Berechtigungskonzept erstellen: So gehts!

Ein Berechtigungskonzept ist ein schriftliches bzw. digitales Dokument, das festhält, welche Benutzer auf welche Daten und IT-Systeme zugreifen dürfen. Das Berechtigungskonzept bildet somit die theoretische Grundlage für die sichere Verwaltung von Zugriffsrechten in der IT.

Einfach gesagt: Das Berechtigungskonzept bestimmt die Regeln für IT-Zugriffe während eine Software für Access Management als Schiedsrichter für die Einhaltung der Regeln sorgt.

Um Berechtigungen korrekt zu vergeben, müssen Organisationen zunächst einmal eines wissen: Wer braucht Zugriff auf welche Daten? Nur so lässt sich die sparsame Vergabe von Zugriffsrechten nach dem Least Privilege Prinzip gewährleisten. Dieses zählt nicht nur zu den Best Practices der IT-Security, sondern ist auch eine Anforderung in vielen Gesetzen und Sicherheitsstandards.

Der ungewollte Zugriff auf Daten – sei es durch Mitarbeiter, externe Dienstleister oder Cyberkriminelle, die sich Zugang zu einem Konto verschaffen – gehört zu den häufigsten Gefahren in der IT. Um dieses Risiko zu minimieren, darf jeder Mitarbeitende nur Zugriff auf notwendige Ressourcen erhalten. Und das lässt sich nur mit einem Berechtigungskonzept gewährleisten.

Wegen hoher Benutzerzahlen und stetiger Fluktuation ist es nicht empfehlenswert, Zugriffsrechte für jeden User einzeln festzulegen. Stattdessen empfiehlt sich ein rollenbasiertes Berechtigungskonzept (bzw. Rollenkonzept), welches die Zugriffsrechte für bestimmte Benutzergruppen definiert.

Die Zuweisung von Berechtigungen anhand der Aufgabe im Unternehmen folgt dem selben Konzept wie die Einteilung in Berechtigungsrollen, mit deren Hilfe Zugriffsrechte automatisch vergeben werden können. Man spricht dabei auch von rollenbasierter Zugriffskontrolle.

Die Datenschutz-Grundverordnung verlangt von Unternehmen, “geeignete technische und organisatorische Maßnahmen” zum Schutz personenbezogener Daten zu ergreifen. Zwar wird ein Berechtigungskonzept in der DSGVO nicht explizit gefordert, es handelt sich dabei aber um eine notwendige organisatorische Maßnahme.

Nur mit einem Berechtigungskonzept lässt sich sicherstellen, dass Daten nach den DSGVO Grundsätzen der Vertraulichkeit, Zweckbindung und Datenminimierung verarbeitet werden. Also, dass der Zugriff auf personenbezogene Daten nur zu legitimen Zwecken und nur von einem möglichst kleinen Kreis berechtigter Personen erfolgt.

Für ein Berechtigungskonzept nach der DSGVO müssen Organisationen dokumentieren, welche Personengruppen welche Berechtigungen auf welchen Systemen haben und welche Arten personenbezogener Daten dort verarbeitet werden. Ebenso empfiehlt es sich aufzuschreiben, wer die Freigabe für die Verarbeitung erteilt hat und wer für die Überprüfung zuständig ist.

Die Sicherheitsnorm ISO 27001 gibt Organisationen weitreichende Vorgaben für den Aufbau eines effektiven Informationssicherheits-Managementsystems (ISMS). Dazu zählt auch der Abschnitt Zugriffskontrolle (5.15), für den Unternehmen Richtlinien für den IT-Zugriff erstellen müssen.

Im Rahmen dieser Zugriffsrichtlinie müssen Verantwortliche auch dokumentieren, welche Benutzer und Anwendungen Zugriff auf welche IT-Ressourcen benötigen – also ein Berechtigungskonzept erstellen.

Für die Zugriffskontrolle nach ISO 27001 müssen Unternehmen aber noch weitere Anforderungen erfüllen. Die Zugriffsrichtlinie muss auch dokumentieren, wie Verantwortliche physische Zugriffe absichern, Adminkonten schützen, die Funktionstrennung einhalten, Zugriffsanfragen ermöglichen, Zugriffsrechte dokumentieren und regelmäßige Kontrollen bzw. Access Reviews durchführen.

Ein Berechtigungskonzept ist der erste Schritt, um Zugriffsrechte in einer Organisation sicher und effizient zu verwalten. Um ein Berechtigungskonzept zu schreiben braucht es vor allem eins: ein klares Bild davon, welche Daten und Systeme die eigene IT umfasst und wer Zugriff braucht.

