Das 3. Gebot: Zugriffskontrolle durch Berechtigungskonzept
Im Gegensatz zur Zugangskontrolle, die nur zwischen befugten und unbefugten Personen unterscheidet, regelt die Zugriffskontrolle, dass grundsätzlich befugte Nutzer von EDV-Systemen nur auf Daten im Rahmen ihrer Befugnisse zugreifen können. Weiterhin soll hierdurch das unbefugte Lesen, Kopieren, Ändern oder Löschen personenbezogener Daten verhindert werden. Allgemeine Zielrichtung ist somit die Verhinderung unberechtigter Datenzugriffe. Hierzu sind sowohl technische als auch organisatorische Maßnahmen erforderlich.

Need-to-know-Prinzip und Vertreterregelung
Durch die Erstellung eines umfassenden Berechtigungskonzeptes legen Sie neben allgemeinen Zugriffsberechtigungen auch genau fest, wer bestimmte Daten lesen, ändern, löschen oder versenden darf. Hierzu prüfen Sie in einem ersten Schritt genau, welche Daten einzelne Mitarbeiter für ihre tägliche Arbeit benötigen. Im Anschluss erteilen Sie Zugriffsberechtigungen gemäß dem Need-to-know-Prinzip nur für diese Daten (siehe BSI IT-Grundschutz-Kataloge, Punkt M 2.8: Vergabe von Zugriffsrechten) [2]. Hierzu bietet es sich an, die jeweiligen Stellen- und Funktionsbeschreibungen heranzuziehen, um bereits frühzeitig die Berechtigungen auf einzelne Bereiche oder Abteilungen wie Controlling oder Personal zu beschränken. Sodann vergeben Sie innerhalb der jeweils vorhandenen Daten gemäß dem Need-to-know-Prinzip die Zugriffsberechtigungen. Keinesfalls dürfen hierbei Berechtigungen nur aufgrund einer gewissen Hierarchiestufe vergeben werden. Das auf dieser Grundlage erstellte Berechtigungskonzept sollte zusätzlich klare Vorgaben zur Vertreterregelung enthalten. In einem zweiten Schritt sind weitergehende Berechtigungen zu definieren und etwa zwischen Lese- und Schreibrechten zu unterscheiden. Insbesondere ist auch zu gewährleisten, dass Daten nicht unbefugt gelöscht werden können.

Regelung zur Rechtevergabe
Es sind Vorgaben zu Beantragung, Änderung und Entzug von Berechtigungen festzulegen. Eine Freischaltung quasi auf Zuruf, wie in vielen Unternehmen üblich, gilt es zu unterbinden. Darüber hinaus muss die zentrale Rechtevergabe samt Vertreterregelung in der IT-Abteilung angesiedelt und klar geregelt werden. Insbesondere bei Abteilungswechsel müssen Sie darauf achten, dass neben der Einrichtung "neuer" Berechtigungen auch die nicht mehr benötigten Berechtigungen entzogen werden, denn nicht selten verfügen übernommene Azubis über Zugriffsberechtigungen für beispielsweise eine Vielzahl von SAP-Modulen. Weitere mögliche Maßnahmen sind

• ein interner Prozess zur kontrollierten Vernichtung von Fehldrucken vertraulicher Dokumente etwa über sogenannte Datentonnen
• die mechanische Zerstörung entsorgter Festplatten samt Protokollierung des Zerstörungsvorgangs
• die Verschlüsselung von Laptop- und USB-Datenträgern. Der Zugriff auf ungeschützte Laptops oder mobile Speichermedien ist nicht kontrollierbar.
• die Sperrung externer Schnittstellen zur Verhinderung unautorisierter Zugriffe durch Booten des Rechners über USB-Stick und zur Verhinderung von Datenkopien (auch eine Maßnahme der Zugangskontrolle).
• Nutzung von Thin Clients, soweit keine vollwertigen Client-Rechner benötigt werden.

Fazit
Die gesetzlich geforderten technischen und organisatorischen Maßnahmen der Zugangs- und Zugriffskontrolle dienen – wie die übrigen TOMs – dem Schutz personenbezogener Daten. Für Unternehmen ergeben sich bei ordnungsgemäßer Umsetzung dieser Vorgaben indes neben dem Aspekt der Datenschutz-Compliance weitergehende Vorteile wie etwa der erhöhte Schutz unternehmenskritischer Informationen und des internen Know-hows. Somit kommen einzelne Maßnahmen der Datenschutz-Compliance nicht nur dem Schutz personenbezogener Daten zugute, sondern vielmehr wird hierdurch die gesamte Datensicherheit in Unternehmen erhöht und damit auch deren Wettbewerbsfähigkeit gesichert.

Giovanni Brugugnone ist Rechtsanwalt sowie Consultant Datenschutz und IT-Compliance bei der intersoft consulting services AG.

  <<Vorherige Seite                Seite 2 von 2

Giovanni Brugugnone/dr/ln

[2] www.bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m02/m02008.html