Berechtigungskonzept erstellen: So gehts!

Bei der Einhaltung von Datenschutz- und Sicherheitsanforderungen stehen viele Unternehmen vor der Herausforderung, ein Berechtigungskonzept für IT-Zugriffe zu schreiben. In diesem Beitrag erfahren Sie, was in einem Berechtigungskonzept stehen muss und wie sie dieses möglichst einfach selbst erstellen können.

Was ist ein Berechtigungskonzept?

Ein Berechtigungskonzept ist ein schriftliches bzw. digitales Dokument, das festhält, welche Benutzer auf welche Daten und IT-Systeme zugreifen dürfen. Das Berechtigungskonzept bildet somit die theoretische Grundlage für die sichere Verwaltung von Zugriffsrechten in der IT.

Einfach gesagt: Das Berechtigungskonzept bestimmt die Regeln für IT-Zugriffe während eine Software für Access Management als Schiedsrichter für die Einhaltung der Regeln sorgt.

Warum brauche ich ein Berechtigungskonzept?

Um Berechtigungen korrekt zu vergeben, müssen Organisationen zunächst einmal eines wissen: Wer braucht Zugriff auf welche Daten? Nur so lässt sich die sparsame Vergabe von Zugriffsrechten nach dem Least Privilege Prinzip gewährleisten. Dieses zählt nicht nur zu den Best Practices der IT-Security, sondern ist auch eine Anforderung in vielen Gesetzen und Sicherheitsstandards.

Der ungewollte Zugriff auf Daten – sei es durch Mitarbeiter, externe Dienstleister oder Cyberkriminelle, die sich Zugang zu einem Konto verschaffen – gehört zu den häufigsten Gefahren in der IT. Um dieses Risiko zu minimieren, darf jeder Mitarbeitende nur Zugriff auf notwendige Ressourcen erhalten. Und das lässt sich nur mit einem Berechtigungskonzept gewährleisten.

Rollenbasiertes Berechtigungskonzept

Wegen hoher Benutzerzahlen und stetiger Fluktuation ist es nicht empfehlenswert, Zugriffsrechte für jeden User einzeln festzulegen. Stattdessen empfiehlt sich ein rollenbasiertes Berechtigungskonzept, welches die Zugriffsrechte für bestimmte Benutzergruppen definiert.

Beispiel: Im Berechtigungskonzept ist dokumentiert, dass die Gruppe Personalabteilung Lese- und Schreibrechte für die HR-Datenbank erhält. Damit sind alle gegenwärtigen und zukünftigen Personaler_Innen erfasst, ohne diese namentlich aufzulisten.

Die Zuweisung von Berechtigungen anhand der Aufgabe im Unternehmen folgt dem selben Konzept wie die Einteilung in Berechtigungsrollen, mit deren Hilfe Zugriffsrechte automatisch vergeben werden können. Man spricht dabei auch von rollenbasierter Zugriffskontrolle.

Berechtigungskonzept nach DSGVO

Die Datenschutz-Grundverordnung verlangt von Unternehmen, “geeignete technische und organisatorische Maßnahmen” zum Schutz personenbezogener Daten zu ergreifen. Zwar wird ein Berechtigungskonzept in der DSGVO nicht explizit gefordert, es handelt sich dabei aber um eine notwendige organisatorische Maßnahme.

Nur mit einem Berechtigungskonzept lässt sich sicherstellen, dass Daten nach den DSGVO Grundsätzen der Vertraulichkeit, Zweckbindung und Datenminimierung verarbeitet werden. Also, dass der Zugriff auf personenbezogene Daten nur zu legitimen Zwecken und nur von einem möglichst kleinen Kreis berechtigter Personen erfolgt.

Für ein Berechtigungskonzept nach der DSGVO müssen Organisationen dokumentieren, welche Personengruppen welche Berechtigungen auf welchen Systemen haben und welche Arten personenbezogener Daten dort verarbeitet werden. Ebenso empfiehlt es sich aufzuschreiben, wer die Freigabe für die Verarbeitung erteilt hat und wer für die Überprüfung zuständig ist.

