Berechtigungsmanagement ist eine komplexe Aufgabe
Je nach Abteilung, Aufgabe oder Funktion benötigen Mitarbeiterinnen und Mitarbeiter Zugriff auf Daten des Unternehmens. Oft handelt es sich dabei um sensible, personenbezogene Daten, die den Vorschriften der DSGVO (Datenschutzgrundverordnung) unterliegen; genauso können es auch unternehmenskritische Daten sein, wie Patente oder Rezepturen. Damit jede Person nur jene Daten sehen kann, die für ihre Aufgabe erforderlich sind, müssen Berechtigungen vergeben und kontrolliert werden. Diese Verwaltung ist jedoch für Firmen oft schwer zu bewältigen, denn:
- Je größer ein Unternehmen ist, desto komplexer wird die Verwaltung der Zugriffsrechte.
- Zusätzlich führt die aktuell herrschende Personalfluktuation dazu, dass regelmäßig Neuzugängen Berechtigungen erteilt, bzw. nach einer Kündigung Zugriffsrechte entzogen werden müssen. Hier sind Termine zu beachten.
- Wenn innerhalb des Unternehmens die Stelle gewechselt wird, müssen Berechtigungen zumeist teilweise geändert werden.
- Manchmal gelten Berechtigungen nur für einen bestimmten Zeitraum zur Erledigung einer Aufgabe und müssen danach wieder entzogen werden – hier müssen ebenfalls Termine eingehalten werden.
Exkurs DSGVO
Diese vielfältigen Anforderungen kann nur eine Lösung für Berechtigungsmanagement vollständig erfüllen. Sie basiert auf einem durchdachten und rechtskonformen Berechtigungskonzept. Um die Bedeutung dieses Konzepts zu zeigen, möchten wir kurz auf den rechtlichen Hintergrund eingehen. Die DSGVO definiert folgende drei Grundlagen:
- Zweckbindung: Die Verarbeitung personenbezogener Daten muss einem bestimmten Zweck dienen, um den Zugriff zu rechtfertigen.
- Datenminimierung: Die gerechtfertigte Verarbeitung ist jedoch limitiert, d.h. welche Daten gespeichert werden und wer darauf Zugriff hat, muss immer beschränkt sein. Laut dem Prinzip „Need-to-Know“ muss man überlegen, was tatsächlich an Daten für die Erledigung einer Aufgabe benötigt wird.
- Integrität und Vertraulichkeit: Daten müssen vor unrechtmäßigem Zugriff sicher geschützt sein und das betrifft sowohl den Zugriff von außen, als auch von innen. Mit den TOM (technische und organisatorische Maßnahmen) muss ein Unternehmen den beschränkten Zugriff sicherstellen, insbesondere in Form eines Berechtigungskonzepts.
Personen- oder rollenbasiertes Konzept
Das Berechtigungskonzept hat also zum Ziel, dass nur befugte Personen im notwendigen Ausmaß Zugriff auf die ihnen zugewiesenen Daten haben. Um dies zu realisieren, gibt es zwei Ansätze, nämlich ein personenbasiertes oder ein rollenbasiertes Berechtigungskonzept. Empfehlenswert ist der rollenbasierte Ansatz, weil dieser effektiver und rechtssicherer ist, im Hinblick auf die eingangs erwähnten Herausforderungen wie Fluktuation, interne Positionswechsel oder DSGVO.
Best-Practice für ein Berechtigungskonzept
Wer darf was und warum? Das ist die zentrale Frage, um Zugriffsrechte auf Rollenebene quantitativ und qualitativ zu definieren und um damit der Dokumentationspflicht laut DSGVO nachzukommen.
- Zuerst müssen für das Berechtigungskonzept die Rollen beschrieben werden: Für welche Stelle sind welche Daten und welche Rechte (kein Zugriff, lesend, ändernd oder löschender Zugriff) erforderlich.
- Dann werden Personen den Rollen zugeordnet. Um lückenlos Vergabe, Entzug oder Änderung von Rechten zu dokumentieren, brauchen Unternehmen fixe Prozesse für Ereignisse wie Onboarding, Kündigung oder Positionswechsel innerhalb der Firma.
- Regelmäßig muss überprüft werden, ob die Rollen aktuell und vollständig sind oder ob es gesetzliche Änderungen gab; als Rhythmus empfiehlt sich eine jährliche Prüfung.
Mögliche Stolpersteine
Es braucht einiges an Zeit, um Rollen sauber festzulegen und viele Fragen tauchen erst beim konkreten Tun auf.
