Berechtigungskonzept erstellen: So gehts!
Bei der Einhaltung von Datenschutz- und Sicherheitsanforderungen stehen viele Unternehmen vor der Herausforderung, ein Berechtigungskonzept fรผr IT-Zugriffe zu schreiben. In diesem Beitrag erfahren Sie, was in einem Berechtigungskonzept stehen muss und wie sie dieses mรถglichst einfach selbst erstellen kรถnnen.
Was ist ein Berechtigungskonzept?
Ein Berechtigungskonzept ist ein schriftliches bzw. digitales Dokument, das festhรคlt, welche Benutzer auf welche Daten und IT-Systeme zugreifen dรผrfen. Das Berechtigungskonzept bildet somit die theoretische Grundlage fรผr die sichere Verwaltung von Zugriffsrechten in der IT.
Einfach gesagt: Das Berechtigungskonzept bestimmt die Regeln fรผr IT-Zugriffe wรคhrend eine Software fรผr Access Management als Schiedsrichter fรผr die Einhaltung der Regeln sorgt.
Warum brauche ich ein Berechtigungskonzept?
Um Berechtigungen korrekt zu vergeben, mรผssen Organisationen zunรคchst einmal eines wissen: Wer braucht Zugriff auf welche Daten? Nur so lรคsst sich die sparsame Vergabe von Zugriffsrechten nach dem Least Privilege Prinzip gewรคhrleisten. Dieses zรคhlt nicht nur zu den Best Practices der IT-Security, sondern ist auch eine Anforderung in vielen Gesetzen und Sicherheitsstandards.
Der ungewollte Zugriff auf Daten โ sei es durch Mitarbeiter, externe Dienstleister oder Cyberkriminelle, die sich Zugang zu einem Konto verschaffen โ gehรถrt zu den hรคufigsten Gefahren in der IT. Um dieses Risiko zu minimieren, darf jeder Mitarbeitende nur Zugriff auf notwendige Ressourcen erhalten. Und das lรคsst sich nur mit einem Berechtigungskonzept gewรคhrleisten.
Rollenbasiertes Berechtigungskonzept
Wegen hoher Benutzerzahlen und stetiger Fluktuation ist es nicht empfehlenswert, Zugriffsrechte fรผr jeden User einzeln festzulegen. Stattdessen empfiehlt sich ein rollenbasiertes Berechtigungskonzept (bzw. Rollenkonzept), welches die Zugriffsrechte fรผr bestimmte Benutzergruppen definiert.
Beispiel: Im Berechtigungskonzept ist dokumentiert, dass die Gruppe Personalabteilung Lese- und Schreibrechte fรผr die HR-Datenbank erhรคlt. Damit sind alle gegenwรคrtigen und zukรผnftigen Personaler_Innen erfasst, ohne diese namentlich aufzulisten.
Die Zuweisung von Berechtigungen anhand der Aufgabe im Unternehmen folgt dem selben Konzept wie die Einteilung in Berechtigungsrollen, mit deren Hilfe Zugriffsrechte automatisch vergeben werden kรถnnen. Man spricht dabei auch von rollenbasierter Zugriffskontrolle.
Berechtigungskonzept nach DSGVO
Die Datenschutz-Grundverordnung verlangt von Unternehmen, “geeignete technische und organisatorische Maรnahmen” zum Schutz personenbezogener Daten zu ergreifen. Zwar wird ein Berechtigungskonzept in der DSGVO nicht explizit gefordert, es handelt sich dabei aber um eine notwendige organisatorische Maรnahme.
Nur mit einem Berechtigungskonzept lรคsst sich sicherstellen, dass Daten nach den DSGVO Grundsรคtzen der Vertraulichkeit, Zweckbindung und Datenminimierung verarbeitet werden. Also, dass der Zugriff auf personenbezogene Daten nur zu legitimen Zwecken und nur von einem mรถglichst kleinen Kreis berechtigter Personen erfolgt.
Fรผr ein Berechtigungskonzept nach der DSGVO mรผssen Organisationen dokumentieren, welche Personengruppen welche Berechtigungen auf welchen Systemen haben und welche Arten personenbezogener Daten dort verarbeitet werden. Ebenso empfiehlt es sich aufzuschreiben, wer die Freigabe fรผr die Verarbeitung erteilt hat und wer fรผr die รberprรผfung zustรคndig ist.