Berechtigungskonzept nach ISO 27001

Die Sicherheitsnorm ISO 27001 gibt Organisationen weitreichende Vorgaben für den Aufbau eines effektiven Informationssicherheits-Managementsystems (ISMS). Dazu zählt auch der Abschnitt Zugriffskontrolle (5.15), für den Unternehmen Richtlinien für den IT-Zugriff erstellen müssen.

Im Rahmen dieser Zugriffsrichtlinie müssen Verantwortliche auch dokumentieren, welche Benutzer und Anwendungen Zugriff auf welche IT-Ressourcen benötigen – also ein Berechtigungskonzept erstellen.

Für die Zugriffskontrolle nach ISO 27001 müssen Unternehmen aber noch weitere Anforderungen erfüllen. Die Zugriffsrichtlinie muss auch dokumentieren, wie Verantwortliche physische Zugriffe absichern, Adminkonten schützen, die Funktionstrennung einhalten, das Anfragen von Zugriff ermöglichen, Zugriffsrechte dokumentieren und regelmäßige Kontrollen bzw. Access Reviews durchführen.

In unserem Ratgeber erfahren Sie Näheres zu den Anforderungen der ISO 27001.

Wie erstelle ich ein Berechtigungskonzept?

Ein Berechtigungskonzept ist der erste Schritt, um Zugriffsrechte in einer Organisation sicher und effizient zu verwalten. Um ein Berechtigungskonzept zu schreiben braucht es vor allem eins: ein klares Bild davon, welche Daten und Systeme die eigene IT umfasst und wer Zugriff braucht.

Um ein Berechtigungskonzept zu erstellen braucht es nichts weiter, als diese Zugriffsstrategie schriftlich zu dokumentieren. Darüber hinaus können jedoch weitere Dokumente notwendig sein, wenn das Berechtigungskonzept für ein bestimmtes Compliance-Framework erstellt wird.

Zum Beispiel braucht es für ISO 27001 viele weitere Security Policies und die DSGVO setzt neben dem Berechtigungskonzept auch ein Verarbeitungsverzeichnis für Daten voraus.

Was muss in einem Berechtigungskonzept stehen?

Ein Berechtigungskonzept muss mindestens die folgenden Informationen beinhalten:

  • Welche Personengruppen haben

  • Welche Berechtigung (Lesen, Scheiben, Löschen, Ändern, Vollzugriff) für

  • Welche IT-Systeme in der Organisation und

  • Welche Art von Daten sind darin gespeichert?

Darüber hinaus kann es auch sinnvoll sein zusätzliche Informationen zu dokumentieren, etwa wer für die Pflege des Berechtigungskonzepts, die Freigabe von Zugriff oder die spätere Kontrolle von Rechten verantwortlich ist.

Berechtigungskonzept: Schritt für Schritt Anleitung

Jetzt wo wir wissen, wie ein Berechtigungskonzept aussieht und was darin stehen muss, sollte auch klar sein, wie man in wenigen Schritten ein eigenes Berechtigungskonzept erstellen kann. Dazu sind die folgenden Schritte notwendig:

  • 1

    Systeme und Daten katalogisieren: Um den Zugriff auf Daten zu regeln, muss man zunächst wissen, welche Daten in welchen Systemen existieren. Deshalb gilt es im ersten Schritt die nötigen Informationen zusammenzutragen. Welche Anwendungen werden im Unternehmen genutzt? In welchen davon werden besonders sensible Daten verarbeitet?

  • 2

    Personengruppen identifizieren: Es macht keinen Sinn, Zugriffsrechte für jede Person einzeln festzulegen. Stattdessen legt das Berechtigungskonzept Gruppen von Personen fest, die aufgrund ihrer Aufgabe im Unternehmen Zugang zu denselben Informationen brauchen. Sinnvoll ist z.B. eine Gliederung nach Abteilungen.

  • 3

    Zugriffsbedarf festlegen: Wer braucht worauf Zugriff? Diese Frage steht im Zentrum jedes Berechtigungskonzepts. Dabei gilt es streng darauf zu achten, dass Berechtigungen möglichst sparsam und nach den Grundsätzen Least Privilege bzw. Need to Know vergeben werden. Es muss also die niedrigste Berechtigungsstufe gewählt werden, die das Arbeiten erlaubt.

  • 4

    Berechtigungskonzept erstellen: Die gesammelten Informationen zu Apps, Daten, Rollen und Bedarf werden nun in dem Berechtigungskonzept dokumentiert. Dabei sollte auch festgehalten werden, wer in der Organisation für das Berechtigungskonzept verantwortlich ist.

