherheits-Maßnahmen bisher an den verschiedenen Datenschutz-Kontrollen wie der Zugriffskontrolle ausgerichtet hat, wird feststellen, dass die Grundverordnung diese Kontrollen nicht so nennt – wohl aber das neue Bundesdatenschutzgesetz (BDSG-neu).

Darüber hinaus schließt die Sicherheit der Verarbeitung in der DSGVO grundsätzlich ein, dass Zugriffskontrollen weiterhin wichtig und erforderlich sind.

Unerlaubte Zugriffe verhindern

Zum einen ist es schlicht logisch, Zugriffe, die ohne Berechtigung erfolgen, zu erkennen und abzuwehren. Sonst lässt sich eine unrechtmäßige Verarbeitung personenbezogener Daten nicht verhindern.

Zum anderen hängen viele Sicherheits-Maßnahmen, die die DSGVO fordert, mit der Zugriffskontrolle zusammen:

  • Zu der geforderten Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste bei der Verarbeitung auf Dauer sicherzustellen, gehört es, erlaubte und unerlaubte Zugriffe zu erkennen und entsprechend zu behandeln.
  • Auch die Verschlüsselung von personenbezogenen Daten dient der Kontrolle der Zugriffe.
  • Bei den Sicherheits-Maßnahmen muss der Verantwortliche laut DSGVO die Risiken berücksichtigen, die mit der Verarbeitung verbunden sind. Das betrifft insbesondere Risiken durch Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten.

Schutz vor internen und externen Angreifern

Geht es darum, vertrauliche Daten vor unerlaubten Zugriffen zu schützen, denken viele zuerst und oftmals ausschließlich an externe Angreifer.

Aber auch die Nutzer der eigenen IT-Systeme könnten Daten lesen, kopieren, verändern oder löschen, obwohl sie dies nicht dürfen. Diese Nutzer können die eigenen Mitarbeiterinnen oder Mitarbeiter sein oder Geschäftspartner, die Zugriffsrechte haben. Diese sogenannten Innentäter gelten sogar als ein besonders hohes Datenrisiko.

Berechtigungs-Management prüfen

Unternehmen müssen deshalb ihr Berechtigungs-Management sehr sorgfältig prüfen. Nicht nur zur Vorbereitung auf die DSGVO, sondern fortlaufend.

Das Berechtigungs-Management ist jedoch selbst bei kleinen Unternehmen kompliziert. Denn schon bei wenigen Nutzern sind viele Anwendungen und Geräte in Betrieb. Und zwar mit steigender Tendenz, denkt man an die mobilen Endgeräte und das Internet of Things (IoT).

Zudem muss ein Berechtigungs-Management dynamisch sein. Denn die Aufgaben und Rollen der Nutzer ändern sich und sind oft zeitlich befristet. Die Abbildung im Berechtigungs-System kommt häufig kaum hinterher. So ist es nicht verwunderlich, dass es zu viele, abgelaufene und fehlerhafte Berechtigungen gibt. Sie schwächen die Zugriffskontrolle oder hebeln sie gar aus.

Berechtigungen checken

Prüfen Sie bei der Zugriffskontrolle, ob das Berechtigungs-Konzept stimmig und aktuell ist. Rein manuell ist das allerdings kaum zu bewerkstelligen.

Gute Lösungen aus dem Bereich IAM (Identity and Access Management) unterstützen bei der Kontrolle der Berechtigungen und Rollen:

  • Sie haben Module und Funktionen, die bei der Definition neuer Rollen und Berechtigungen sowie bei der Vergabe von Berechtigungen und Rollen nach Konflikten zwischen den Rechten suchen.
  • Zudem bieten diese Werkzeuge an, nach abgelaufenen Berechtigungen zu suchen, oftmals sogar automatisch im gewählten zeitlichen Abstand und mit Warnung an definierte Personen.
  • Manche IAM-Tools bieten bereits im Standard Prüfroutinen und Berichte an, die ideal für die Zugriffskontrolle sind.

Wie bei allen Templates und Mustern denken Sie allerdings daran, dass ein Tool immer nur nach Abweichungen von definierten Regeln sucht. Gibt es zum Beispiel die Regel „Administrator Anwendung soll nicht Administrator Netzwerk sein“ nicht, brauchen Sie sie aber, müssen die Regeln nachbearbeitet werden.

Prüfen Sie zudem die Prüfergebnisse der Tools immer stichprobenartig nach. So arten Lücken im Prüfmodul nicht zu Lücken im Berechtigungs-Management aus.

Die Checkliste fasst die Punkte zusammen, an die Sie bei der Prüfung der Zugriffskontrolle denken sollten.

Download: Checkliste: Prüfung der Zugriffskontrolle

Autor*in: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)