Zugangskontrolle – Passwort und Co

Das zweite der acht Gebote der IT-Sicherheit ist die Zugangskontrolle. Dabei muss IT-technisch sichergestellt werden, dass nur berechtigte Personen die IT-Systeme nutzen können. Berechtigte Personen müssen sich authentifizieren. Natürlich gilt das für den Fall, dass jemand vor einem Gerät sitzt oder steht genauso, wie für einen Zugang über Internet oder das Netzwerk.

Zugang ist also die (mögliche) Nutzung von Datenverarbeitungsanlagen.

Der kontrollierte Zugang zu Datenverarbeitungsanlagen ist natürlich auch Bestandteil der technischen und organisatorischen Maßnahmen (TOM) eines Unternehmens.

Achtung Verwechslungsgefahr: Die Zugangskontrolle wird oft mit der Zutritts- und / oder Zugriffskontrolle verwechselt und in einen Topf geworfen. Dabei regeln die einzelnen „Z-Kontrollen“ ganz unterschiedliche Dinge.

Die Kernaufgabe der Zugangskontrolle ist es zu verhindern, dass unberechtigte Personen sich an Systemen anmelden können. Der Zugang zu Systemen wird mit wirksamen Mitteln eingeschränkt, oder sogar verwehrt.

„Den Zugang berechtigter Personen kontrollieren“, bedeutet zu verhindern, dass unberechtigte Personen sich an Systemen anmelden können. Der Zugang zu Systemen wird also eingeschränkt. Möglicherweise wird der Zugang sogar verhindert.

Diese Maßnahmen verhindern neben vielen Anderen, den unkontrollierten Zugang durch technische Gestaltung:

• Anmeldung mit Benutzername und Passwort
• Einsatz von Firewalls
• Verschlüsselung von Datenträgern (USB-Sticks, mobile Festplatten)
• Verschlüsselung von Geräten (Smartphones, Notebooks, Tablets)

Diese Maßnahmen verhindern neben vielen Anderen, den unkontrollierten Zugang durch organisatorische Gestaltung:

• Verwaltung von Berechtigungen
• Vorgaben zu Passwörtern (Passwortrichtlinie)
• Automatische Bildschirmsperre

Wer berechtigt, oder unberechtigt ist, steht im Berechtigungskonzept – alternativ können Berechtigungen auch über Rollen festgelegt werden, dann nennt sich das Ganze Rollenkonzept (gerne auch in Kombination Berechtigungs- und Rollenkonzept). Wem Konzepte zu überdimensioniert erscheinen, regelt den Zugang in Benutzerprofilen.

Berechtigte sind Personen, die bestimmte Daten zur Erfüllung ihrer Aufgaben benötigen. Diese ergeben sich wiederum aus Aufgabenbeschreibungen oder Positionen.

Auch das sollten Sie für die Nachweisbarkeit dokumentieren. Sie kommen damit Ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO („Rechenschaftspflicht“) nach.

Die Zugangskontrolle setzt die Kenntnis darüber voraus, welche Daten wo liegen, und über welche Geräte sie verfügbar sind.

Genauso zählt natürlich auch, welche Personen überhaupt Zugangsberechtigungen haben, benötigen, bzw. nicht mehr benötigen. Wenn sich also Berechtigungen / Notwendigkeiten ändern, müssen auch die Zugangsberechtigungen angepasst werden.

Erstellen Sie deshalb Regeln aus denen hervorgeht, wer sich um die Beauftragung, Umsetzung und Kontrolle kümmert.

Zur Umsetzung kann eine Zugangsrichtlinie dienen. Wie erwähnt, muss deren Einhaltung kontrolliert, und den neuen Umständen / Bedürfnissen angepasst werden. In Richtlinien sind entsprechende Grundsatzfragen geregelt. Die ergeben sich aus dem Schutzbedarf der personenbezogenen Daten.

Die Verwendung von Rechteprofilen aufgrund von Funktion und Aufgaben erleichtert der IT das strukturierte Vorgehen. Informations- und Zugriffsrechte der Nutzer sind dabei abhängig von Sensitivität der Daten auf die sie zugreifen.

Ausnahmen müssen unbedingt begründet werden.

Wichtig ist, dass die Verantwortlichen aus der IT, Zugang zur Richtlinie haben, denn sie sind es, die die Zugangsregeln einrichten und ändern.