Das zweite der acht Gebote der IT-Sicherheit ist die Zugangskontrolle. Dabei muss IT-technisch sichergestellt werden, dass nur berechtigte Personen die IT-Systeme nutzen können. Berechtigte Personen müssen sich authentifizieren. Natürlich gilt das für den Fall, dass jemand vor einem Gerät sitzt oder steht genauso, wie für einen Zugang über Internet oder das Netzwerk.
Zugang ist also die (mögliche) Nutzung von Datenverarbeitungsanlagen.
Der kontrollierte Zugang zu Datenverarbeitungsanlagen ist natürlich auch Bestandteil der technischen und organisatorischen Maßnahmen (TOM) eines Unternehmens.
Achtung Verwechslungsgefahr: Die Zugangskontrolle wird oft mit der Zutritts- und / oder Zugriffskontrolle verwechselt und in einen Topf geworfen. Dabei regeln die einzelnen „Z-Kontrollen“ ganz unterschiedliche Dinge.
Die Kernaufgabe der Zugangskontrolle ist es zu verhindern, dass unberechtigte Personen sich an Systemen anmelden können. Der Zugang zu Systemen wird mit wirksamen Mitteln eingeschränkt, oder sogar verwehrt.
Zugang zu Datenverarbeitungsanlagen
„Den Zugang berechtigter Personen kontrollieren“, bedeutet zu verhindern, dass unberechtigte Personen sich an Systemen anmelden können. Der Zugang zu Systemen wird also eingeschränkt. Möglicherweise wird der Zugang sogar verhindert.
Diese Maßnahmen verhindern neben vielen Anderen, den unkontrollierten Zugang durch technische Gestaltung:
- Anmeldung mit Benutzername und Passwort
- Einsatz von Firewalls
- Verschlüsselung von Datenträgern (USB-Sticks, mobile Festplatten)
- Verschlüsselung von Geräten (Smartphones, Notebooks, Tablets)
Diese Maßnahmen verhindern neben vielen Anderen, den unkontrollierten Zugang durch organisatorische Gestaltung:
- Verwaltung von Berechtigungen
- Vorgaben zu Passwörtern (Passwortrichtlinie)
- Automatische Bildschirmsperre
Zugangsregeln planen, umsetzen und nachweisen
Wer berechtigt, oder unberechtigt ist, steht im Berechtigungskonzept – alternativ können Berechtigungen auch über Rollen festgelegt werden, dann nennt sich das Ganze Rollenkonzept (gerne auch in Kombination Berechtigungs- und Rollenkonzept). Wem Konzepte zu überdimensioniert erscheinen, regelt den Zugang in Benutzerprofilen.
Berechtigte sind Personen, die bestimmte Daten zur Erfüllung ihrer Aufgaben benötigen. Diese ergeben sich wiederum aus Aufgabenbeschreibungen oder Positionen.
Auch das sollten Sie für die Nachweisbarkeit dokumentieren. Sie kommen damit Ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO („Rechenschaftspflicht“) nach.
Voraussetzung einer erfolgreichen Zugangskontrolle
Die Zugangskontrolle setzt die Kenntnis darüber voraus, welche Daten wo liegen, und über welche Geräte sie verfügbar sind.
Genauso zählt natürlich auch, welche Personen überhaupt Zugangsberechtigungen haben, benötigen, bzw. nicht mehr benötigen. Wenn sich also Berechtigungen / Notwendigkeiten ändern, müssen auch die Zugangsberechtigungen angepasst werden.
Erstellen Sie deshalb Regeln aus denen hervorgeht, wer sich um die Beauftragung, Umsetzung und Kontrolle kümmert.
Beispiele zur Umsetzung: Zugangsrichtlinie
Zur Umsetzung kann eine Zugangsrichtlinie dienen. Wie erwähnt, muss deren Einhaltung kontrolliert, und den neuen Umständen / Bedürfnissen angepasst werden. In Richtlinien sind entsprechende Grundsatzfragen geregelt. Die ergeben sich aus dem Schutzbedarf der personenbezogenen Daten.
Die Verwendung von Rechteprofilen aufgrund von Funktion und Aufgaben erleichtert der IT das strukturierte Vorgehen. Informations- und Zugriffsrechte der Nutzer sind dabei abhängig von Sensitivität der Daten auf die sie zugreifen.
Ausnahmen müssen unbedingt begründet werden.
Wichtig ist, dass die Verantwortlichen aus der IT, Zugang zur Richtlinie haben, denn sie sind es, die die Zugangsregeln einrichten und ändern.
Beispiele zur Umsetzung: Passwörter
Generell führt an der Verwendung von Passwörtern kein Weg vorbei.
Beispielsweise sind „one for all“ Administratoren Passwörter, also ein Passwort, das alle Administratoren nutzen, wegen der notwendigen Authentifizierung nicht sinnvoll. Die Zugriffe sind so nicht nachvollziehbar. Eine Übertragung (Ausleihen) eines Passwortes samt des dazugehörigen Accounts ist im Rahmen der Zugangskontrolle schlichtweg verboten.
Die Qualität eines Passwortes wird durch seine Länge, die Verwendung von Ziffern, Sonderzeichen, Groß-/ Kleinschreibung maßgeblich beeinflusst.
Aus Datenschutzsicht gilt: Je aufwändiger ein Passwort ist, desto besser und sicherer ist es!
Ein Passwort muss nicht mehr regelmäßig gewechselt werden (Info). Im Zweifel macht das keinen Sinn. Besser sind starke Passwortphrasen. Im Idealfall darf es dabei dem vorherigen nicht ähneln, keine Variante davon sein oder sogar nur aus einem bereits bekannten Pool genutzt werden. Ein Passwort, das wiederholt falsch eingegeben wird, muss gesperrt werden.
Beispiele zu Formen des Zugangs
Zugänge erfolgen können wie erwähnt auch digital. Viele personenbezogene Daten werden in der täglichen Kommunikation ohne Verschlüsselung, d.h. ohne Zugangskontrolle, übertragen. Das bekannteste Beispiel ist die E-Mail.
Eine Verschlüsselung kann je nach Art und Schutzbedarf der notwendig sein.
Virenscanner schützen vor Schadsoftware, die sich unbemerkt auf den Unternehmensrechner installiert und andere Schutzbemühungen außer Kraft setzt.
Firewalls verhindern unberechtigte Zugriffe auf das Unternehmensnetzwerk und dessen Bestandteile.
Deaktivieren Sie Nutzerkonten von ehemaligen Mitarbeitern damit keine Zugriffe auf die Daten erfolgen können.
Weitere Details gibt es auf der Webseite des BSI.
Kontrollbefugnisse
In Bezug auf personenbezogene Daten kontrolliert der Datenschutzbeauftragte die wirksame Einschränkung des Zugangs gegenüber Unberechtigten. Dabei arbeitet er eng mit der IT und, falls vorhanden, mit dem Informationssicherheitsbeauftragten zusammen.
Kontrollen erfolgen idealerweise regelmäßig. Falls sich Umstände oder Rahmenbedingungen ändern, müssen Anpassungen erfolgen.
Zugangskontrolle zusammengefasst
Unberechtigte dürfen keinen Zugang zu Anlagen bekommen, auf denen personenbezogene Daten verarbeitet werden. Geheime Passwörter und individuelle Benutzernamen sind das mindeste.