Zugriffskontrolle: Unerlaubten Zugriffen auf der Spur

Wer seine Sicherheits-Maßnahmen früher an den verschiedenen Datenschutz-Kontrollen wie der Zugriffskontrolle ausgerichtet hatte, musste feststellen, dass die Datenschutz-Grundverordnung (DSGVO) diese Kontrollen nicht mehr nennt.

Doch im Bundesdatenschutzgesetz (BDSG) findet sich in § 64 weiterhin die Zugriffskontrolle als „Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben“.

Darüber hinaus schließt die Sicherheit der Verarbeitung in der DSGVO grundsätzlich ein, dass Zugriffskontrollen wichtig und erforderlich sind.

Warum ist eine Zugriffskontrolle wichtig?

Unerlaubte Zugriffe verhindern

Zum einen ist es schlicht logisch, einen Zugriff etwa von Mitarbeitern, der ohne Berechtigung erfolgt, erkennen und abwehren zu müssen. Sonst lässt sich nicht verhindern, dass Beschäftigte oder Dienstleister personenbezogene Daten unrechtmäßig verarbeiten.

Zum anderen hängen viele Sicherheits-Maßnahmen, die die DSGVO fordert, mit der Zugriffskontrolle zusammen:

• Die DSGVO fordert, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste bei der Verarbeitung auf Dauer sicherzustellen. Dazu gehört es, erlaubte und unerlaubte Zugriffe zu erkennen und entsprechend zu behandeln.
• Auch die Verschlüsselung von personenbezogenen Daten dient dazu, einen Zugriff zu kontrollieren.
• Bei den Sicherheits-Maßnahmen muss der Verantwortliche laut DSGVO die Risiken berücksichtigen, die mit der Datenverarbeitung verbunden sind. Das betrifft insbesondere Risiken durch Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten.

Schutz vor internen und externen Angreifern

Geht es darum, vertrauliche Daten vor unerlaubten Zugriffen zu schützen, denken viele zuerst und oftmals ausschließlich an externe Angreifer.

Aber auch die Nutzenden der eigenen IT-Systeme könnten bestimmte Daten lesen, kopieren, verändern oder löschen, obwohl sie dies nicht dürfen. Diese Nutzenden können die eigenen Mitarbeiterinnen oder Mitarbeiter sein oder Geschäftspartner, die Zugriffsrechte haben. Diese sogenannten Innentäter gelten sogar als ein besonders hohes Datenrisiko.

Homeoffice, Hybrid Work und mobile Office

Gerade dadurch, dass Mitarbeiter und Mitarbeiterinnen verstärkt im Homeoffice arbeiten und die Entwicklung zu Hybrid Work geht, also einer Mischform aus Büro, Homeoffice und mobiler Arbeit, ist es wichtig, die Konzepte zur Zugriffskontrolle zu überdenken.

Während früher interne Zugriffe von betrieblichen Geräten aus dem Unternehmensnetzwerk meist als unbedenklich eingestuft wurden, lässt sich inzwischen nicht mehr von einer solchen Vertrauensstellung ausgehen.

• Zum einen erfolgen die Zugriffe der Beschäftigten und anderer legitimer Nutzenden von verschiedenen Standorten aus. Sie finden nicht mehr unbedingt innerhalb des Unternehmensnetzwerks statt, sondern von unterwegs oder aus dem Homeoffice.
• Zum anderen nutzen die Mitarbeiter vermehrt private Geräte betrieblich. Somit kann auch das Gerät selbst nicht mehr als Vertrauensanker dienen.
• Schließlich müssen Unternehmen damit rechnen, dass Angreifer berechtigte digitale Identitäten stehlen oder vortäuschen und dass das Gerät, mit dem jemand zugreifen soll, mit Schadsoftware verseucht ist.

Deshalb sollte die Zugriffskontrolle die Berechtigungen immer nach dem Zero-Trust-Konzept vergeben. Das Konzept sieht jeden Zugriff als mögliches Risiko, das es zu überprüfen gilt, bevor die Berechtigungen erteilt werden.

Berechtigungs-Management prüfen!

Unternehmen müssen deshalb ihr Berechtigungs-Management sehr sorgfältig prüfen. Und zwar nicht nur einmal, sondern fortlaufend.

Zugriffskontrolle: eine umfangreiche und dynamische Aufgabe

Das Berechtigungs-Management ist jedoch selbst bei kleinen Unternehmen kompliziert. Denn schon bei wenigen Nutzerinnen und Nutzern sind viele Anwendungen und Geräte in Betrieb. Und zwar mit steigender Tendenz, denkt man an die mobilen Endgeräte und das Internet of Things (IoT).

Zudem muss ein Berechtigungs-Management mit Zugriffskontrolle dynamisch sein. Denn die Aufgaben und Rollen vor allem der Mitarbeiter ändern sich und sind oft zeitlich befristet. Die Abbildung im Berechtigungs-System kommt häufig kaum hinterher. So ist es nicht verwunderlich, dass es zu viele, abgelaufene und fehlerhafte Berechtigungen gibt. Sie schwächen die Zugriffskontrolle oder hebeln sie gar aus.

Berechtigungen mit Tool-Unterstützung checken

Prüfen Sie bei der Zugriffskontrolle, ob das Berechtigungs-Konzept stimmig und aktuell ist. Rein manuell ist das allerdings kaum zu bewerkstelligen.

Gute Lösungen aus dem Bereich IAM (Identity and Access Management) und Zero Trust unterstützen Sie dabei, Berechtigungen und Rollen zu kontrollieren:

• Die Lösungen haben Module und Funktionen, die bei der Definition neuer Rollen und Berechtigungen sowie bei der Vergabe von Berechtigungen und Rollen nach Konflikten zwischen den Rechten suchen.
• Zudem bieten diese Werkzeuge an, nach abgelaufenen Berechtigungen zu suchen, oftmals sogar automatisch im gewählten zeitlichen Abstand und mit Warnung an definierte Personen.
• Manche IAM-Tools bieten bereits im Standard Prüfroutinen und Berichte an, die ideal für die Zugriffskontrolle sind.

Wie bei allen Templates und Mustern denken Sie allerdings daran, dass ein Tool immer nur nach Abweichungen von definierten Regeln sucht. Gibt es zum Beispiel die Regel „Administrator Anwendung soll nicht Administrator Netzwerk sein“ nicht, brauchen Sie sie aber, müssen die Regeln nachbearbeitet werden.

Kontrollieren Sie zudem die Prüfergebnisse der Tools immer stichprobenartig nach. So arten Lücken im Prüfmodul nicht zu Lücken im Berechtigungs-Management aus.