Fachartikel

Die DSGVO und Access Governance

Welcher Mitarbeiter hat Zugriff auf welche Benutzerkonten? Darf er diese Berechtigung überhaupt haben? In der komplexen IT-Landschaft eines Unternehmens den Überblick über sämtliche Zugriffsrechte zu behalten, ist für viele Verantwortliche eine zeitaufwendige Herausforderung. Zudem besteht durch die Datenschutz-Grundverordnung eine erhöhte Dokumentations- und Nachweispflicht. Wie unser Fachartikel zeigt, schafft eine DSGVO-konforme Access-Governance-Lösung hier Abhilfe und bringt Transparenz in die firmeninternen Rechtestrukturen.
Welcher Nutzer wo welche Berechtigungen hat, sollte sich im Idealfall auf Knopfdruck feststellen lassen.
Seit der Gültigkeit der DSGVO sind Unternehmen dazu verpflichtet, die Zugriffsrechte ihrer Mitarbeiter kontinuierlich zu überprüfen bzw. den aktuellen Status im Blick zu haben.  Doch die Verwaltung ist für viele IT-Administratoren ein großes Problem. Sie sind für viele verschiedene Systeme verantwortlich, die mit oft ganz eigenen Benutzerverwaltungen und Tools die Rechteverwaltung im Eigenmanagement nahezu unmöglich machen. Zusätzlich erschweren komplexe Systeme wie Cloudanwendungen eine effiziente Kontrolle der Zugriffsrechte.

Fragen, wie etwa welcher Mitarbeiter Zugriff hat auf vorhandene Benutzerkonten und ob diese Profile noch aktiv sind, müssen im Unternehmen eigentlich sofort zu beantworten sein. Lässt das die aktuelle Organisation nicht zu, dann heißt es handeln. Aber wie gehen IT-Verantwortliche am besten vor? Hier mit einfachen Bordmitteln wie Word und Excel den Überblick zu behalten und Transparenz über sämtliche Rechtestrukturen zu bringen, nimmt viel Zeit in Anspruch und verursacht zudem hohe Kosten.

Außerdem besteht eine erhöhte Dokumentations- und Nachweispflicht. Unternehmen müssen ihre Datenverarbeitungsprozesse ausführlich protokollieren. Sie müssen nachweisen können, dass die Verarbeitung ihrer personenbezogenen Daten datenschutzkonform erfolgt. Bei Nichteinhaltung der Anforderungen der DSGVO drohen Unternehmen hohe Strafen.

Verwaltung der Zugriffsrechte leicht gemacht
Eine DSGVO-konforme Access-Governance-Software schafft hier Abhilfe und bringt Transparenz über die Rechtestrukturen im Unternehmen. Sie sammelt und dokumentiert kontinuierlich alle Informationen über die Zugriffsrechte der Mitarbeiter aus sämtlichen Systemen der firmeninternen IT-Landschaft. Der IT-Administrator erhält auf Knopfdruck einen exakten Überblick und wird bei Änderungen oder Abweichungen in der Berechtigungsvergabe umgehend benachrichtigt. So kann er eventuelle Unstimmigkeiten schnell beheben.

Was soll ein Mitarbeiter in seiner entsprechenden Position für Rechte erhalten? Mit Hilfe einer geeigneten Access Governance-Software kann der IT-Administrator verschiedenen Personen in unterschiedlichen Positionen bestimmte Rollen zuordnen. So ist er außerdem in der Lage, Berechtigungsvorlagen (Schablonen) zu erstellen, die er für zukünftige Mitarbeiter in der gleichen Position einfach übertragen kann. So lässt sich schnell überprüfen, ob die Person bereits die richtigen Berechtigungen besitzt.
IT-Abteilung entlasten
Mit einer Access Governance-Lösung kann der IT-Administrator gewisse Tätigkeiten gezielt aus der IT-Abteilung auslagern und somit Verantwortung abgeben. Die Berechtigungen werden dann nicht mehr in der IT, sondern zum Beispiel in der jeweiligen Fachabteilung kontrolliert beziehungsweise rezertifiziert. Diese ist somit für die Verwaltung zuständig und kann beispielsweise Löschungen initiieren. Die IT-Abteilung wird zwar bei Änderungen benachrichtigt, ist aber nicht dafür verantwortlich und wird so deutlich entlastet.

Active-Directory-Zugriff sichern
In Unternehmen kommen häufig Verzeichnisdienste wie das Active Directory von Microsoft zum Einsatz, die wiederum andere Systeme und somit auch deren Berechtigungen steuern. Das lässt sich anhand eines Beispiels verdeutlichen:

Zum Einsatz kommt eine Collaboration-Plattform, die nur bestimmten Personen zur Verfügung steht. Die Zugriffsberechtigungen werden aus dem AD gesteuert. Der Systemmanager für die Collaboration-Plattform soll aber keinen Zugriff auf das gesamte Active Directory haben. Er hat nur die Verantwortung für die Berechtigungen innerhalb der Collaboration-Plattform.

In einem solchen Fall ist es mit einer geeigneten Access-Governance-Lösung möglich, für den Systemmanager Unterbereiche anzulegen, sodass dieser nur den für ihn relevanten Teilbereich und nicht die Berechtigungen des gesamten Active Directory einsehen kann.

