Fachartikel

Die DSGVO und Access Governance

Welcher Mitarbeiter hat Zugriff auf welche Benutzerkonten? Darf er diese Berechtigung überhaupt haben? In der komplexen IT-Landschaft eines Unternehmens den Überblick über sämtliche Zugriffsrechte zu behalten, ist für viele Verantwortliche eine zeitaufwendige Herausforderung. Zudem besteht durch die Datenschutz-Grundverordnung eine erhöhte Dokumentations- und Nachweispflicht. Wie unser Fachartikel zeigt, schafft eine DSGVO-konforme Access-Governance-Lösung hier Abhilfe und bringt Transparenz in die firmeninternen Rechtestrukturen.
Welcher Nutzer wo welche Berechtigungen hat, sollte sich im Idealfall auf Knopfdruck feststellen lassen.
Seit der Gültigkeit der DSGVO sind Unternehmen dazu verpflichtet, die Zugriffsrechte ihrer Mitarbeiter kontinuierlich zu überprüfen bzw. den aktuellen Status im Blick zu haben.  Doch die Verwaltung ist für viele IT-Administratoren ein großes Problem. Sie sind für viele verschiedene Systeme verantwortlich, die mit oft ganz eigenen Benutzerverwaltungen und Tools die Rechteverwaltung im Eigenmanagement nahezu unmöglich machen. Zusätzlich erschweren komplexe Systeme wie Cloudanwendungen eine effiziente Kontrolle der Zugriffsrechte.

Fragen, wie etwa welcher Mitarbeiter Zugriff hat auf vorhandene Benutzerkonten und ob diese Profile noch aktiv sind, müssen im Unternehmen eigentlich sofort zu beantworten sein. Lässt das die aktuelle Organisation nicht zu, dann heißt es handeln. Aber wie gehen IT-Verantwortliche am besten vor? Hier mit einfachen Bordmitteln wie Word und Excel den Überblick zu behalten und Transparenz über sämtliche Rechtestrukturen zu bringen, nimmt viel Zeit in Anspruch und verursacht zudem hohe Kosten.

Außerdem besteht eine erhöhte Dokumentations- und Nachweispflicht. Unternehmen müssen ihre Datenverarbeitungsprozesse ausführlich protokollieren. Sie müssen nachweisen können, dass die Verarbeitung ihrer personenbezogenen Daten datenschutzkonform erfolgt. Bei Nichteinhaltung der Anforderungen der DSGVO drohen Unternehmen hohe Strafen.

Verwaltung der Zugriffsrechte leicht gemacht
Eine DSGVO-konforme Access-Governance-Software schafft hier Abhilfe und bringt Transparenz über die Rechtestrukturen im Unternehmen. Sie sammelt und dokumentiert kontinuierlich alle Informationen über die Zugriffsrechte der Mitarbeiter aus sämtlichen Systemen der firmeninternen IT-Landschaft. Der IT-Administrator erhält auf Knopfdruck einen exakten Überblick und wird bei Änderungen oder Abweichungen in der Berechtigungsvergabe umgehend benachrichtigt. So kann er eventuelle Unstimmigkeiten schnell beheben.

Was soll ein Mitarbeiter in seiner entsprechenden Position für Rechte erhalten? Mit Hilfe einer geeigneten Access Governance-Software kann der IT-Administrator verschiedenen Personen in unterschiedlichen Positionen bestimmte Rollen zuordnen. So ist er außerdem in der Lage, Berechtigungsvorlagen (Schablonen) zu erstellen, die er für zukünftige Mitarbeiter in der gleichen Position einfach übertragen kann. So lässt sich schnell überprüfen, ob die Person bereits die richtigen Berechtigungen besitzt.
IT-Abteilung entlasten
Mit einer Access Governance-Lösung kann der IT-Administrator gewisse Tätigkeiten gezielt aus der IT-Abteilung auslagern und somit Verantwortung abgeben. Die Berechtigungen werden dann nicht mehr in der IT, sondern zum Beispiel in der jeweiligen Fachabteilung kontrolliert beziehungsweise rezertifiziert. Diese ist somit für die Verwaltung zuständig und kann beispielsweise Löschungen initiieren. Die IT-Abteilung wird zwar bei Änderungen benachrichtigt, ist aber nicht dafür verantwortlich und wird so deutlich entlastet.

Active-Directory-Zugriff sichern
In Unternehmen kommen häufig Verzeichnisdienste wie das Active Directory von Microsoft zum Einsatz, die wiederum andere Systeme und somit auch deren Berechtigungen steuern. Das lässt sich anhand eines Beispiels verdeutlichen:

Zum Einsatz kommt eine Collaboration-Plattform, die nur bestimmten Personen zur Verfügung steht. Die Zugriffsberechtigungen werden aus dem AD gesteuert. Der Systemmanager für die Collaboration-Plattform soll aber keinen Zugriff auf das gesamte Active Directory haben. Er hat nur die Verantwortung für die Berechtigungen innerhalb der Collaboration-Plattform.

In einem solchen Fall ist es mit einer geeigneten Access-Governance-Lösung möglich, für den Systemmanager Unterbereiche anzulegen, sodass dieser nur den für ihn relevanten Teilbereich und nicht die Berechtigungen des gesamten Active Directory einsehen kann.

