Zugriffskontrolle, Teil 1: Wer Daten lesen, drucken und kopieren darf

Wenn ein legitimer Nutzer Zugang zu IT-Systemen und Daten hat, sollte er dennoch nicht alles damit anstellen dürfen. Die Zugriffskontrolle im Besonderen dient genau der sinnvollen Einschränkung des erlaubten Zugangs. Leider hapert es bei vielen sonst gut gesicherten Unternehmen genau an diesem Punkt.

Dieser Beitrag ist mehr als 10 Jahre alt.
Bild: Denys Rudyi

Firmendaten hinter Panzerglas

Von Oliver Schonschek

Wer kennt nicht die Situation in einem Museum, wo viele interessante Objekte ausgestellt sind – die nicht nur Kinder gerne auchmit den Fingern berühren wollen. Sofort meldet sich in solchen Fällen die aufmerksame Aufsicht und sagt streng: „Bitte nur anschauen, nicht anfassen!“ Leider fehlt dieser berechtigte Hinweis in vielen Unternehmen, wenn es um Daten und IT-Systeme geht.

Der freundliche, aber bestimmte Hinweis des Aufsichtspersonals würde, in die IT-Welt übersetzt, z.B. bedeuten, dass der Nutzer die Daten nur ansehen darf, nicht aber ändern, löschen, drucken oder kopieren. Das „Berühren“ von Daten ist also weitaus komplexer als im Museumsbeispiel. Nutzer, die Zugang zu IT-Systemen und den dort gespeicherten Daten haben, können viele verschiedene Dinge mit den Daten vorhaben. Diese Vielfalt ist einer der Gründe, warum in der IT die Zugriffskontrolle oft lückenhaft ist.

Zugriff in zahllosen Varianten

Die Herausforderung bei der Zugriffskontrolle besteht darin, für jeden Nutzer festzulegen, welche Aktionen er mit welchen Daten vornehmen darf. Man kann sich leicht vorstellen, wie viele Kombinationsmöglichkeiten sich dahinter verbergen – bei der Vielzahl der Nutzer und den Unmengen an Daten. Trotzdem führt kein Weg daran vorbei, die Zugriffskontrolle umzusetzen, für die das Bundesdatenschutzgesetz (BDSG) verlangt, dass

„die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können“.

Wenn die Zugriffskontrolle nicht greift, könnten Mitarbeiterinnen und Mitarbeiter zu Innentätern werden, also Angriffe auf Daten und Systeme von innen ausführen – ein Szenario, das Unternehmen zu Recht fürchten.

Bitte beachten Sie: Die nationalen Datenschutzgesetze in der EU, also auch das BDSG, wurden zum 25. Mai 2018 durch die Bestimmungen der EU-Datenschutz-Grundverordnung ersetzt.
Serie: Zugriffskontrolle
Teil 1 beginnt damit, wie schwierig es ist, Dateien und Verzeichnisse nutzergenau freizugeben. Ohne geeignete Software ist das nicht zu schaffen. Teil 2 widmet sich den wichtigsten Instrumenten der Nutzerrechteverwaltung: Gruppen und Rollen. Teil 3 erklärt schließlich, mit welchen Hilfsmitteln man den Überblick behält, damit nicht Doppler und Überschneidungen die Sicherheit aushebeln.

Einschränkung auf das Notwendige

Teilweise geschieht es gar nicht absichtlich, wenn vertrauliche Daten das Firmennetzwerk verlassen: Ein Mitarbeiter, der auf Daten zugreifen darf, die er eigentlich gar nicht für seine Aufgabenstellung braucht, kennt mitunter auch nicht die Brisanz des Materials und verschickt z.B. das interne Strategiepapier an einen Kunden. Hätte er das Dokument nicht im Zugriff oder könnte er es nur lesen, wäre dieser Datenabfluss von vornherein vermieden.

Viele der Insider-Angriffe sind jedoch durchaus absichtlich und sind bösartig bis kriminell motiviert, etwa im Fall von Spionage für einen Mitbewerber. Auch wenn sich das Problem der Innentäter nicht vollständig über bessere Berechtigungssysteme lösen lässt, hilft die Vergabe möglichst weniger Berechtigungen im Kampf gegen den internen Datendiebstahl. Das sogenannte Need-to-know-Prinzip besagt, dass immer nur die Berechtigungen für Datenzugriffe erteilt werden sollen, die der Nutzer wirklich für seine Aufgabenerfüllung braucht.

Fazit: Verbessern und vereinfachen

Die zur Aufgabenstellung passende Zugriffsberechtigung zu definieren und aktuell (!) zu halten, ist allerdings für viele Unternehmen kaum zu bewerkstelligen, wenn nicht entsprechend sinnvolle Verfahren zum Einsatz kommen. In den nächsten Teilen dieser Artikelserie sollen deshalb Methoden und Lösungen vorgestellt werden, die die Zugriffskontrolle verschärfen, aber auch für die Unternehmen leichter machen.

Teil 2 erklärt zunächst, welche Funktion Gruppen und Rollen für die Rechtevergabe haben.
News Analyst Oliver Schonschek.JPG

Oliver Schonschek bewertet als News Analyst auf MittelstandsWiki.de aktuelle Vorfälle und Entwicklungen. Der Fokus liegt auf den wirtschaftlichen Aspekten von Datenschutz und IT-Sicherheit aus dem Blickwinkel des Mittelstands. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen, insbesondere in seinem Spezialgebiet Datenschutz und Datensicherheit.

Oliver Schonschek, Tel.: 02603-936116, www.schonschek.de

Nützliche Links