Zugriffskontrolle

Die Zugriffskontrolle als Teil der TOM

Das Dritte der acht Gebote der IT-Sicherheit ist die Zugriffskontrolle. Auch sie ist Bestandteil der technischen und organisatorischen Maßnahmen (TOM) eines Unternehmens und sind Bestandteil der Anforderungen an Datenschutz und Datensicherheit.
Im Rahmen der Zugriffskontrolle werden Regeln aufgestellt, die verhindern sollen, dass unberechtigte Personen Zugriff auf Daten erhalten, die sie für die Ausübung ihrer Tätigkeit nicht benötigen.

Getreu dem Need to Know Prinzip sollen lediglich Zugriffe im nötigen Ausmaß ermöglicht werden, die auch tatsächlich benötigt werden

Ein schriftliches Berechtigungskonzept dient nicht nur der Dokumentation, sondern auch der Klarheit und Übersichtlichkeit.

Ausmaß der Zugriffskontrolle

Ob ein Mitarbeiter auf bestimmte Daten zugreifen darf ist der erste Teil der Regelung. Zweitens ist wichtig zu wissen, was er in welchem Umfang mit den Daten überhaupt machen darf. Teilweise genügen für die Ausführung der erforderlichen Tätigkeit Leserechte. Wenn lediglich Informationen benötigt werden, sind Schreib- oder Löschzugriffe nicht nötig.

Zugriffskontrolle gilt auch für analoge Daten

Nicht nur digitale Daten unterliegen der Zugriffskontrolle. Auch analoge Daten wie beispielsweise Ausdrucke müssen Sie bei der Planung der Zugriffskontrolle berücksichtigen und dem Zugriff von unberechtigten entziehen. Denken Sie an dieser Stelle an die „Clean Desk Policy“. Durch diese verhindern Sie, dass Mitarbeiter Unterlagen einsehen könnten obwohl sie dazu keine Berechtigung haben.

Der Datenschutzbeauftragte überprüft die Berechtigungen aus der Zugriffskonrolle regelmäßig im Rahmen seiner Aufgaben.

Das vierte Gebot des Datenschutzes ist die Weitergabekontrolle.

Überblick
Beschreibung
Ausschließlich diejenigen Personen, die zur Benutzung eines DV-Systems berechtigt sind, sollen auf Daten zugreifen können, für die sie zugriffsberechtigt sind. Das zugrunde liegende Berechtigungskonzept muss die Tätigkeit des Zugriffsberechtigten berücksichtigen.
Autor
Publiziert von
DatenschutzFachmann.eu
Logo