Berechtigungskonzept erstellen 2017-11-03T12:52:07+00:00

Berechtigungskonzept erstellen

Ein Berechtigungskonzept, welches die Datenzugriffsrechte regelt, bildet die Grundlage jedweder Datenschutzmaßnahmen eines Unternehmens.

Dies ist den Verantwortlichen in der Regel bewusst; dennoch werden deren Maßnahmen den tatsächlichen Anforderungen an ein Berechtigungskonzept in Hinblick auf Vollständigkeit und Aktualität häufig nicht gerecht. Dies liegt in der Dynamik und der Komplexität des Themas begründet: Da ist der User Life Cycle zu nennen, der von einer Vielzahl von Veränderungen gekennzeichnet ist, als da wären On- und Offboarding, Abteilungs- und Aufgabenwechsel, zeitlich befristete Vertretung, temporäre Projektarbeit usw.

Auch Hard- und Software sind einem Lebenszyklus unterworfen, der mit der Anschaffung und Installation beginnt und der Abschaffung respektive Deinstallation endet. Vergleichbares gilt selbstverständlich auch für die Daten.

Zudem wächst systemseitig die Komplexität: Userberechtigungen müssen auch in Cloud-Anwendungen und auf mobilen Endgeräten (BYOD!) berücksichtigt werden. Und im Zeitalter des „Internets der Dinge“ erhalten sogar Maschinen Zugriffsrechte auf personenbezogene Daten!

Auf dem Weg zu einem vollständigen Berechtigungskonzept sind folgende Schritte zu gehen: Zuallererst wird eine komplette Liste der User (auch der Externen) sowie deren Aufgaben und Rollen benötigt. Dazu kommen alle Devices und Applikationen, sowohl lokal als auch in der Cloud.
Wichtig: Jeder Eintrag in dieser Liste muss über eine eindeutige digitale Identität verfügen.

Des Weiteren muss über die Art des Zugriffsrechte Klarheit herrschen, welches vergeben werden sollen, denn diese kann von „keine Berechtigung“ bis „Vollzugriff“ reichen.

Idealerweise erfolgt die anschließende Berechtigungszuweisung nicht an einzelne Nutzer, sondern an Rollen. Dies sind Funktionsgruppen, denen ihrerseits die User zugeordnet sind.

Zu beachten ist, dass bei der Vergabe der Rechte grundsätzlich das „Least Privilege-Prinzip“ Anwendung findet.

Schlussendlich muss das Berechtigungskonzept mit all seinen Identitäten und den zugeordneten Berechtigungen umgesetzt und im Folgenden regelmäßig überprüft werden. Dies ist ohne ein geeignetes Identity-and-Access-Management-System (IAM) nicht leistbar.

Haben wir Ihr Interesse geweckt?

 

KONTAKTIEREN SIE UNS!