Datenschutz und Informationssicherheit – zwei Stichpunkte, die in der heutigen Zeit immer mehr Aufmerksamkeit gewinnen. Um diese beiden Punkte zu gewährleisten, ist es für Unternehmen erforderlich, Berechtigungskonzepte zu entwickeln und dieses umzusetzen. Das einfachste Beispiel ist der Zugriff auf die eigene Personalakte – hier möchte doch jede:r sichergehen, dass die eigenen Daten, Beurteilungen oder Zeugnisse nicht von jedem Mitarbeitenden eingesehen werden können. Wichtig ist hierbei, dass die Berechtigungen innerhalb der Organisation präzise verteilt werden, um die Sicherheit zu gewährleisten und gleichzeitig nicht die Produktivität zu verlieren. Denn wenn zu wenig Personen Zugriff haben, entsteht schnell ein Flaschenhals, der beteiligte Prozesse ausbremst. Aber vielleicht noch einmal einen Schritt zurück: Was ist ein Berechtigungskonzept und wieso ist das wichtig?
Definition Berechtigungskonzept
Ein Berechtigungskonzept hilft Unternehmen dabei, den Zugriff auf ihre Ressourcen wie Daten, Systeme aber auch physische Räumlichkeiten zu regeln und zu kontrollieren. Es enthält konkrete Zugriffsberechtigungen für einzelne Datenverarbeiter. Das können Mitarbeitende, Geräte sowie Anwendungen sein. In der Regel müssen in Berechtigungskonzepten Rollen definiert werden, denen Berechtigungen erteilt oder entzogen werden können.
Welchen Bezug hat ein Berechtigungskonzept zum Thema Datenschutz?
Diese Frage lässt sich ganz einfach beantworten. Wie in der Einleitung bereits angedeutet, hat das Berechtigungskonzept eines Unternehmens großen Einfluss auf das Thema Datenschutz. Genauer gesagt ist ein solches Konzept sogar ein wichtiger Bestandteil eines Datenschutzmanagementsystems. Viele Abläufe in der heutigen Arbeitswelt müssen sehr detailliert dokumentiert werden. Gerade auch im Zusammenhang mit der Europäischen Datenschutz-Grundverordnung (DSGVO) werden Unternehmen sogar verpflichtet, den Schutz personenbezogener Daten zu gewährleisten. Unternehmen müssen sicherstellen, dass personenbezogene Daten nur von denjenigen Personen eingesehen werden können, die dies für ihre Arbeit wirklich benötigen. Zugleich muss gewährleistet werden, dass personenbezogene Daten nicht versehentlich oder durch bösartige Absicht offengelegt oder gelöscht werden. Durch ein Berechtigungskonzept kann ein Unternehmen also sicherstellen, dass es alle Datenschutzvorschriften einhält und die Privatsphäre der betroffenen Personen schützt.
Die DSGVO verfolgt außerdem das Ziel, die Rechenschaftspflicht für Datenschutzverstöße zu erhöhen und gleichzeitig einen annähernd einheitlichen Datenschutzstandard in der EU zu erschaffen.
Absicherung durch Berechtigungskonzepte
Ein mangelhaftes Berechtigungskonzept kann zudem gravierende Folgen bezüglich des Datenschutzes eines Unternehmens haben. Ein unvollständiges oder fehlerhaftes Berechtigungskonzept erhöht die Möglichkeiten, dass sogenannte „Datenlecks“ bzw. Datenschutzverletzungen entstehen, also Daten in die falschen Hände geraten. Dabei reichen die Optionen von Wirtschaftsspionage bis hin zu Missverständnissen, bei denen z.B. unfertige Projekte an Personen kommuniziert werden, die davon (noch) nichts wissen sollten.
Ein weiteres Beispiel der gravierenden Folgen ist der Datenmissbrauch. Dieser fängt häufig klein an, kann aber sogar über kleinere betrügerische Aktivitäten bis hin zum Identitätsdiebstahl führen. Des Weiteren kann ein Verstoß gegen die DSGVO zu rechtlichen Folgen sowie empfindlichen Geldstrafen führen.
Dokumentenmanagement-Systeme können auch Berechtigungskonzepte abbilden. Was ein DMS sonst noch kann, zeigen wir im Webinar “Zentrale Funktionen eines DMS”
Wie können Berechtigungskonzepte aussehen?
