Fachartikel

Die DSGVO und Access Governance

Welcher Mitarbeiter hat Zugriff auf welche Benutzerkonten? Darf er diese Berechtigung überhaupt haben? In der komplexen IT-Landschaft eines Unternehmens den Überblick über sämtliche Zugriffsrechte zu behalten, ist für viele Verantwortliche eine zeitaufwendige Herausforderung. Zudem besteht durch die Datenschutz-Grundverordnung eine erhöhte Dokumentations- und Nachweispflicht. Wie unser Fachartikel zeigt, schafft eine DSGVO-konforme Access-Governance-Lösung hier Abhilfe und bringt Transparenz in die firmeninternen Rechtestrukturen.
Welcher Nutzer wo welche Berechtigungen hat, sollte sich im Idealfall auf Knopfdruck feststellen lassen.
Seit der Gültigkeit der DSGVO sind Unternehmen dazu verpflichtet, die Zugriffsrechte ihrer Mitarbeiter kontinuierlich zu überprüfen bzw. den aktuellen Status im Blick zu haben.  Doch die Verwaltung ist für viele IT-Administratoren ein großes Problem. Sie sind für viele verschiedene Systeme verantwortlich, die mit oft ganz eigenen Benutzerverwaltungen und Tools die Rechteverwaltung im Eigenmanagement nahezu unmöglich machen. Zusätzlich erschweren komplexe Systeme wie Cloudanwendungen eine effiziente Kontrolle der Zugriffsrechte.

Fragen, wie etwa welcher Mitarbeiter Zugriff hat auf vorhandene Benutzerkonten und ob diese Profile noch aktiv sind, müssen im Unternehmen eigentlich sofort zu beantworten sein. Lässt das die aktuelle Organisation nicht zu, dann heißt es handeln. Aber wie gehen IT-Verantwortliche am besten vor? Hier mit einfachen Bordmitteln wie Word und Excel den Überblick zu behalten und Transparenz über sämtliche Rechtestrukturen zu bringen, nimmt viel Zeit in Anspruch und verursacht zudem hohe Kosten.

Außerdem besteht eine erhöhte Dokumentations- und Nachweispflicht. Unternehmen müssen ihre Datenverarbeitungsprozesse ausführlich protokollieren. Sie müssen nachweisen können, dass die Verarbeitung ihrer personenbezogenen Daten datenschutzkonform erfolgt. Bei Nichteinhaltung der Anforderungen der DSGVO drohen Unternehmen hohe Strafen.

Verwaltung der Zugriffsrechte leicht gemacht
Eine DSGVO-konforme Access-Governance-Software schafft hier Abhilfe und bringt Transparenz über die Rechtestrukturen im Unternehmen. Sie sammelt und dokumentiert kontinuierlich alle Informationen über die Zugriffsrechte der Mitarbeiter aus sämtlichen Systemen der firmeninternen IT-Landschaft. Der IT-Administrator erhält auf Knopfdruck einen exakten Überblick und wird bei Änderungen oder Abweichungen in der Berechtigungsvergabe umgehend benachrichtigt. So kann er eventuelle Unstimmigkeiten schnell beheben.

Was soll ein Mitarbeiter in seiner entsprechenden Position für Rechte erhalten? Mit Hilfe einer geeigneten Access Governance-Software kann der IT-Administrator verschiedenen Personen in unterschiedlichen Positionen bestimmte Rollen zuordnen. So ist er außerdem in der Lage, Berechtigungsvorlagen (Schablonen) zu erstellen, die er für zukünftige Mitarbeiter in der gleichen Position einfach übertragen kann. So lässt sich schnell überprüfen, ob die Person bereits die richtigen Berechtigungen besitzt.
IT-Abteilung entlasten
Mit einer Access Governance-Lösung kann der IT-Administrator gewisse Tätigkeiten gezielt aus der IT-Abteilung auslagern und somit Verantwortung abgeben. Die Berechtigungen werden dann nicht mehr in der IT, sondern zum Beispiel in der jeweiligen Fachabteilung kontrolliert beziehungsweise rezertifiziert. Diese ist somit für die Verwaltung zuständig und kann beispielsweise Löschungen initiieren. Die IT-Abteilung wird zwar bei Änderungen benachrichtigt, ist aber nicht dafür verantwortlich und wird so deutlich entlastet.

Active-Directory-Zugriff sichern
In Unternehmen kommen häufig Verzeichnisdienste wie das Active Directory von Microsoft zum Einsatz, die wiederum andere Systeme und somit auch deren Berechtigungen steuern. Das lässt sich anhand eines Beispiels verdeutlichen:

Zum Einsatz kommt eine Collaboration-Plattform, die nur bestimmten Personen zur Verfügung steht. Die Zugriffsberechtigungen werden aus dem AD gesteuert. Der Systemmanager für die Collaboration-Plattform soll aber keinen Zugriff auf das gesamte Active Directory haben. Er hat nur die Verantwortung für die Berechtigungen innerhalb der Collaboration-Plattform.

In einem solchen Fall ist es mit einer geeigneten Access-Governance-Lösung möglich, für den Systemmanager Unterbereiche anzulegen, sodass dieser nur den für ihn relevanten Teilbereich und nicht die Berechtigungen des gesamten Active Directory einsehen kann.

