Zugangskontrolle
Die Zugangskontrolle als Teil der TOM
Die Zugangskontrolle ist das zweite der 8 Gebote der Datensicherheit und wird oft mit der Zugriffskontrolle verwechselt.
Umsetzung der Zugangskontrolle
Die Verwendung von Rechteprofilen aufgrund von Funktion und Aufgaben erleichtert der IT das strukturierte Vorgehen. Informations- und Zugriffsrechte der Nutzer sind dabei abhängig von Sensitivität der Daten auf die sie zugreifen.
Ausnahmen müssen unbedingt begründet werden.
Wichtig ist, dass die Verantwortlichen aus der IT Zugang zur Richtlinie haben, denn sie sind es, die die Zugangsregeln einrichten und ändern.
Passwörter
Beispielsweise sind Administratoren Passwörter die alle Administratoren nutzen, wegen der nötigen Authentifizierung nicht sinnvoll, denn Zugriffe sind so nicht nachvollziehbar. Eine Übertragung (Ausleihen) eines Passwortes samt des dazugehörigen Accounts ist im Rahmen der Zugangskontrolle schlichtweg verboten.
Die Qualität eines Passwortes wird durch seine Länge, die Verwendung von Ziffern, Sonderzeichen, Groß-/ Kleinschreibung maßgeblich beeinflusst.
Aus Datenschutzsicht gilt: Je aufwändiger ein Passwort ist, desto besser und sicherer ist es!
Ein Passwort muss regelmäßig gewechselt werden. Im Idealfall darf es dabei dem vorherigen nicht ähneln, keine Variante davon sein oder sogar nur aus einem bereits bekannten Pool genutzt werden.
Ein Passwort, das wiederholt falsch eingegeben wird, muss gesperrt werden.
Formen des Zugangs
Eine Verschlüsselung ist daher auch hier nötig und muss in die Zugangsrichtlinie aufgenommen werden.
Ein Virenscanner schützt vor Schadsoftware, die sich unbemerkt auf den Unternehmensrechner installiert und andere Schutzbemühungen außer Kraft setzt.
Eine Firewall verhindert unberechtigte Zugriffe auf das Unternehmensnetzwerk und dessen Bestandteile.
Mitarbeiter, die nicht an ihrem Rechner arbeiten, sollten die Bildschirmsperre aktivieren, denn so kann nur durch die Eingabe des Passwortes auf die dargestellten Daten Einsicht genommen werden.
Die Nutzerkonten von ehemaligen Mitarbeitern müssen deaktiviert werden, damit keine Zugriffe auf die Daten erfolgen kann.
Weitere Details gibt es auf der Webseite des BSI.
Überprüfung der Zugangskontrolle
Idealerweise erfolgt die Kontrolle der Richtlinie regelmäßig. In der Praxis kann das auch im Zuge von Veränderungen geschehen.