  • 5

    Zugriffe korrekt verwalten: Mit dem Erstellen eines Berechtigungskonzepts ist es noch nicht getan! Zuletzt müssen die Vorgaben darin auch in die Tat umgesetzt werden. Dabei helfen Systeme für die rollenbasierte Zugriffskontrolle sowie die regelmäßige Rezertifizierung.

Berechtigungskonzept: Regelmäßige Kontrolle

Ein Berechtigungskonzept ist ein lebendes Dokument, das laufend angepasst werden muss, wenn sich die Umstände in der Organisation verändern. Darüber hinaus sollte das Berechtigungskonzept mindestens einmal im Jahr auf Aktualität geprüft werden.

Erstens muss dazu kontrolliert werden, ob der Unternehmensalltag tatsächlich dem Berechtigungskonzept entspricht. Durch Privilege Creep sammeln Mitarbeiter im Laufe der Zeit immer mehr Rechte an, die überprüft und entfernt werden müssen. Teilweise umgehen Angestellte IT-Vorgaben auch durch die Nutzung anderer Dienste. Man spricht in diesem Fall von Schatten IT.

Zweitens muss auch das Berechtigungskonzept selbst geprüft werden. Wurden zum Beispiel neue Anwendungen im Unternehmen ausgerollt, müssen diese in das Konzept aufgenommen werden.

Berechtigungskonzept in der Praxis: Zugriffe erfolgreich managen

Die Theorie ist eine Sache. Doch in der Praxis sicherzustellen, dass IT-Zugriffe in der Organisation zu jeder Zeit dem Berechtigungskonzept entsprechen, ist eine ganz andere Aufgabe. IT-Admins wissen, dass Berechtigungsmanagment mit steigender User-Zahl schnell eine Mammutaufgabe wird.

Schon in mittelgroßen Betrieben sind dazu tägliche Anpassungen nötig. Neue Benutzer müssen provisioniert, also mit den richtigen Rechten ausgestattet werden. Kollegen wechseln die Abteilung, oder brauchen kurzfristig zusätzliche Rechte, um an einem Projekt mitzuarbeiten. Externe User und Gastzugriffe müssen überwacht werden. Und nicht mehr benötigte Konten zeitnah entfernt.

Um all diese Aufgaben schnell und präzise abzuwickeln, brauchen Administratoren Hilfe. Software für Identity und Access Management sorgt dafür, dass jeder Benutzer automatisch genau die Rechte zugewiesen bekommt, die das Berechtigungskonzept vorsieht. Ändert sich die Rolle eines Benutzers, passt das IAM System seine Rechte selbstständig an. Und es fordert Verantwortliche zur regelmäßigen Kontrolle bestehender Zugriffsrechte auf.

tenfold: Schnell und einfach zum No-Code IAM

Sie möchten Ihr Berechtigungsmanagement automatisieren – und das in wenigen Wochen? Während andere Lösung mühsam und kleinteilig konfiguriert werden müssen, lässt sich unser No-Code IAM tenfold in kürzester Zeit in Betrieb nehmen!

So profitieren Sie von allen Vorteilen des Identity & Access Management, von automatischem On- und Offboarding über Self-Service für Endnutzer, zentrales Reporting und laufende Access Reviews. Und das ohne die Nachteile eines langwierigen und aufwändigen Setups. Informieren Sie sich jetzt! Unser Demo-Video zeigt Ihnen tenfold in Aktion, oder überzeugen Sie sich selbst mit einem kostenlosen Test!

Unverbindlich testen

Überzeugen Sie sich selbst: Zugriffsmanagement leicht gemacht mit No-Code IAM!

Verfasst von: Joe Köller

Als tenfolds Content Manager verantwortet Joe Köller den IAM Blog, wo er Themen rund um Compliance, Cybersecurity und digitale Identitäten tiefgehend beleuchtet. Komplexe Materie verständlich zu erklären ist sein oberstes Ziel, egal, ob es um gesetzliche Regelwerke oder technische Hintergründe der Zugriffssteuerung geht. Vor seiner Rolle bei tenfold hat Joe viele Jahre über Games und digitale Medien berichtet.