Dokumentations- und Nachweispflicht
Um die erhöhten Dokumentations- und Nachweispflichten der Datenschutzreform zu erfüllen, sollte eine DSGVO-konforme Access-Governance-Software jederzeit Reports zur Verfügung stellen können. Mit wenig Aufwand erhält der IT-Administrator so Übersichten über die Zugriffsrechte im Unternehmen. Dies erspart umfangreiche Excel-Sheets, die im Vorhinein aufwendig recherchiert werden müssen und lediglich eine Stichtagsbetrachtung sind. Zudem schleichen sich bei der Verwaltung aufgrund fehlender Übersicht schnell Fehler ein. Automatisierte Lösungen stellen alle notwendigen Informationen zur Verfügung und halten diese kontinuierlich bereit.

Hinzu kommt, dass sich in der IT über die Jahre verwaiste Konten ansammeln, die unnötig Lizenzkosten verursachen. Außerdem häufen sich zahlreiche Mitarbeiterberechtigungen an, die aber nach aktuellem Stand gar nicht vergeben werden dürften. Mit einer DSGVO-konformen Access-Governance-Software lassen sich die Mitarbeiterrechte auf einen Blick einsehen. So ist der IT-Administrator in der Lage, sämtliche Systeme der firmeninternen IT-Landschaft schnell "aufzuräumen" und aktuell zu halten.

Checkliste: Access Governance-Software
  • Erfüllung gesetzlicher Vorgaben
  • Transparenz: vollständige Erfassung der Zugriffsrechte sämtlicher Systeme
  • Zentrale Weboberfläche: Berechtigungen auf einen Blick
  • Konfigurierbares Rollenmodell und Berechtigungsvorlagen: einfache Darstellung und Bewertung der Berechtigungen
  • Soll-Ist-Abgleiche
  • Benachrichtigungsfunktion bei Rechteveränderungen
  • IT-Abteilung entlasten, Verantwortung in Fachabteilungen verlagern
  • Unbefugte Datenzugriffe minimieren: Sicherheit erhöhen

Fazit
Eine Access-Governance-Software deckt fehlerhafte Berechtigungen auf und erschwert so den Missbrauch von Überberechtigungen und unberechtigten Datenzugriffen. IT-Administratoren müssen durch den Einsatz einer solchen Lösung nicht mehr stundenlang mit der Zuordnung von Rechten und Mitarbeitern verbringen und können Verantwortung über bestimmte Berechtigungen auslagern. Die Software bringt maximale Transparenz über die Rechtestrukturen im Unternehmen, minimiert unbefugte Datenzugriffe und erhöht somit die firmeninterne IT-Sicherheit. Das ist – nicht nur in Hinblick auf die Datenschutz-Grundverordnung – eine deutliche Entlastung für Unternehmen. Die verantwortlichen IT-Administratoren können sich somit wieder voll und ganz ihren Kernaufgaben zuwenden.
19.09.2018/ln/Jürgen Bähr, Geschäftsführer G+H Systems

Nachrichten

Direkter Draht zur Google-Cloud [18.10.2018]

Der Netzwerk- und IT-Dienstleister BT bietet mit 'BT Cloud Connect for Google Cloud' einen Service an, der Unternehmen einen einfachen, direkten und schnellen Zugriff auf die Google Cloud Platform ermöglicht. Dabei erhalten Kunden eine direkte Anbindung mit Bandbreiten von 50 MBit/s bis 2 GBit/s. [mehr]

Schlüsselfertige SaaS-Filesharing [18.10.2018]

Mit 'ownCloud.online' stellt ownCloud ein neues Cloudangebot vor, das die Vorteile von Open Source und sicherem Hosting in deutschen Rechenzentren mit der Benutzerfreundlichkeit von Public Cloud-Diensten wie Dropbox verbinden soll. Die Software lasse sich auch ohne IT-Kenntnisse einfach und schnell einrichten und sei damit auch für Unternehmen ohne eigene IT-Abteilung geeignet. [mehr]

Tipps & Tools

Anwendung für fehlende Dateiendung finden [18.10.2018]

Nach einem Systemcrash oder einem Virenangriff sind die von der Datenrettung zurückgeholten Dateien teilweise nicht mehr mit der originalen Endung vorhanden. Mit einem kleinen Trick können Sie die Zuordnung jedoch zumindest bei Office-Dateien auch ohne einem tiefgründigen Untersuchen der Dateistruktur schnell herausfinden. Dies liegt daran, dass bei neueren MS-Office-Formaten immer eine ZIP-Datei die Basis darstellt. [mehr]

Vorschau November 2018: Infrastrukturmanagement [17.10.2018]

In der November-Ausgabe beleuchtet IT-Administrator wesentliche Aspekte des Infrastrukturmanagements. Dazu gehört die Frage, wie Sie Rechenzentren erfolgreich umziehen und Edge-Computing richtig in die IT-Umgebung einbinden. Auch zeigen wir, welche Neuerungen Microsofts System Center 2019 mitbringt und wie Sie Windows-Systeme erfolgreich auf eine andere Hardware transferieren. In den Produkttests beweist unter anderem Splunk Insights for Infrastructure in Sachen Monitoring und Logfile-Analyse sein Können. [mehr]

Buchbesprechung

Praxisbuch IT-Dokumentation

von Manuela und Georg Reiss

Anzeigen