Das Ziel eines Berechtigungskonzepts ist es unter anderem, die Zugriffe auf Daten zu überwachen und Datenverarbeitungsvorgänge übersichtlich nachvollziehen zu können. Wie ein Unternehmen dieses gestaltet, ist jedoch ziemlich flexibel nach Anforderungen und Bedürfnissen anpassbar. Es gibt jedoch ein paar Punkte, die man auf jeden Fall bei einem Berechtigungskonzept berücksichtigen sollte.
#1: Sammeln relevanter Informationen, Daten und Systeme
Wichtig ist es, zuerst alle Informationen, Daten und Systeme zu sammeln. Ein Berechtigungskonzept sollte auch eine Liste und Informationen zu den Nutzern (ihre Rollen und Aufgaben) enthalten. Hierbei sollte man auch Nutzer beachten, die keine Mitarbeitenden sind, wie zum Beispiel externe Dienstleister oder Kunden.
#2: Rollen und Identitäten bilden
Als nächster wichtiger Schritt sollten Rollen und Identitäten innerhalb des Berechtigungskonzepts gebildet werden. Diese dienen dazu, künftige Zugriffe auf Daten eindeutig zuordbar zu machen. Die Identitäten mit gleichen Befugnissen können zu Rollen zusammengefasst werden.
#3: Zugriffsrechte definieren und Rollen zuordnen
Anschließend müssen die Zugriffsrechte definiert und den verschiedenen Rollen/Identitäten zugeordnet werden. Die Definition der Zugriffsrechte gilt auch als der Kern eines Berechtigungskonzeptes. Auch wenn es dabei nicht ausreicht, den Zugriff zu verweigern oder zuzulassen, gibt es hier einen gewissen Spielraum in der Definition. Als Hilfe dienen aber sicherlich folgende Definitionen der Zugriffsrechte: keine Berechtigung, Leserecht, Schreibrecht (hinzufügen von Daten), Änderungsrecht (Änderung und Löschung von Daten) sowie der Vollzugriff. Am wichtigsten ist es hierbei jedoch, dass ausschließlich die absolut notwendigen Zugriffe gewährleistet werden. Man sollte nach dem Grundsatz der Minimierung von Berechtigungen („Need to know Prinzip“) handeln.
#4: Überprüfung des Berechtigungskonzepts
Der letzte und ebenfalls sehr wichtige Punkt eines Berechtigungskonzeptes ist die Überprüfung. Um die Sicherheit langfristig zu gewährleisten, ist es wichtig, das Berechtigungskonzept regelmäßig zu kontrollieren. In der Praxis werden Zugriffsrechte oftmals im Laufe der Zeit schwammiger verteilt, weil es bequemer ist. Es sollte also festgelegt werden, wie die Überwachung und Überprüfung der Zugriffsrechte und -aktivitäten durchgeführt werden und wer diese übernimmt.
Alle Vorteile eines Berechtigungskonzepts auf einen Blick
- Sicherheit: Ein Berechtigungskonzept erhöht die IT-Sicherheit eines Unternehmens.
- Compliance: Berechtigungskonzepte helfen bei der Erfüllung der rechtlichen Anforderungen (DSGVO).
- Effizienz: Ein Berechtigungskonzept steigert die Produktivität durch präzise Berechtigungen.
- Kommunikation/Transparenz: Berechtigungskonzepte sorgen für Transparenz bei den Berechtigungen und sorgen für eine vereinfachende unternehmensinterne Organisation und Kommunikation.
- Kosten: Durch ein Berechtigungskonzept können die Lizenzkosten minimiert werden, da nicht benötigte Lizenzen frühzeitig erkannt werden und somit gekündigt werden können. Auch mögliche Geldstrafen aufgrund von Datenschutzverletzungen werden vermieden.
Fazit
Zusammenfassend lässt sich also sagen, dass ein effektives Berechtigungskonzept ein wichtiger Bestandteil der IT-Sicherheit ist. Es ermöglicht Unternehmen, die Zugriffsrechte ihrer Mitarbeitenden auf IT-Systeme und Daten klar zu definieren und zu verwalten. Dadurch wird nicht nur die Informationssicherheit erhöht, sondern auch der Datenschutz gestärkt.