Berechtigungen prüfen!
Veröffentlicht am 09.09.2022 von Josephine Luther, B.A.
Es ist schnell passiert und plötzlich läuft es aus dem Ruder: Berechtigungen in IT-Systemen sind schnell gesetzt. Erstellen Sie daher ein Rollen-/Rechtekonzept, um Systematik in diese Thematik zu bringen. Im September behandeln wir alles rund um das Thema Berechtigungskonzept und geben Ihnen wichtige Informationen mit auf den Weg.
Warum braucht man Berechtigungen?
Die Schutzziele der Informationssicherheit sind die sogenannte Vertraulichkeit, Integrität und Verfügbarkeit. Um diese Ziele einhalten zu können, bedarf es sogenannte Berechtigungen, um gewährleisten zu können, dass Ihre Mitarbeitenden nur die Dokumente einsehen können, die sie für die Erledigung ihrer Aufgaben benötigen. Konkret definiert man die Schutzziele wie folgt:
Vertraulichkeit
Im Grundschutz des Bundesamts für Sicherheit in der Informationstechnologie, kurz BSI, bedeutet das Schutzziel Vertraulichkeit Schutz vor Verrat von Informationen oder vertraulichen Daten. Darunter sind z.B. Umsatzzahlen und daraus erhobene Daten oder Produkt- und Forschungsergebnisse zu verstehen, die die Konkurrenz interessieren könnten. Vertraulichkeit von Daten kann man z.B. durch Verschlüsselung erreichen.
Integrität
Das Schutzziel Integrität bezeichnet laut IT-Grundschutz das durchgängige Funktionieren von IT-Systemen sowie die Vollständigkeit und Richtigkeit von Daten und Informationen. In Bezug auf die Informationssicherheit bedeutet Integrität das Verhindern von nicht genehmigten Veränderungen an wichtigen Informationen.
Verfügbarkeit
Das Schutzziel Verfügbarkeit definiert, zu welchem Grad IT-Systeme, IT-Anwendungen, IT-Netzwerke und elektronische Informationen einem Benutzer zur Verfügung stehen, und ohne Einschränkung verwendet werden können.
Herkunft von Konzepten im Datenschutz
Im Zusammenhang mit der europäischen Datenschutz-Grundverordnung (DSGVO) spricht man häufig von sogenannten “Konzepten”, die in vielen Bereichen des Datenschutzes erforderlich sind. Zum Grundbegriff der Datenschutzkonformität gehört somit auch das Berechtigungskonzept; denn nur ein adäquates Berechtigungskonzept kann sicherstellen, dass personenbezogene Daten nicht von Unbefugten eingesehen werden können. Das Berechtigungskonzept ist daher eine wesentliche technische und organisatorische Maßnahme im Sinne des Art. 32 DSGVO.
Das Erstellen und Führen eines Berechtigungskonzeptes erleichtert Ihnen den Überblick über die Verarbeitung personenbezogener Daten und verringert damit den organisatorischen Aufwand. Insbesondere können Sie sich jedoch gegen unbefugte Zugriffe und daraus folgende Datenpannen schützen.
Das Berechtigungskonzept – Was beinhaltet es und was ist darin geregelt?
Das Berechtigungskonzept ist ein wichtiges schriftliches oder digitales Dokument innerhalb einer Organisation, das erlaubte Datenzugriffe festhält und klarstellt, welche Zugriffe derzeit nicht erlaubt sind. Das Berechtigungskonzept muss angeben, welche Personen oder Gruppen und Bereiche Zugriff auf welche Art von personenbezogenen Daten haben.
Aus dem Berechtigungskonzept muss hervorgehen, auf welche personenbezogenen Daten zugegriffen werden darf und welche aktuell nicht erlaubt sind. Damit das Berechtigungskonzept einerseits die Produktivität und die wirtschaftlichen Abläufe des Unternehmens nicht einschränkt und andererseits auch den Datenschutz effektiv einhält, muss ein optimales Gleichgewicht zwischen Zugriffsbeschränkung und Zugriffserlaubnis erreicht werden, damit keine Verletzungen des Datenschutzes auftreten können.
Was sind die Folgen bei einem fehlenden Berechtigungskonzept?
Durch ein fehlendes Berechtigungskonzept sind unbefugten Zugriffe auf personenbezogene Daten nicht sofort erkennbar und können mit Datenverlust, Datenweitergabe oder -vernichtung einhergehen. Gerade in großen Unternehmen verarbeitet eine Vielzahl von Mitarbeitenden sowie Geräten und Anwendungen personenbezogene, gar sensible Daten. Unbefugte Zugriffe sind sowohl im digitalen als auch im analogen Arbeitsumfeld möglich. Allein das Nutzen von technischen oder faktischen Schutzmaßnahmen stellt noch keinen vollumfänglichen Schutz personenbezogener Daten her.
Datenskandale der letzten Jahre
Wer das Passwort beziehungsweise die Berechtigung eines Kollegen oder einer Kollegin nutzt, verwendet dieses illegal und riskiert damit eine Kündigung und eine Anzeige – insbesondere, wenn auf diese Weise die eingeräumten Zugriffsrechte überschritten werden. Das ist laut einem Urteil des Landesarbeitsgerichts München keine Seltenheit: Durch das Passwort eines anderen Mitarbeitenden erlangte ein Beschäftigter an Lese- und Schreibrechte über seine Berechtigung hinaus – und veränderte Daten. Als das Unternehmen davon erfuhr, entließ es den Mitarbeiter fristlos und erstattete Strafanzeige wegen der Datenänderung!
Unsere Quellen:
https://www.lia.nrw.de/service/datenschutz/index.html
https://www.bmi.bund.de/SharedDocs/pressemitteilungen/DE/2020/12/it-sig-2-kabinett.html