Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

11. November 2024

Schritt für Schritt zum Berechtigungskonzept

Schritt für Schritt zum Berechtigungskonzept
Bild: KrulUA / iStock / Thinkstock
2,60 (5)
Inhalte in diesem Beitrag
Schlüssel zum Datenschutz
Das Berechtigungskonzept muss abbilden, welche Zugriffe im Datenschutz jeweils erlaubt sind und welche nicht. Ist das Berechtigungskonzept zu strikt, hemmt es die Produktivität. Ist es zu lasch, sind die Daten in Gefahr. Trends wie KI, Cloud, Mobility, Big Data und IoT machen es nicht leichter, ein solches Konzept auf die Beine zu stellen. Wir zeigen, worauf es ankommt.

In vielen Unternehmen sind Berechtigungskonzepte lückenhaft und veraltet. Dies stellt ein erhebliches Problem für den Datenschutz sowie für Prüfungen der erlaubten Zugänge und Zugriffe dar.

Die Ursachen für Mängel im Berechtigungskonzept liegen jedoch selten in einem fehlenden Verständnis der Beteiligten – die Administratoren sind sich der Bedeutung sehr wohl bewusst.

Komplex und dynamisch

Doch ein Berechtigungskonzept ist komplex und unterliegt dynamischen Änderungen:

  • Die Nutzer erhalten neue Aufgaben und Rollen, wechseln die Abteilung und die Projekte.
  • Es gibt Vertretungen bei Krankheit und Urlaub.
  • Neue Nutzer kommen ins Unternehmen, andere verlassen die Firma.
  • Ähnlich ist es bei den IT-Systemen und Daten: Neue Geräte, Anwendungen und Daten kommen hinzu, alte Geräte werden verkauft, Software wird deinstalliert, Daten werden gelöscht.

Berechtigungskonzepte unterliegen noch weiteren Anforderungen, vor allem durch neue IT-Trends:

  • Mitarbeiter nutzen mobile Endgeräte häufig betrieblich und privat (BYOD, Bring Your Own Device).
  • Zusätzlich zu den lokalen Anwendungen und Applikationen im Firmennetzwerk stehen den Nutzern Cloud-Applikationen zur Verfügung. Sie muss ein Berechtigungskonzept ebenfalls berücksichtigen.
  • Mit Industrie 4.0, Machine-to-Machine (M2M) und dem Internet of Things (IoT) steigt die direkte Vernetzung auf Geräteebene. Neben den Nutzern erhalten nun daher auch Geräte Zugriffsrechte für personenbezogene Daten, die sie dann automatisiert verarbeiten.
  • Mit KI (Künstliche Intelligenz) gibt es vermehrt Anwendungen und Dienste, die eigenständig auf Daten zugreifen wollen und daher ebenfalls explizite Berechtigungen benötigen.
  • Auch die IT-Sicherheit stellt neue Anforderungen: Es reicht nicht, die Berechtigungen eines Nutzers zu prüfen. Es muss eine Prüfung stattfinden, ob Mitarbeiter die Berechtigungen nicht missbrauchen (Innentäter, Insider-Attacken). Deshalb müssen Berechtigungen auch risikoabhängig vergeben werden. Man spricht von dem Zero-Trust-Modell (Vertraue niemanden, überprüfe alles).

Lesetipp:

Schritt für Schritt vorgehen

Berechtigungskonzepte müssen vollständig, umfassend und aktuell sein. Keine leichte Aufgabe, aber es gelingt, wenn Ihr Unternehmen Schritt für Schritt vorgeht. Überprüfen Sie im Rahmen der Kontrolle der Sicherheit der Verarbeitung immer auch das Berechtigungskonzept. Achten Sie darauf, ob der Prozess, der zum Konzept führen soll, lückenlos ist und ob er regelmäßig durchlaufen wird. Nur dann ist Ihr gewonnenes Bild  keine Momentaufnahme, sondern ein aussagekräftiges Zeichen für Datenschutz.

1.    Alle Nutzer, Geräte und Anwendungen erfassen

Das erste Ziel, die Vollständigkeit des Berechtigungskonzepts,  lässt sich erst erreichen, wenn alle  Informationen im Unternehmen über Nutzer, ihre Aufgaben und Rollen, über Geräte und Anwendungen, sowohl lokal als auch im Netzwerk und in der Cloud, zusammengestellt sind.

Hier helfen Informationen wie

  • Mitarbeiterlisten,
  • Stellenprofile,
  • Projektlisten,
  • Organigramme,
  • Hardware-Listen,
  • Software-Listen und
  • Cloud-Verträge.

