Zugriffskontrolle: So stellen Sie sicher, dass ausschließlich befugte Personen Zugriff erhalten
Mit der Zugriffskontrolle können Sie sicherstellen, dass auf Daten, Dokumente und EDV-Programme ausschließlich Personen den Zugriff erhalten, die auch tatsächlich befugt sind. Wer welche Daten sehen, bearbeiten oder kopieren kann, ergibt sich aus der Organisation Ihres Unternehmens und aus den Aufgaben des jeweiligen Mitarbeiters.
Zum Beispiel besitzt nicht immer der Vorgesetzte dieselben Zugriffsberechtigungen wie seine Mitarbeiter. Denn es muss sichergestellt sein, dass während der Verarbeitung kein unbefugtes Verändern, Kopieren oder Löschen der Daten möglich ist. Auch die Speicherung oder Datennutzung durch unbefugte Personen verhindert man mit der Zugriffskontrolle.
Mit einem Berechtigungskonzept dokumentiert man, welcher Mitarbeiter Zugriff auf welche Programme und Daten hat. Besonders dann, wenn man mobile Geräte oder Datenträger verwendet, ist eine ausgereifte Zugriffskontrolle zu entwickeln. Das wird zum Beispiel durch die Verwendung eines Verschlüsselungsverfahrens erreicht.
Welche genauen Maßnahmen erforderlich und umsetzbar sind, ist von Unternehmen zu Unternehmen unterschiedlich. Die Zugriffskontrolle dient nicht nur dem Schutz des eigenen Unternehmens, sondern auch dem Schutz vor Strafe, denn Mängel in der Datensicherheit können hohe Geldstrafen nach sich ziehen.
Zugriffskontrolle nach der DSGVO: Unberechtigte Zugriffe erkennen und abwehren
Mit der neuen Datenschutzgrundverordnung sind weiterhin zahlreiche technische und organisatorische Maßnahmen zu treffen, die in Art. 32 DSGVO geregelt sind. Dazu gehört es auch, unberechtigte Zugriffe zu erkennen und erfolgreich abzuwehren. Ansonsten ist keine gesetzlich rechtmäßige Datenverarbeitung von personenbezogenen Daten möglich. Viele Datensicherheitsmaßnahmen aus der DSGVO stehen in engem Zusammenhang mit der Zugriffskontrolle. Darin wird gefordert, dass Daten auf Dauer geschützt sein müssen, um bei unerlaubten Zugriffen entsprechend handeln zu können. Die Vertraulichkeit, die Verfügbarkeit und die Integrität der Datensysteme müssen jederzeit sichergestellt sein!
Der Verantwortliche muss vertrauliche Daten nicht nur vor externen Angreifern schützen, sondern auch intern. Denn auch die Mitarbeiter können versuchen, Daten zu lesen, zu kopieren, zu bearbeiten oder zu löschen, obwohl sie dafür keine Befugnis haben. Das müssen sogar nicht nur die eigenen Mitarbeiter sein, sondern unter Umständen haben auch Geschäftspartner Zugriffsrechte, wie zum Beispiel Lieferanten. Schließlich gibt es nicht nur von außen, sondern auch innerhalb des Betriebs ein hohes Sicherheitsrisiko.
7 Tipps für eine benutzerbasierte Zugriffskontrolle
Ziel der benutzerbasierten Zugriffskontrolle ist es, das interne Bedrohungsrisiko in den Griff zu bekommen. Dabei erfolgt eine Zugriffskontrolle, die auf Benutzerdaten beruht. Damit ist es möglich zu erkennen, welcher Mitarbeiter welche Anwendungen im Netzwerk genutzt und dabei welche Daten übertragen hat. Die benutzerbasierte Zugriffskontrolle kann bei richtiger Anwendung die Zeit der Reaktion reduzieren und damit die Sicherheit erhöhen. Mit den sieben folgenden Tipps lässt sich die Zugriffskontrolle optimal nutzen.
Tipp 1: Unternehmensstruktur und Benutzer-Umgebung analysieren
Jedes Unternehmen ist anders, es kann sogar sein, dass bei Betrieben mit unterschiedlichen Standorten verschiedene Authentifizierungsmethoden Verwendung finden. Unterschiede gibt es zum Beispiel darin, ob sich die Mitarbeiter bei einem Verzeichnis-Server anmelden oder sich an Network-Access-Control-Geräten, VPN-Systemen oder WLAN-Controllern autorisieren. Auch das verwendete Betriebssystem ist wichtig, denn es gibt Unterschiede zwischen Windows, Linux und Mac. Außerdem müssen Sie analysieren, wie sich im Netzwerk die Endpunkte anmelden und wie diese identifiziert und authentifiziert werden.