Wir zeigen Ihnen ausgewählte Beispiele, wo Sie bei der Definition Ihres Berechtigungskonzepts achtgeben sollten:
- Manche Unternehmen schalten Berechtigungen generell für bestimmte Rollen frei, etwa für Vorstände. Doch in diesem Fall ist zu klären, welchem Vorstand welche Ressorts unterstehen: So darf etwa nur jener Vorstand, dem HR zugeordnet ist, Gehaltsdaten sehen.
- Ein häufiger Stolperstein betrifft das Teilen von Identitäten: User und Passwort dürfen nicht weitergegeben werden, dies muss über eine Richtlinie festgelegt und geprüft werden.
- Wenn Rollen befristet zugeteilt werden, muss jemand kontrollieren, ob die Rechte auch wieder termingerecht entzogen wurden. Viel verlässlicher als eine verantwortliche Person ist dabei ein System, wo solche Termine eingestellt werden können und der Rechteentzug dann automatisch erfolgt.
- Immer wieder kommt es vor, dass dem Betriebsrat ein uneingeschränkter Lesezugriff gewährt wird, doch das ist nach dem DSGVO-Prinzip der Datenminimierung nicht erlaubt. Denn die Befugnisse, welche Daten er einsehen darf, sind gesetzlich festgelegt. Als Lösung bietet sich an, auch die Rolle Betriebsrat zu definieren und ihr Rechte zuzuteilen.
- Last but not least muss der Freigabe-Workflow ausreichend abgesichert sein: Wer darf im Unternehmen Rollen definieren oder Berechtigungen vergeben? Hier empfiehlt sich ein Vieraugenprinzip.
Holen Sie sich Unterstützung
Ein Berechtigungskonzept zu erstellen ist nicht leicht und viele Aspekte müssen beachtet werden. Informationen bietet u.a. das Informationssicherheitshandbuch der A-SIT (Kompetenzzentrum für IT-Sicherheit, Mitglied u.a. das BMDW) im Kapitel „Zugriffskontrolle, Berechtigungssysteme“. Empfehlenswert ist jedoch, dass Sie sich kompetente Unterstützung bei Experten für Datenschutz-Consulting zu holen. Denn unabhängig davon, ob Sie schon ein bestehendes Berechtigungskonzept haben oder ein neues aufsetzen, benötigen Sie eine wohldurchdachte Basis. Darauf aufbauend können Sie dann ein System für Berechtigungsmanagement effizient nutzen. Natürlich sind nachträglich immer Änderungen möglich, dennoch macht es Sinn, zu Beginn mit Unterstützung von Experten eine saubere Grundlage zu schaffen, die dann langfristig gilt.
Darauf sollten Sie bei der Lösungswahl achten
Die komplexen Anforderungen an die Verwaltung von Zugriffsrechten, sowie häufige Änderungen durch Fluktuation erfordern ein System für Berechtigungsmanagement, um rechtskonformes Vorgehen sicherzustellen.
Wir haben Ihnen einige Auswahlkriterien und Fragen für die Lösungswahl zusammengestellt:
- Ist die Lösung 100% Datenschutzkonform? Muss-Kriterium
- Gibt es eine Funktion, dass Berechtigungen z.B. bei Kündigung, zeitgesteuert automatisiert entzogen werden? Denn Notizen auf einem Zettel sollten der Vergangenheit angehören und sind außerdem nicht rechtssicher. Hier sind Termine zu beachten, wenn beispielsweise das Datum der Kündigung nicht mit dem letzten Arbeitstag übereinstimmt; in manchen Fällen sind auch noch Zugriffsrechte auf Lohn- und Gehaltsdaten nötig, um etwa Reisekosten final abzurechnen.
- Können Hierarchien abgebildet, Eigenschaften einer Rolle bzw. Stelle hinterlegt und deren Rechte vererbt werden? Findet ein automatischer Abgleich statt, wenn Rollen neu zugeordnet werden? Das entlastet die Administration und sichert rechtskonformes Vorgehen.
- Eine Person kann verschiedene Rollen im Unternehmen haben, wie Mitarbeiter im Unternehmen, Produktionsabteilung und Leitung Produktion. Können die Berechtigungen für verschiedene Rollen, die eine Person betreffen, auf einem Bildschirm dargestellt werden? Das macht die Verwaltung übersichtlich, etwa wenn intern die Abteilung gewechselt wird und damit für die Lohnverrechnung eine neue Kostenstelle erforderlich ist.
- Kann aus einem Stellenplan mit Berechtigungen das Unternehmens-Organigramm erstellt werden? Damit können Informationen aus anderen Systemen, wie Kontaktdaten und Fotos der Arbeitskräfte, im Unternehmen übersichtlich aufbereitet werden. So müssen Daten nur einmal gepflegt werden.
Ist es umgekehrt möglich, im Organigramm Berechtigungen zu verwalten? Das macht die Verwaltung übersichtlich und viel komfortabler.