KRITIS für den Mittelstand: Berechtigungskonzept

von Ahmad Safwan

Warum benötigen wir ein Berechtigungskonzept?

In Zeiten zunehmender Digitalisierung, steigender Datenbestände und vielfältiger Speicher- sowie Verarbeitungsmöglichkeiten sind der Zugriff wie auch das Kopieren, Verändern oder Löschen von großen Datenmengen innerhalb kürzester Zeit eine Leichtigkeit. Wollen wir verhindern, dass unsere Kundendatenbank kopiert und womöglich veröffentlicht wird, unsere Forschungsergebnisse entwendet und dem Wettbewerb verkauft werden oder Personaldaten an die Öffentlichkeit geraten, gilt es, einige Anstrengungen auf uns zu nehmen.

tl_files/MR/Bilder/Marketing/shutterstock_186543731.jpg

Häufig werden derartige Sorgen schnell mit Firewalls oder Verschlüsselung von Datenspeichern und Transportwegen zu beantworten versucht. Und sicherlich ist man auch gut beraten, solche oder ähnliche Systeme zu verwenden. Doch solange wir uns nicht ausdrücklich im Klaren darüber sind, wem wir wann Zugang zu welchen Daten in welchem Umfang erteilen wollen, helfen diese Tools uns nur wenig. 

Um diese Klarheit zu erlangen und mit einem sinnvollen Schutz unserer Daten beginnen zu können, benötigen wir also ein Berechtigungskonzept. 

 

Was verstehen wir unter einem Berechtigungskonzept? 

In einem Berechtigungskonzept wird geregelt, welche Daten in welcher Form von wem verarbeitet werden dürfen. Nur wenn wir wissen, was wir vor wem schützen und/oder wozu wir wem Zugriff gewähren wollen, können wir die dazu passende Strategie festlegen. Das Berechtigungskonzept stellt damit die Grundlage für die Absicherung unserer Daten, also für unsere IT-Sicherheitsstrategie dar.

tl_files/MR/Bilder/Marketing/bild.jpg

Wie erstellen wir ein Berechtigungskonzept? 

Dateiserver? Netzwerkspeicher (NAS)? Warenwirtschafts- oder Kundendatensysteme? Cloud-Dienste? Wichtige Basis für die Erstellung eines Berechtigungskonzepts ist es, in Erfahrung zu bringen, welche Daten wir überhaupt zu schützen haben. Hierüber sollten wir eine Dokumentation führen oder in diesem Schritt neu erstellen. 

Als nächstes prüfen wir, ob die Datenbestände noch relevant sind. Gerade bei neuerstellten Dokumentationen werden häufig Datengräber aufgefunden, die nicht länger benutzt und entsprechend auch nicht gewartet werden. Doch auch veraltete Datensätze dürfen nicht in falsche Hände gelangen! Eine Migration oder ein Entfernen der Daten können ratsam werden und den Wartungsaufwand reduzieren. 

Wenn wir uns im Klaren darüber sind, welche schützenswerten Daten wir nutzen, können wir den nächsten Schritt gehen: Prüfen, wer jeweils welchen Zugriff benötigt. In kleineren Umgebungen kann das häufig der Geschäftsführer beurteilen, in größeren können zusätzlich die Bewertungen durch Abteilungsleiter oder Facharbeiter sinnvoll werden. Das Ergebnis dokumentieren wir übersichtlich und standardisiert und kommunizieren es an die notwendigen Stellen, sodass eine Entwicklung unserer Datenbestände unter Berücksichtigung unserer Berechtigungsstrategie sichergestellt wird. 

Einige Punkte, die bei einem Berechtigungskonzept Beachtung finden sollten: 

  • Welche Speicherorte stehen uns zur Verfügung? 
  • Welche Daten legen wir dort ab? 
  • Wer kann auf diese Daten zugreifen? 
  • Wie können die Daten verarbeitet werden (lesend/schreibend/voll)? 
  • Seit und bis wann können sie so verarbeitet werden?
  • In welchem Takt werden diese Informationen überprüft und je nach Bedarf beibehalten oder geändert?
  • Berechtigungskonzepte sind Chefsache, denn dieser trägt die Verantwortung dafür, welche Abteilung oder welcher Mitarbeiter Zugang zu welchem Wissen erlangt. Im Zweifelsfall sperren wir lieber einen Zugriff zu viel und stellen ihn bei Bedarf wieder her, als eine unnötige Sicherheitslücke zu schaffen.

 

Zurück