Dokumentations- und Nachweispflicht
Um die erhöhten Dokumentations- und Nachweispflichten der Datenschutzreform zu erfüllen, sollte eine DSGVO-konforme Access-Governance-Software jederzeit Reports zur Verfügung stellen können. Mit wenig Aufwand erhält der IT-Administrator so Übersichten über die Zugriffsrechte im Unternehmen. Dies erspart umfangreiche Excel-Sheets, die im Vorhinein aufwendig recherchiert werden müssen und lediglich eine Stichtagsbetrachtung sind. Zudem schleichen sich bei der Verwaltung aufgrund fehlender Übersicht schnell Fehler ein. Automatisierte Lösungen stellen alle notwendigen Informationen zur Verfügung und halten diese kontinuierlich bereit.

Hinzu kommt, dass sich in der IT über die Jahre verwaiste Konten ansammeln, die unnötig Lizenzkosten verursachen. Außerdem häufen sich zahlreiche Mitarbeiterberechtigungen an, die aber nach aktuellem Stand gar nicht vergeben werden dürften. Mit einer DSGVO-konformen Access-Governance-Software lassen sich die Mitarbeiterrechte auf einen Blick einsehen. So ist der IT-Administrator in der Lage, sämtliche Systeme der firmeninternen IT-Landschaft schnell "aufzuräumen" und aktuell zu halten.

Checkliste: Access Governance-Software
  • Erfüllung gesetzlicher Vorgaben
  • Transparenz: vollständige Erfassung der Zugriffsrechte sämtlicher Systeme
  • Zentrale Weboberfläche: Berechtigungen auf einen Blick
  • Konfigurierbares Rollenmodell und Berechtigungsvorlagen: einfache Darstellung und Bewertung der Berechtigungen
  • Soll-Ist-Abgleiche
  • Benachrichtigungsfunktion bei Rechteveränderungen
  • IT-Abteilung entlasten, Verantwortung in Fachabteilungen verlagern
  • Unbefugte Datenzugriffe minimieren: Sicherheit erhöhen

Fazit
Eine Access-Governance-Software deckt fehlerhafte Berechtigungen auf und erschwert so den Missbrauch von Überberechtigungen und unberechtigten Datenzugriffen. IT-Administratoren müssen durch den Einsatz einer solchen Lösung nicht mehr stundenlang mit der Zuordnung von Rechten und Mitarbeitern verbringen und können Verantwortung über bestimmte Berechtigungen auslagern. Die Software bringt maximale Transparenz über die Rechtestrukturen im Unternehmen, minimiert unbefugte Datenzugriffe und erhöht somit die firmeninterne IT-Sicherheit. Das ist – nicht nur in Hinblick auf die Datenschutz-Grundverordnung – eine deutliche Entlastung für Unternehmen. Die verantwortlichen IT-Administratoren können sich somit wieder voll und ganz ihren Kernaufgaben zuwenden.
19.09.2018/ln/Jürgen Bähr, Geschäftsführer G+H Systems

Nachrichten

Deutliche Zunahme von DDoS-Angriffen [11.11.2019]

Im dritten Quartal 2019 stieg die Anzahl der DDoS-Angriffe gegenüber dem Vorquartal um 30 Prozent an. Zu diesem Schluss kommt eine Untersuchung von Kaspersky Lab. 53 Prozent der Attacken fanden demnach im September statt. Darüber hinaus gab es einen Anstieg einfacherer DDoS-Angriffe, die vor allem akademische Webseiten im Visier hatten. [mehr]

Emotet wird zur globalen Bedrohung [8.11.2019]

Die Schadsoftware Emotet etabliert sich als globale Bedrohung. Zu diesem Schluss kommt Proofpoint in seinem Threat Report für das dritte Quartal 2019. Besonders auffällig ist dabei, dass die Schadsoftware Emotet allein bei 12 Prozent aller E-Mails mit Malware im Anhang zum Einsatz kam – obwohl Emotet nur in den letzten beiden Wochen des Septembers nennenswert aktiv war. Das heißt demnach, dass in diesem kurzen Zeitraum mehrere Millionen von Nachrichten mit bösartigen URLs oder Anhängen versandt wurden. [mehr]

Tipps & Tools

Vorschau November 2019: Container & Anwendungsserver [21.10.2019]

Das Bereitstellen von Anwendungen ist eine zentrale Administrationsaufgabe und Fehler hierbei fallen Mitarbeitern wie Kunden unmittelbar auf. Eine wichtige Rolle spielt das Fundament für Applikationen, die Serverlandschaft. In der November-Ausgabe beleuchtet IT-Administrator das Thema "Container & Anwendungsserver". Darin lesen Sie etwa, welche Best Practices Sie bei Microsofts IIS nutzen sollten und wie Sie Container-Logdaten mit Fluentbit auswerten. Außerdem werfen wir einen Blick auf die Orchestrierung von Containern und die Kubernetes-Alternative Nomad. In den Tests tritt der Solarwinds Server & Application Monitor an. [mehr]

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Buchbesprechung

Windows Server 2019

von Peter Kloep, Karsten Weigel, Kevin Momber, Raphael Rojas und Annette Frankl

Anzeigen