1.      Alle Nutzer, Geräte und Anwendungen erfassen

Das erste Ziel, die Vollständigkeit des Berechtigungskonzepts, lässt sich erst erreichen, wenn alle Informationen im Unternehmen über Nutzer, ihre Aufgaben und Rollen, über Geräte und Anwendungen, sowohl lokal als auch im Netzwerk und in der Cloud, zusammengestellt sind.

Hier helfen Informationen wie

  • Mitarbeiterlisten
  • Stellenprofile
  • Projektlisten
  • Organigramme
  • Hardware-Listen
  • Software-Listen und
  • Cloud-Verträge

2.      Digitale Identitäten abbilden

Die zu definierenden Berechtigungen werden Nutzern, Geräten und Anwendungen zugewiesen. Genauer: den zugehörigen digitalen Identitäten. Wichtig ist, dass sich jede Person, jedes Gerät und jede Anwendung, die Zugriff auf personenbezogene Daten bekommen soll, eindeutig und sicher identifizieren lässt.

Gerade im Bereich IoT gibt es hier große Schwierigkeiten. Aber auch Maschinen brauchen eine eindeutige Identität. Sonst wird das Berechtigungskonzept schwammig und damit viel zu riskant.

3.      Verschiedene Zugriffsrechte aufgliedern

Bei den Zugriffsrechten reicht die Antwort „Zugriff erlaubt oder nicht“ leider nicht aus. Für ein wasserdichtes Konzept müssen Sie genau unterscheiden, ob ein Anwender nur eine Information lesen darf, ob ein Gerät Daten als Kopie vorhalten oder ob eine Applikation bestimmte Daten auch löschen darf.

Zu unterscheiden sind:

  • keine Berechtigung (weder erstellen, noch lesen oder ändern)
  • Lesen (Daten nur lesen)
  • Erstellen (Daten erfassen)
  • Ändern (Daten erfassen, bearbeiten sowie löschen)
  • alle Rechte (Vollzugriff auf Daten)

Grundlage der Berechtigungsvergabe muss das Prinzip der minimalen Berechtigung sein: So wenig Berechtigungen wie möglich, nur so viele wie zwingend erforderlich. Denken Sie bei den Nutzern auch an solche, die keine Mitarbeiter sind, aber Zugriff bekommen müssen, etwa externe Dienstleister.

4.      Rollenkonzept nutzen

Damit das Berechtigungskonzept beherrschbar bleibt, ohne lückenhaft zu sein, sind Rollenkonzepte empfehlenswert.

Die Idee dahinter ist, dass mehrere Nutzer, die die gleichen Aufgaben und damit die gleiche Rolle im Unternehmen haben, die gleichen Berechtigungen brauchen. Statt für jeden Nutzer die Berechtigungen erneut zu definieren, erhalten die Rollen die Berechtigungen. Die Nutzer werden dann den Rollen zugeordnet.

Entscheidend ist, die Berechtigungen auf Widersprüche zu überprüfen. Das gilt besonders, wenn Nutzer verschiedene Rollen gleichzeitig ausüben.

Zudem ist die Rollenzuordnung sowohl in Bezug auf den Nutzer als auch hinsichtlich der Berechtigungen regelmäßig auf Aktualität und Vollständigkeit zu überprüfen.

Nicht zu empfehlen ist, Gruppenidentitäten zu bilden. So haben Sie keine Information, welcher Nutzer zur Gruppe gehört. Verschiedene Nutzer erhalten dann Gruppenberechtigungen und lassen sich nicht mehr unterscheiden.

5.      Verfahren zur Prüfung der Identitäten festlegen

Die mühsame Zuordnung zwischen Nutzer, Rollen und Berechtigungen mit all den Unterstufen wie Lesen oder Löschen macht keinen Sinn, lässt sich die Identität des Nutzers, aber auch der Geräte und der Applikationen und Cloud-Apps nicht sicher überprüfen.

Allein das Passwortverfahren ist hier unzureichend. Denn Geräte und Anwendungen können keine Passwörter wählen und eingeben.

Wichtig ist deshalb ein IAM-System (Identity-and-Access-Management-System). Es bietet verschiedene Sicherheitsverfahren an, um Identitäten zu prüfen. Außerdem versorgt es Geräte und Anwendungen mit Identitäten und Sicherheitsfaktoren.

6.      Regelmäßigen Prozesses für Audit und Aktualisierung aufsetzen

Das Berechtigungskonzept muss sowohl von der Definition her als auch von der technischen Umsetzung (mittels IAM-System) getestet und überprüft werden.

Legen Sie dabei ein besonderes Augenmerk auf die leider beliebten Ausnahmen und auf zeitlich befristete Berechtigungen: Ausnahmen weichen das Berechtigungskonzept auf - sind Berechtigungen nicht richtig befristet, verliert das Konzept an Aktualität und Sicherheit. Sehen Sie deshalb sowohl die Arbeiten am Berechtigungskonzept als auch seine Auditierung als fortlaufende Aufgaben.

Checkliste Berechtigungskonzept

Anforderungen Ganz erfüllt Nicht erfüllt
Organisatorische Voraussetzungen (Organigramm, Stellenbeschreibungen, Aufgabenbeschreibungen, Hardware-Liste, Software-Liste, Cloud-Liste) vorhanden    
Organigramm, Stellenbeschreibungen, Aufgabenbeschreibungen, Hardware-Liste, Software-Liste, Cloud-Liste werden regelmäßig aktualisiert und in Rollendefinitionen umgesetzt    
Rollendefinition entspricht Need-to-know Prinzip    
Nutzer, Geräte und Anwendungen werden Rollen zugeordnet    
Rollenzuordnung wird regelmäßig überprüft (Wiedervorlage)    
Rollenkonflikte werden bei der Rollenzuordnung beachtet    
Rollenzuordnungen bei Projekten werden zeitlich befristet    
Ausscheidende Mitarbeiter, Altgeräte und zu löschende Anwendungen werden von ihren Rollen getrennt    
Werden bei den Rollen System- und Fachaufgaben getrennt?    
Werden Rollen nach dem Vier-Augen-Prinzip definiert?    
Werden den Rollen nur die für die Aufgabe zwingend erforderlichen Berechtigungen zugeordnet?    
Werden die Rollendefinitionen regelmäßig aktualisiert?    
Gibt es einen Freigabe-Workflow für Benutzer, Geräte, Anwendungen, Clouds, Rollen und Privilegien?