Dokumentations- und Nachweispflicht
Um die erhöhten Dokumentations- und Nachweispflichten der Datenschutzreform zu erfüllen, sollte eine DSGVO-konforme Access-Governance-Software jederzeit Reports zur Verfügung stellen können. Mit wenig Aufwand erhält der IT-Administrator so Übersichten über die Zugriffsrechte im Unternehmen. Dies erspart umfangreiche Excel-Sheets, die im Vorhinein aufwendig recherchiert werden müssen und lediglich eine Stichtagsbetrachtung sind. Zudem schleichen sich bei der Verwaltung aufgrund fehlender Übersicht schnell Fehler ein. Automatisierte Lösungen stellen alle notwendigen Informationen zur Verfügung und halten diese kontinuierlich bereit.

Hinzu kommt, dass sich in der IT über die Jahre verwaiste Konten ansammeln, die unnötig Lizenzkosten verursachen. Außerdem häufen sich zahlreiche Mitarbeiterberechtigungen an, die aber nach aktuellem Stand gar nicht vergeben werden dürften. Mit einer DSGVO-konformen Access-Governance-Software lassen sich die Mitarbeiterrechte auf einen Blick einsehen. So ist der IT-Administrator in der Lage, sämtliche Systeme der firmeninternen IT-Landschaft schnell "aufzuräumen" und aktuell zu halten.

Checkliste: Access Governance-Software
  • Erfüllung gesetzlicher Vorgaben
  • Transparenz: vollständige Erfassung der Zugriffsrechte sämtlicher Systeme
  • Zentrale Weboberfläche: Berechtigungen auf einen Blick
  • Konfigurierbares Rollenmodell und Berechtigungsvorlagen: einfache Darstellung und Bewertung der Berechtigungen
  • Soll-Ist-Abgleiche
  • Benachrichtigungsfunktion bei Rechteveränderungen
  • IT-Abteilung entlasten, Verantwortung in Fachabteilungen verlagern
  • Unbefugte Datenzugriffe minimieren: Sicherheit erhöhen

Fazit
Eine Access-Governance-Software deckt fehlerhafte Berechtigungen auf und erschwert so den Missbrauch von Überberechtigungen und unberechtigten Datenzugriffen. IT-Administratoren müssen durch den Einsatz einer solchen Lösung nicht mehr stundenlang mit der Zuordnung von Rechten und Mitarbeitern verbringen und können Verantwortung über bestimmte Berechtigungen auslagern. Die Software bringt maximale Transparenz über die Rechtestrukturen im Unternehmen, minimiert unbefugte Datenzugriffe und erhöht somit die firmeninterne IT-Sicherheit. Das ist – nicht nur in Hinblick auf die Datenschutz-Grundverordnung – eine deutliche Entlastung für Unternehmen. Die verantwortlichen IT-Administratoren können sich somit wieder voll und ganz ihren Kernaufgaben zuwenden.
19.09.2018/ln/Jürgen Bähr, Geschäftsführer G+H Systems

Nachrichten

Hacker-Angriff auf Marriott möglicherweise politisch motiviert [14.12.2018]

Berichten zufolge steckt hinter einer massiven Cyberattacke in einer Marriott-Hotelkette ein chinesischer Geheimdienst, der die persönlichen Informationen von bis zu 500 Millionen Kunden erbeutete. Dies meldet das IT-Sicherheitsunternehmen Vectra. [mehr]

Sicherheitslücken in verbreiteten IoT-Protokollen [14.12.2018]

Trend Micro warnt Unternehmen vor möglichen Sicherheitslücken in ihrer Betriebstechnologie. Forscher des japanischen IT-Sicherheitsanbieters entdeckten massive Schwachstellen und gefährdete Anwendungen von zwei weit verbreiteten Protokollen für die Machine-to-Machine-Kommunikation. [mehr]

Tipps & Tools

Audioprobleme bei Remotesession beheben [2.12.2018]

Wer Linux-Endgeräte im Zusammenspiel mit der USB-Geräteumleitung von Audiogeräten in einer XenApp/Virtual-Apps-Remotesession nutzt, steht unter Umständen vor folgendem Problem: Die USB-Geräteumleitung von Audiogeräten über einen Linux-Receiver zum Server-VDA auf Basis von Windows Server 2016 funktioniert nicht korrekt. Das Gerät erscheint zwar im Gerätemanager, wird jedoch nicht unter Wiedergabegeräte als Audio-Ein-/Ausgabegerät angezeigt. Doch es gibt eine einfach Lösung. [mehr]

Neues Training: Amazon Web Services für KMUs [26.11.2018]

Nach anfänglichen, hauptsächlich auf Sicherheitsfragen basierenden Bedenken gegen die Nutzung von Public-Cloud-Diensten, steigt der Einsatz von IaaS- oder SaaS-Diensten nun auch bei in Deutschland beheimateten Unternehmen rasant an. Doch gerade für KMU mit einer kleinen IT-Mannschaft gilt es dabei, die Komplexität der von Amazon Web Services angebotenen Dienste ebenso zu beherrschen wie die Integration in die lokale IT. Unser  Training im Frühjahr 2019 greift Ihnen unter die Arme. [mehr]

Buchbesprechung

Praxisbuch IT-Dokumentation

von Manuela und Georg Reiss

Anzeigen