Tipp 2: Zentrales Repository implementieren
In der Regel werden Benutzerrechte in separaten Zugriffslisten für Datenbanken, Inhalte und Anwendungen manuell eingepflegt. Dahingegen werden Regelungen für den Umgang mit sicherheitsrelevanten Daten an anderen Orten vorgehalten. Durch die fehlende Automatisierung und durch eine dezentrale Zugriffsverwaltung können schnell Fehler auftauchen. Daher ist es erforderlich, dass Sie ein einheitliches Repository mit klar definierten Richtlinien für die Zugriffsrechte aufbauen.
Tipp 3: Einheitliche, automatisierte Implementierung von Zugriffsrechten einrichten
In vielen Unternehmen erfolgt die Implementierung der Zugriffsrichtlinien auf Basis von datenbank- und anwendungsspezifischen Tools sowie mit eigenentwickelten Skripten. Skripte sind jedoch aus sicherheitstechnischen Gründen sehr unzuverlässig, da sie nicht untrennbar mit den Sicherheitsrichtlinien verknüpft sind. Um eine effektive Zugangskontrolle sicherzustellen, ist es erforderlich, dass eine automatisierte und einheitliche Implementierung der Zugriffsrichtlinien erfolgt.
Tipp 4: Die Zugriffskontrolle flexibilisieren
Zugriffsparameter müssen kontextbezogen eingesetzt werden. Damit ist es zum Beispiel möglich, einem Mitarbeiter abhängig von seinem Aufenthaltsort strengere oder freiere Zugriffsrechte einzuräumen. Hierfür ist es erforderlich, dass ein Rechte-Management-System Verwendung findet, das in Echtzeit und automatisch auf jeden Sitzungskontext reagiert und eine Identifizierung durchführt.
Tipp 5: Auch an die künftig ausscheidenden Mitarbeiter denken
Um eine entsprechende Sicherheit zu gewährleisten, müssen Mitarbeitern direkt nach Aussprache der Kündigung normalerweise alle Rechte entzogen werden. Dies ist allerdings in der Praxis kaum möglich. In vielen Fällen ist ein Mitarbeiter noch während der Kündigungsfrist beschäftigt und benötigt weiterhin die ihm zugeteilten Rechte, um seine Aufgaben bis zum tatsächlichen Austrittstermin erfüllen zu können. Außerdem fehlt vielen Unternehmen die hierfür erforderliche Automatisierung. So ist es nicht selten, dass sogar noch nach Ausscheiden des Mitarbeiters die Zugriffsrechte bestehen bleiben. Verknüpfen Sie daher Ihr System für die Rechteverwaltung mit einem anderen System, um so bei Beendigung eines Arbeitsverhältnisses auch gleichzeitig die Sperrung der Daten-Zugriffsrechte einzuleiten. Eine Möglichkeit wäre zum Beispiel die Verzahnung mit einer HR-Anwendung.
Tipp 6: Cloud-Dienste berücksichtigen
Cloud-Anwendungen aktivieren manchmal Mitarbeitern ohne Einschaltung der IT. Dadurch besteht an dieser Stelle ein kritisches Sicherheitsrisiko. Aus dem Grund ist es erforderlich, dass die IT beim Hinzufügen neuer Cloud-Anwendungen einen konsistenten Prozess nutzt, der automatisch zum Hinzufügen zum Repository führt. Es sollte in jedem Unternehmen eine Regelung geben, die verbietet, dass Mitarbeiter ohne Einschaltung der IT z. B. Cloud-Anwendungen aktivieren oder Programme installieren.
Tipp 7: Automatisches und regelbasiertes Rechtemanagement verwenden
Mit den heute verwendeten Tools ist es sehr einfach, Nutzer zu beschränken und Ressourcen hinzuzufügen. Hierfür sollten Sie ein automatisches und regelbasiertes Rechtemanagement verwenden, das in der Lage ist, sich selbst zu dokumentieren. Die Zugriffssteuerung muss unternehmensübergreifend sein, damit werden gleichzeitig auch alle erforderlichen Informationen geliefert, die für ein erfolgreiches Security Audit erforderlich sind.
Die Zugriffskontrolle sollte automatisiert und richtlinienbasiert sein
Die Zugriffskontrolle beschreibt die Steuerung und Überwachung von Unternehmensressourcen. Ziel ist es, die Integrität, Vertraulichkeit und Verfügbarkeit von Daten sicherzustellen. Bei der Zugriffskontrolle handelt es sich um eine der wichtigsten Säulen der Datensicherheit. Die Datensicherheit wird gestärkt, wenn ein richtlinienbasiertes und automatisiertes Rechtemanagement verwendet wird. Nur so kann es gelingen, dass das Sicherheitsbedürfnis befriedigt wird und gleichzeitig den Mitarbeitern die erforderlichen Arbeitsprozesse ermöglicht werden.
