Geschrieben am 05.04.2017 von:
Immer mehr Unternehmen rüsten sich gegen von außen kommende Angriffe auf ihre Datenverarbeitungsanlagen. IT-Sicherheitsmaßnahmen werden zunehmend verstärkt und selbst kleine und mittelständische Unternehmen versuchen, sich auf Cyber-Attacken vorzubereiten. Dabei wird jedoch häufig vergessen, dass auch die Organisation innerhalb stimmen muss.
Was sind Berechtigungskonzepte?
Wichtiger Bestandteil einer guten Datenschutzorganisation sind Berechtigungskonzepte. Diese regeln den Umgang mit Daten durch die eigenen Mitarbeiter oder auch externe Dienstleister. In einem Berechtigungskonzept wird festgelegt, welcher Mitarbeiter Zugriff auf welche Daten hat. Die Idee hinter solchen Konzepten ist, dass nicht jeder Mitarbeiter zur Erfüllung seiner Aufgaben Zugriff auf alle im Unternehmen gespeicherten Daten braucht (Need-to-know-Prinzip). Je weniger Personen Zugriff auf einen bestimmten Datensatz haben, desto geringer ist das Risiko, dass Daten verändert werden oder verloren gehen.
Ohne ein regelmäßig aktualisiertes Berechtigungskonzept kann es dazu kommen, dass z.B. ein Auszubildender, der über einen längeren Zeitraum hinweg verschiedene Abteilungen durchläuft, am Ende dieselben Zugriffsrechte hat wie der Systemadministrator. Außerdem erhöht sich das Risiko für einen Datenmissbrauch. Es kommt relativ häufig vor, dass ausscheidende Mitarbeiter sensible Daten mit zu ihrem neuen Arbeitgeber nehmen.
Rechtlicher Rahmen
Es ist nicht so, dass Berechtigungskonzepte nur als eine wohl gemeinte Empfehlung anzusehen sind. Vielen Unternehmen scheint nicht bewusst zu sein, dass das Vorliegen eines Berechtigungskonzepts sogar gesetzlich vorgeschrieben ist. Zwar gibt es keine konkrete Vorschrift – das Gesetz setzt das Vorhandensein eines Berechtigungskonzepts aber in § 9 BDSG und der dazugehörigen Anlage voraus.
Nach § 9 BDSG müssen öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, technische und organisatorische Maßnahmen treffen, die erforderlich sind, um die Ausführung der Vorschriften des BDSG, insbesondere die in der Anlage zu dieser Vorschrift genannten Anforderungen, zu gewährleisten. Die Anlage zu dieser Vorschrift sieht nun wiederum in Ziffer 3 vor, dass im Rahmen der Zugriffskontrolle gewährleistet werden muss, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Umsetzung in der Praxis
Damit ein Berechtigungskonzept in der Praxis auch Wirkung entfaltet, muss es sorgsam umgesetzt und gepflegt werden. Ein einfacher Auszug der Rollenprofile aus dem System reicht hierzu wohl nicht aus. Vielmehr müssen Stellenbeschreibungen, Benutzergruppen und Benutzerprofile definiert und in das System implementiert werden.
Zunächst sollte auch ein Prozess für die Anlage neuer Nutzer definiert werden. Außerdem sollten Vorgaben für Passwörter festgelegt werden. Erst im Anschluss daran kann man sich damit befassen, nach welchen Regelungen Berechtigungen vergeben werden. An dieser Stelle muss auch berücksichtigt werden, wie viele Personen die gleiche Berechtigung haben sollten (Vertretungsfall). Schließlich sollte auch klar festgelegt werden, in welchen Abständen das Konzept aktualisiert wird. In der Praxis haben Administratoren häufig keine Zeit, Zugriffberechtigungen zu aktualisieren. Dies stellt wie gesagt ein nicht zu unterschätzendes Risiko in Bezug auf die Datensicherheit dar.
Auch das Bundesamt für Sicherheit in der Informationstechnik gibt regelmäßig Hinweise rund um das Thema Datenschutz und IT-Sicherheit. In seinem Grundschutzkatalog befasst es sich dabei unter anderem auch mit Berechtigungskonzepten.