Berechtigungskonzept nach ISO 27001
Die Sicherheitsnorm ISO 27001 gibt Organisationen weitreichende Vorgaben fรผr den Aufbau eines effektiven Informationssicherheits-Managementsystems (ISMS). Dazu zรคhlt auch der Abschnitt Zugriffskontrolle (5.15), fรผr den Unternehmen Richtlinien fรผr den IT-Zugriff erstellen mรผssen.
Im Rahmen dieser Zugriffsrichtlinie mรผssen Verantwortliche auch dokumentieren, welche Benutzer und Anwendungen Zugriff auf welche IT-Ressourcen benรถtigen โ also ein Berechtigungskonzept erstellen.
Fรผr die Zugriffskontrolle nach ISO 27001 mรผssen Unternehmen aber noch weitere Anforderungen erfรผllen. Die Zugriffsrichtlinie muss auch dokumentieren, wie Verantwortliche physische Zugriffe absichern, Adminkonten schรผtzen, die Funktionstrennung einhalten, Zugriffsanfragen ermรถglichen, Zugriffsrechte dokumentieren und regelmรครige Kontrollen bzw. Access Reviews durchfรผhren.
In unserem Ratgeber erfahren Sie Nรคheres zu den Anforderungen der ISO 27001.
Wie erstelle ich ein Berechtigungskonzept?
Ein Berechtigungskonzept ist der erste Schritt, um Zugriffsrechte in einer Organisation sicher und effizient zu verwalten. Um ein Berechtigungskonzept zu schreiben braucht es vor allem eins: ein klares Bild davon, welche Daten und Systeme die eigene IT umfasst und wer Zugriff braucht.
Um ein Berechtigungskonzept zu erstellen braucht es nichts weiter, als diese Zugriffsstrategie schriftlich zu dokumentieren. Darรผber hinaus kรถnnen jedoch weitere Dokumente notwendig sein, wenn das Berechtigungskonzept fรผr ein bestimmtes Compliance-Framework erstellt wird.
Zum Beispiel braucht es fรผr ISO 27001 viele weitere Security Policies und die DSGVO setzt neben dem Berechtigungskonzept auch ein Verarbeitungsverzeichnis fรผr Daten voraus.
Was muss in einem Berechtigungskonzept stehen?
Ein Berechtigungskonzept muss mindestens die folgenden Informationen beinhalten:
Welche Personengruppen haben
Welche Berechtigung (Lesen, Scheiben, Lรถschen, รndern, Vollzugriff) fรผr
Welche IT-Systeme in der Organisation und
Welche Art von Daten sind darin gespeichert?
Darรผber hinaus kann es auch sinnvoll sein zusรคtzliche Informationen zu dokumentieren, etwa wer fรผr die Pflege des Berechtigungskonzepts, die Freigabe von Zugriff oder die spรคtere Kontrolle von Rechten verantwortlich ist.
Berechtigungskonzept Beispiel: Vorlage zum Download
Falls Sie Hilfe beim Erstellen eines eigenen Berechtigungskonzepts benรถtigen, bietet unsere Berechtigungskonzept-Vorlage einen รberblick รผber den grundlegenden Aufbau und Inhalt eines erfolgreichen Berechtigungskonzepts. Wichtig: Das Dokument dient nur zur Orientierung, die Inhalte und Formulierungen mรผssen an die Anforderungen Ihrer Organisation angepasst werden.
Hier gibt es das Berechtigungskonzept Muster als gratis Download:
Berechtigungskonzept-Vorlage: Gratis Download
Berechtigungskonzept: Schritt fรผr Schritt Anleitung
Jetzt wo wir wissen, wie ein Berechtigungskonzept aussieht und was darin stehen muss, sollte auch klar sein, wie man in wenigen Schritten ein eigenes Berechtigungskonzept erstellen kann. Dazu sind die folgenden Schritte notwendig:
Systeme und Daten katalogisieren: Um den Zugriff auf Daten zu regeln, muss man zunรคchst wissen, welche Daten in welchen Systemen existieren. Deshalb gilt es im ersten Schritt die nรถtigen Informationen zusammenzutragen. Welche Anwendungen werden im Unternehmen genutzt? In welchen davon werden besonders sensible Daten verarbeitet?
Personengruppen identifizieren: Es macht keinen Sinn, Zugriffsrechte fรผr jede Person einzeln festzulegen. Stattdessen legt das Berechtigungskonzept Gruppen von Personen fest, die aufgrund ihrer Aufgabe im Unternehmen Zugang zu denselben Informationen brauchen. Sinnvoll ist z.B. eine Gliederung nach Abteilungen.
