Berechtigungen schützen nicht nur Ihr Unternehmen sondern auch Ihre Daten!

8. Juli 2021

Im heutigen Beitrag dreht sich alles um Berechtigungen. Wenn Sie unsere Beitragsserie bis hierhin verfolgt haben, so fällt Ihnen sicher auf, dass diese einer Chronologie folgt: Wir haben aufgezeigt, welche Risiken bei der Verarbeitung von personenbezogenen Daten entstehen können und wie Sie diese identifizieren. Wir haben darüber gesprochen, wie wichtig es ist, Ihre Mitarbeiter für diese Risiken zu sensibilisieren. Im Beitrag über Authentifizierung wurde kurz angesprochen, wie Sie sicherstellen können, dass nur ein bestimmter Mitarbeiter Zugriff auf für ihn freigegebene Benutzerkonten in IT-Systemen erhält. Aktuell sprechen wir also von einem sensibilisierten Mitarbeiter, der einen personalisierten Zugang zu den für seine Aufgabe erforderlichen IT-Systemen erhalten hat. Es stellt sich also die Frage:

"Warum Berechtigungen? Kann ich meinen Mitarbeitern nicht einfach vertrauen?"

In der "Charta der Grundrechte der Europäischen Union" wird im Artikel 8 vermerkt, dass eine jede Person ein Recht auf den Schutz der sie betreffenden personenbezogenen Daten hat. Verfeinert wird dies durch die DSGVO, welche in den Grundsätzen zur Verarbeitung personenbezogener Daten (Art. 5 DSGVO) eine Verarbeitung verlangt, welche personenbezogene Daten unter anderem vor unbefugter Verarbeitung schützt. Das Gesetz unterscheidet dabei nicht, auf welchem Wege diese unbefugte Verarbeitung erfolgt ist. Ob durch einen böswilligen Angreifer, der ein IT-System korrumpiert hat, oder durch den IT-Administrator, der seine administrativen Berechtigungen missbraucht, um in den Personaldaten das Gehalt des Kollegen oder die private Telefonnummer der neuen Kollegin in Erfahrung zu bringen - diese Fälle sind zu unterbinden, die personenbezogenen Daten müssen geschützt werden.

Zugriffslimitierung durch Berechtigungen

Die für die Verarbeitung verantwortliche Stelle steht nun also vor der Herausforderung, die gesetzlichen Anforderungen mit der Aufrechterhaltung des operativen Betriebes in Einklang zu bringen. Eine grundlegende Maßnahme hierzu ist die Definition von Berechtigungsprofilen, die nach Verantwortungsbereich und Aufgabe getrennt sind und den Zugriff des mit diesem Profil verknüpften Benutzers ausschließlich auf die für die Erfüllung seiner Arbeit erforderlichen Daten einschränken. Ein für die Lohnbuchhaltung verantwortlicher Mitarbeiter benötigt zur Auszahlung des monatlichen Lohns beispielsweise die Information, welche Steuerklasse ein Mitarbeiter hat und auf welches Konto der Lohn überwiesen werden soll, während für die Erfüllung der Aufgaben eines Mitarbeiters, der die firmeneigenen Parkplätze überwacht beispielsweise das Kfz-Kennzeichen und die Zuordnung zu den Mitarbeitern relevant sein könnte.

Berechtigungen sind nicht statisch!

Berechtigungsprofile ändern sich im Laufe der Zeit und müssen regelmäßig überarbeitet werden. Verändert sich der Inhalt der beruflichen Tätigkeit eines Mitarbeiters, so müssen die Berechtigungen gemäß den Erfordernissen der neuen Aufgabe angepasst werden. Ein gängiges Thema: der Azubi, der zum Ende seiner Ausbildungszeit mehr Zugriffsberechtigungen hat wie ein Mitarbeiter mit 25 Jahren Unternehmenszugehörigkeit.

Checklisten, die bei Beginn oder Beendigung eines Arbeitsverhältnisses oder eines Stellenwechsels ausgefüllt werden müssen, haben sich hierzu als ein geeignetes Mittel etabliert. Und haben Sie schon an kritische Rechtekombinationen gedacht? Ein Mitarbeiter, der Zahlungen anweisen darf, diese selbst freigeben darf und noch die Berechtigung hat um Log- & Audittabellen zu löschen? Beim Auftauchen dieser Kombination sollten in Ihrem Unternehmen nicht nur die sprichwörtlichen Alarmglocken anspringen!

Berechtigungen können Datenschutzvorfälle verhindern

Beim Verlust von Daten konnte das renommierte Unternehmen McAfee in 40% der Fälle interne Verursacher identifizieren. Und nur bei der Hälfte der Fälle war das Abwandern von Daten aus dem Unternehmen vom Mitarbeiter beabsichtigt. In der Studie heißt es weiter, dass in knapp 40% der Fälle physische Speichermedien entwendet wurden, wie z.B. ein USB-Stick. Es muss also die Frage gestellt werden: "Welche Tätigkeiten in meinem Unternehmen erfordern das Austauschen von Daten, bei denen der Austausch via USB-Stick erfolgen muss, da nicht auf die bereitgestellte Infrastruktur - wie z.B. Portalserver, gemeinsame Dateiablage etc. - zurückgegriffen werden kann?". Bei jedem Mitarbeiter, der nicht an einer solchen Tätigkeit beteiligt ist, können die USB-Ports für Speichermedien gesperrt werden, ohne den Mitarbeiter in seiner Arbeit zu behindern.

Das obige Beispiel zeigt, wie ein gut durchdachtes und an den Erfordernissen Ihres Unternehmens ausgerichtetes Berechtigungskonzept der Schlüssel bei der Verhinderung von Datenschutzvorfällen sein kann und dazu beiträgt, den gesetzlichen Vorgaben Folge zu leisten.

Haben Sie Fragen zu diesem oder anderen Themen oder benötigen Sie konkrete Unterstützung? - Wir sind nur einen Klick entfernt.

crossmenu