Der Schutz sensibler Daten ist für die meisten Unternehmen heutzutage längst selbstverständlich – seien es IT-Firewalls oder auch Intrusion-Detection-Systeme, die vor Zugriffen Dritter schützen sollen. Allerdings drohen auch von innen nicht zu unterschätzenden Gefahren. Genau deshalb ist ein schriftliches Berechtigungskonzept zu erstellen besonders wichtig, um Rollen klar zu definieren.
Rollen und Berechtigungskonzept – Definition
Ein sogenanntes Berechtigungskonzept legt Zugriffsregeln für Benutzer oder Benutzergruppen auf Datensätze in einem IT-System fest. Weiterhin werden darin sämtliche Prozesse, welche die Umsetzung dieses Konzepts betreffen, genau erklärt. In einem Berechtigungskonzept ist zudem das Festlegen von Rollen erforderlich – den einzelnen Benutzern können somit Zugriffe auf IT-Anwendungen, Dokumente oder andere Bereiche erteilt oder auch entzogen werden. Grundsätzlich sollten nur so viele Zugriffsrechte erteilt werden, wie es wirklich nötig ist.
Das Konzept richtig umsetzen
Es ist von großer Bedeutung, Rollen korrekt zu definiere. Ist dies nicht der Fall, kann es sein, dass ein Mitarbeiter auf Daten oder Systeme zugreifen kann, die eigentlich für ihn tabu sein sollten. Im schlimmsten Fall kann dies zu einer groben Vertraulichkeitsverletzung führen, die rechtliche Konsequenzen nach sich ziehen kann.
Ist das Konzept unzureichend, wird es im System schnell unübersichtlich und das Risiko einer unbemerkten Datenentwendung steigt. Ein Beispiel ist, Auszubildende, die während ihrer Zeit im Unternehmen verschiedene Abteilungen durchlaufen, können am Ende ihrer Ausbildung einen ähnlichen Umfang an Zugriffsrechten erlangen, wie der Systemadministrator, wenn die Berechtigungen nicht entzogen werden. Um dies zu verhindern, sollten sich Unternehmen frühzeitig mit dem Thema Berechtigungen befassen und klar definieren, welcher Mitarbeiter worauf zugreifen darf. Für Sachbearbeiter sollten dies beispielsweise alle Dateien sein, die sie für ihre tägliche Arbeit benötigen sowie entsprechende Laufwerke oder Datenbanken, auf denen sie Informationen für ihre Tätigkeiten finden können – in keinem Fall aber sensible Daten aus der Personalabteilung oder Buchhaltung.
Festgelegt werden müssen im Rahmen von Rollen und Berechtigungskonzept nicht nur klare Vorgaben für Kennwörter sowie deren Länge und Gültigkeitsdauer, sondern auch Regeln, wie und wann eine Berechtigung erteilt bzw. entzogen wird. Weiterhin muss bedacht werden, dass einzelne Mitarbeiter bei längerer Krankheit oder aus anderen Gründen ausfallen können und dann auch eine Vertretung auf entsprechende Daten zugreifen können muss. Verantwortliche in der IT-Abteilung müssen daher von der Geschäftsführung oder anderen Obrigkeiten umfassend gebrieft werden, damit das Konzept klar erklärt und transparent ist. So ist jederzeit klar, wer auf welche Daten Zugriff hat und welche Informationen für wen nicht zugänglich sind. Hier kann ein Berechtigungskonzept Muster nach DSGVO hilfreich sein.
Und: Das beste Konzept ist nutzlos, wenn es nicht stetig aktualisiert wird. Bestehende Berechtigungen und Rollen müssen in regelmäßigen, kurzen Abständen überprüft werden. Hier sollte klar festgelegt werden, wer in einem Unternehmen dafür verantwortlich ist. Dann hält sich ein Unternehmen nicht nur an die Richtlinien des BSI Grundschutzkatalogs, sondern auch an geltende Datenschutzregeln. Ein Datenverlust von innen wird auf diese Weise effizient verhindert.
Berechtigungskonzept erstellen: Zusammenfassung
In Zeiten, in denen Datenschutz eine größere Rolle denn je spielt, sollte keine Firma nachlässig mit dem Schutz sensibler Informationen umgehen. Daten von Abteilungen wie die Buchhaltung, die Geschäftsführung oder auch Personelles sollten für andere Mitarbeiter nicht zugänglich sein. Es ist daher wichtig, sich frühzeitig um ein sinnvolles Konzept zu bemühen. Unternehmen finden Berechtigungskonzept Muster nach DSGVO inzwischen vielerorts im Internet.
PRIOLAN als Ihr externer Datenschutzbeauftragter (jetzt anfragen!)
Datenschutz im Unternehmen ist ein komplexes Thema. Wenn Sie Unterstützung benötigen, um auf der sicheren Seite zu sein, können Sie sich vertrauensvoll an uns von PRIOLAN wenden. Wir helfen Ihnen deutschlandweit, rechtssicher zu werden und vor Abmahnungen geschützt zu sein. Sie erreichen uns jederzeit über unser Kontaktformular!
