Berechtigungskonzept im Unternehmen – Hilfestellung für Systemadministratoren

Was beinhaltet ein Berechtigungskonzept, wozu dient es und wie wird es erfolgreich umgesetzt?

Zum Schutz der personenbezogenen Daten sind Unternehmen dazu angehalten, so wenig wie möglich Personen (auch im eigenen Unternehmen) Zugriffe auf diese Daten zu geben. Dies ist besonders im Falle einer Risikoeinschätzung eine enorme Stellschraube, um die Daten bestmöglich zu sichern und verringert zusätzlich die Gefahr des Datenverlustes auf Unternehmensseite.

Hierzu dient ein Berechtigungskonzept, um die Zugriffsregeln einzelner Benutzer oder Benutzergruppen auf die personenbezogenen Daten zu dokumentieren und zu regeln.

Was hierbei zu beachten ist, wie Sie es in Ihrem Unternehmen bestmöglich umsetzen und welche Inhalte dieses Konzept enthalten sollten, haben wir Ihnen hier zusammengefasst.

 

Was ist ein Berechtigungskonzept?

Neben der Dokumentation der verschiedenen Zugriffsregeln einzelner Benutzer oder Benutzergruppen auf Datensätze des IT-Systems, beinhaltet das Berechtigungskonzept auch sämtliche Prozesse zur Umsetzung dieser Regeln. Hierzu gehören das Löschen und Erstellen von Nutzern und auch Passwortregularien. Jeder erstellten Benutzergruppe (oder einzelnen Benutzern) werden Bevollmächtigungen eingestellt, sodass, je nach Funktion des Mitarbeiters, sie beispielsweise Datensätze nur lesen, aber nicht erstellen oder löschen können, Teilanwendungen gesperrt oder nicht sichtbar sind.

Der Zweck dieser einzelnen Berechtigungsverteilung ist der Schutz der personenbezogenen Daten, sodass jeder Mitarbeiter nur die Daten sehen/bearbeiten/erstellen/löschen kann, die er/sie zu seiner Aufgabenerfüllung wirklich benötigt. Somit wird das Risiko einer Verletzung der Vertraulichkeit minimiert.

 

Was müssen Sie als Unternehmer beachten?

Mit einem Berechtigungskonzept geben Sie Ihrem/Ihren Systemadministrator/en ein Schriftstück an die Hand, nach dem diese Ihre IT-Systeme datenschutzkonform aufbauen können. Das Berechtigungskonzept beginnt hierbei bereits bei der Neuanlage von Nutzern. Definieren Sie in dem Dokument den detaillierten Prozess der Neuanlage (wie wird die Neuanlage beantragt, wie genehmigt und wer ist zuständig für die Neuanlage?). Auch Ihre unternehmensinternen Passwortrichtlinien werden in diesem Konzept dokumentiert. Legen Sie dabei die Länge, Komplexität, Dauer der Gültigkeit und auch die Anzahl der Fehlversuche, bis der Zugang gesperrt wird, fest.

Im nächsten Schritt definieren Sie die einzelnen Regelungen der Berechtigungen. Welche Mitarbeitergruppe hat auf welche Ebene und somit auf welche Daten des Systems Zugriff? Was muss dabei beachtet werden? Wie sehen die Zugriffe bei Vertretungen aus? Hat die Vertretung bereits Zugriff oder wird ein temporärer Übertrag der Rechte eingestellt? Was geschieht, wenn eine Person neue Aufgaben und Rollen durch einen unternehmensinternen Wechsel einnimmt?

Achten Sie darauf, dass die einzelnen Rollen ausreichend definiert sind, um die Wirksamkeit des Berechtigungskonzeptes zu verstärken.

 

Empfehlung von LITC

Unterstützen Sie Ihre Systemadministratoren mit diesem Leitfaden, sodass Sie sicher sein können, dass Ihr Unternehmen sich an den Datenschutzstandards orientiert. Achten Sie darauf, dass das Konzept stets aktuell ist und in regelmäßigen Abständen aktualisiert wird, da sich bestehende Rollen- und Berechtigungskonzepte ändern können und auch die Mitarbeiter- und Organisationsstruktur einer Institution einem stetigen Wandeln unterliegt.

Weiterführende Quellen:

– IT-Grundschutz: G 2.191 Unzureichendes Rollen- und Berechtigungskonzept vom Bundesamt für Sicherheit in der Informationstechnik

– Artikel: Berechtigungskonzept im Unternehmen richtig umsetzen von Datenschutzbeauftrager-Info

– Artikel: Schritt für Schritt zum Berechtigungskonzept von Datenschutz Praxis

 

Sie haben noch Fragen zu dem Berechtigungskonzept? Sie benötigen Unterstützung in der Erstellung des Konzeptes? Ich berate Sie gerne und gehe mit Ihnen die Dokumentation durch, sodass Sie die Gefahr des Datenverlustes verringern. Schreiben Sie mir eine Email: info@litc.de