Um ein Berechtigungskonzept zu erstellen braucht es nichts weiter, als diese Zugriffsstrategie schriftlich zu dokumentieren. Darüber hinaus können jedoch weitere Dokumente notwendig sein, wenn das Berechtigungskonzept für ein bestimmtes Compliance-Framework erstellt wird.

Zum Beispiel braucht es für ISO 27001 viele weitere Security Policies und die DSGVO setzt neben dem Berechtigungskonzept auch ein Verarbeitungsverzeichnis für Daten voraus.

Ein Berechtigungskonzept muss mindestens die folgenden Informationen beinhalten:

Darüber hinaus kann es auch sinnvoll sein zusätzliche Informationen zu dokumentieren, etwa wer für die Pflege des Berechtigungskonzepts, die Freigabe von Zugriff oder die spätere Kontrolle von Rechten verantwortlich ist.

Falls Sie Hilfe beim Erstellen eines eigenen Berechtigungskonzepts benötigen, bietet unsere Berechtigungskonzept-Vorlage einen Überblick über den grundlegenden Aufbau und Inhalt eines erfolgreichen Berechtigungskonzepts. Wichtig: Das Dokument dient nur zur Orientierung, die Inhalte und Formulierungen müssen an die Anforderungen Ihrer Organisation angepasst werden.

Hier gibt es das Berechtigungskonzept Muster als gratis Download:

Jetzt wo wir wissen, wie ein Berechtigungskonzept aussieht und was darin stehen muss, sollte auch klar sein, wie man in wenigen Schritten ein eigenes Berechtigungskonzept erstellen kann. Dazu sind die folgenden Schritte notwendig:

Ein Berechtigungskonzept ist ein lebendes Dokument, das laufend angepasst werden muss, wenn sich die Umstände in der Organisation verändern. Darüber hinaus sollte das Berechtigungskonzept mindestens einmal im Jahr auf Aktualität geprüft werden.

Erstens muss dazu kontrolliert werden, ob der Unternehmensalltag tatsächlich dem Berechtigungskonzept entspricht. Durch Privilege Creep sammeln Mitarbeiter im Laufe der Zeit immer mehr Rechte an, die überprüft und entfernt werden müssen. Teilweise umgehen Angestellte IT-Vorgaben auch durch die Nutzung anderer Dienste. Man spricht in diesem Fall von Schatten IT.

Zweitens muss auch das Berechtigungskonzept selbst geprüft werden. Wurden zum Beispiel neue Anwendungen im Unternehmen ausgerollt, müssen diese in das Konzept aufgenommen werden.

Die Theorie ist eine Sache. Doch in der Praxis sicherzustellen, dass IT-Zugriffe in der Organisation zu jeder Zeit dem Berechtigungskonzept entsprechen, ist eine ganz andere Aufgabe. IT-Admins wissen, dass Berechtigungsmanagment mit steigender User-Zahl schnell eine Mammutaufgabe wird.

Schon in mittelgroßen Betrieben sind dazu tägliche Anpassungen nötig. Neue Benutzer müssen provisioniert, also mit den richtigen Rechten ausgestattet werden. Kollegen wechseln die Abteilung, oder brauchen kurzfristig zusätzliche Rechte, um an einem Projekt mitzuarbeiten. Externe User und Gastzugriffe müssen überwacht werden. Und nicht mehr benötigte Konten zeitnah entfernt.

Um all diese Aufgaben schnell und präzise abzuwickeln, brauchen Administratoren Hilfe. Software für Identity und Access Management sorgt dafür, dass jeder Benutzer automatisch genau die Rechte zugewiesen bekommt, die das Berechtigungskonzept vorsieht. Ändert sich die Rolle eines Benutzers, passt das IAM System seine Rechte selbstständig an. Und es fordert Verantwortliche zur regelmäßigen Kontrolle bestehender Zugriffsrechte auf.

Sie möchten Ihr Berechtigungsmanagement automatisieren – und das in wenigen Wochen? Während andere Lösung mühsam und kleinteilig konfiguriert werden müssen, lässt sich unser No-Code IAM tenfold in kürzester Zeit in Betrieb nehmen!

So profitieren Sie von allen Vorteilen des Identity & Access Management, von automatischem On- und Offboarding über Self-Service für Endnutzer, zentrales Reporting und laufende Access Reviews. Und das ohne die Nachteile eines langwierigen und aufwändigen Setups. Informieren Sie sich jetzt! Unser Demo-Video zeigt Ihnen tenfold in Aktion, oder überzeugen Sie sich selbst mit einem kostenlosen Test!