Denken Sie auch an Benutzer, die keine Mitarbeiter sind, aber Zugang benötigen, z. B. externe Dienstleister.

2.    Digitale Identitäten abbilden

Die zu definierenden Berechtigungen werden Benutzern, Geräten und Anwendungen zugeordnet. Genauer: den entsprechenden digitalen Identitäten. Wichtig ist, dass jede Person, jedes Gerät und jede Anwendung, die Zugriff auf personenbezogene Daten erhalten soll, eindeutig und sicher identifiziert werden kann. Gerade im Bereich IoT und KI gibt es hier große Schwierigkeiten. Aber auch Maschinen und KI-Agenten benötigen eine eindeutige Identität. Andernfalls wird das Berechtigungskonzept schwammig und riskant.

3.    Verschiedene Zugriffsrechte aufgliedern

Bei den Zugriffsrechten reicht die Antwort „Zugriff erlaubt oder nicht“ leider nicht aus. Für ein wasserdichtes Konzept muss genau unterschieden werden, ob ein Benutzer eine Information nur lesen darf, ob ein Gerät Daten als Kopie vorhalten darf oder ob eine Anwendung bestimmte Daten löschen darf.

Zu unterscheiden sind:

  • keine Berechtigung (weder erstellen, noch lesen oder ändern)
  • Lesen (Daten nur lesen)
  • Erstellen (Daten erfassen)
  • Ändern (Daten erfassen, bearbeiten sowie löschen)
  • alle Rechte (Vollzugriff auf Daten)

Grundlage der Berechtigungsvergabe muss das Prinzip der minimalen Berechtigung sein: so wenig Berechtigungen wie möglich, nur so viele wie unbedingt erforderlich.

4.    Rollenkonzept nutzen

Um das Berechtigungskonzept überschaubar und lückenlos zu halten, empfiehlt sich die Verwendung von Rollenkonzepten. Die Idee dahinter ist, dass mehrere Benutzer, die die gleichen Aufgaben und damit die gleiche Rolle im Unternehmen haben, auch die gleichen Berechtigungen benötigen. Anstatt die Berechtigungen für jeden Benutzer neu zu definieren, werden die Berechtigungen den Rollen zugewiesen. Den Rollen werden dann die Benutzer zugeordnet. Auch Geräte, Anwendungen oder KI-Agenten können Rollen zugeordnet werden.

Entscheidend ist, die Berechtigungen der Rollen auf Widersprüche zu überprüfen. Das gilt besonders, wenn Nutzer verschiedene Rollen gleichzeitig ausüben. Zudem ist die Rollenzuordnung sowohl in Bezug auf den Nutzer als auch hinsichtlich der Berechtigungen regelmäßig auf Aktualität und Vollständigkeit zu überprüfen.

Nicht zu empfehlen ist es, Gruppenidentitäten zu erstellen. Sie haben dann keine Information darüber, welcher Benutzer zu der Gruppe gehört. Unterschiedliche Benutzer erhalten dann Gruppenberechtigungen und können nicht mehr unterschieden werden.

5.    Verfahren zur Prüfung der Identitäten festlegen

Die mühsame Zuordnung zwischen Benutzer, Rollen und Berechtigungen mit all ihren Unterstufen wie Lesen oder Löschen macht keinen Sinn, wenn die Identität des Benutzers, aber auch von Geräten und Anwendungen, KI-Agenten und Cloud-Anwendungen nicht sicher verifiziert werden kann. Das Passwortverfahren allein reicht hier nicht aus. Denn Geräte und Anwendungen können keine Passwörter auswählen und eingeben.

Wichtig ist deshalb ein IAM-System (Identity-and-Access-Management-System). Es bietet verschiedene Sicherheitsverfahren an, um Identitäten zu prüfen. Außerdem versorgt es Geräte und Anwendungen mit Identitäten und Sicherheitsfaktoren.

6.    Regelmäßigen Prozess für Audit und Aktualisierung aufsetzen

Das Berechtigungskonzept muss sowohl von der Definition her als auch von der technischen Umsetzung (mittels IAM-System) getestet und überprüft werden. Legen Sie dabei ein besonderes Augenmerk auf die leider beliebten Ausnahmen und auf zeitlich befristete Berechtigungen:

  • Ausnahmen weichen das Berechtigungskonzept auf.
  • Sind Berechtigungen nicht richtig befristet, verliert das Konzept an Aktualität und Sicherheit.

Sehen Sie deshalb sowohl die Arbeiten am Berechtigungskonzept als auch seine Auditierung als fortlaufende Aufgaben.

Weitere Tipps finden Sie in folgender Checkliste:


Download: Checkliste zum Berechtigungskonzept


Oliver Schonschek

Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.