Zugriffsbedarf festlegen: Wer braucht worauf Zugriff? Diese Frage steht im Zentrum jedes Berechtigungskonzepts. Dabei gilt es streng darauf zu achten, dass Berechtigungen mรถglichst sparsam und nach den Grundsรคtzen Least Privilege bzw. Need to Know vergeben werden. Es muss also die niedrigste Berechtigungsstufe gewรคhlt werden, die das Arbeiten erlaubt.
Berechtigungskonzept erstellen: Die gesammelten Informationen zu Apps, Daten, Rollen und Bedarf werden nun in dem Berechtigungskonzept dokumentiert. Dabei sollte auch festgehalten werden, wer in der Organisation fรผr das Berechtigungskonzept verantwortlich ist.
Zugriffe korrekt verwalten: Mit dem Erstellen eines Berechtigungskonzepts ist es noch nicht getan! Zuletzt mรผssen die Vorgaben darin auch in die Tat umgesetzt werden. Dabei helfen Systeme fรผr die rollenbasierte Zugriffskontrolle sowie die regelmรครige Rezertifizierung.
Berechtigungskonzept: Regelmรครige Kontrolle
Ein Berechtigungskonzept ist ein lebendes Dokument, das laufend angepasst werden muss, wenn sich die Umstรคnde in der Organisation verรคndern. Darรผber hinaus sollte das Berechtigungskonzept mindestens einmal im Jahr auf Aktualitรคt geprรผft werden.
Erstens muss dazu kontrolliert werden, ob der Unternehmensalltag tatsรคchlich dem Berechtigungskonzept entspricht. Durch Privilege Creep sammeln Mitarbeiter im Laufe der Zeit immer mehr Rechte an, die รผberprรผft und entfernt werden mรผssen. Teilweise umgehen Angestellte IT-Vorgaben auch durch die Nutzung anderer Dienste. Man spricht in diesem Fall von Schatten IT.
Zweitens muss auch das Berechtigungskonzept selbst geprรผft werden. Wurden zum Beispiel neue Anwendungen im Unternehmen ausgerollt, mรผssen diese in das Konzept aufgenommen werden.
Berechtigungskonzept in der Praxis: Zugriffe erfolgreich managen
Die Theorie ist eine Sache. Doch in der Praxis sicherzustellen, dass IT-Zugriffe in der Organisation zu jeder Zeit dem Berechtigungskonzept entsprechen, ist eine ganz andere Aufgabe. IT-Admins wissen, dass Berechtigungsmanagment mit steigender User-Zahl schnell eine Mammutaufgabe wird.
Schon in mittelgroรen Betrieben sind dazu tรคgliche Anpassungen nรถtig. Neue Benutzer mรผssen provisioniert, also mit den richtigen Rechten ausgestattet werden. Kollegen wechseln die Abteilung, oder brauchen kurzfristig zusรคtzliche Rechte, um an einem Projekt mitzuarbeiten. Externe User und Gastzugriffe mรผssen รผberwacht werden. Und nicht mehr benรถtigte Konten zeitnah entfernt.
Um all diese Aufgaben schnell und prรคzise abzuwickeln, brauchen Administratoren Hilfe. Software fรผr Identity und Access Management sorgt dafรผr, dass jeder Benutzer automatisch genau die Rechte zugewiesen bekommt, die das Berechtigungskonzept vorsieht. รndert sich die Rolle eines Benutzers, passt das IAM System seine Rechte selbststรคndig an. Und es fordert Verantwortliche zur regelmรครigen Kontrolle bestehender Zugriffsrechte auf.
tenfold: Schnell und einfach zum No-Code IAM
Sie mรถchten Ihr Berechtigungsmanagement automatisieren โ und das in wenigen Wochen? Wรคhrend andere Lรถsung mรผhsam und kleinteilig konfiguriert werden mรผssen, lรคsst sich unser No-Code IAM tenfold in kรผrzester Zeit in Betrieb nehmen!
So profitieren Sie von allen Vorteilen des Identity & Access Management, von automatischem On- und Offboarding รผber Self-Service fรผr Endnutzer, zentrales Reporting und laufende Access Reviews. Und das ohne die Nachteile eines langwierigen und aufwรคndigen Setups. Informieren Sie sich jetzt! Unser Demo-Video zeigt Ihnen tenfold in Aktion, oder รผberzeugen Sie sich selbst mit einem kostenlosen Test!
NIS2: Access Governance Anforderungen
Informieren Sie sich: Welche Anforderungen stellt NIS2 an das Zugriffsmanagement und wie hilft tenfold Ihnen dabei, diese schnell und einfach zu erfรผllen.