Zu einem Sicherheitskonzept für IT-Verantwortliche zählt nicht nur der Schutz vor externen Angreifern – auch intern sollte der Zugriff auf Unternehmensdaten klaren Richtlinien entsprechen. Worauf es dabei ankommt? Wir erläutern es.
Das Leaken von sensiblen Informationen sorgt nicht selten für Schlagzeilen. Im März beispielsweise, als der Twitter-Quellcode im Internet einsehbar war. Oder als im April geheime Papiere des Pentagons zum Ukrainekrieg öffentlich wurden. Doch auch wenn man kein milliardenschwerer Tech-Riese oder militärische Supermacht ist, sollte der unternehmensinterne Zugriff nicht wahllos erfolgen.
Der Diebstahl von Daten durch Unbefugte ist nur ein Risiko, das eine unzureichend umgesetzte Zugriffskontrollrichtlinie (Englisch: Access Control Policy) mit sich bringt. Wichtige Daten können auch gelöscht oder manipuliert werden. Fehlerhafte Zugriffskontrolle kann im Ernstfall den alltäglichen Betrieb behindern und externen Angreifern Einfallstore ins Unternehmen öffnen – beispielsweise durch die Nutzung von „Karteileichen“, also veralteten Benutzerkonten, die noch aktiv sind. Wird eine Access Control Policy nicht eingehalten, kann dies außerdem einen Verstoß gegen gesetzliche Vorschriften und Industriestandards wie die DSGVO bedeuten und potenziell sogar rechtliche Konsequenzen mit sich bringen.
Deswegen ist eine solche Zugriffskontrollrichtlinie ein zentraler Bestandteil eines jeden IT-Sicherheitskonzepts. Sie muss konsequent erfüllt werden, um das Vertrauen des Unternehmens, der Kunden und der Partner in die Sicherheit der IT-Infrastruktur zu gewinnen.
In sechs Schritten zur sicheren Zugriffskontrollrichtlinie
Wo aber fangen IT-Verantwortliche an, um eine Access Control Policy zu planen, einzurichten, umzusetzen und zu überprüfen? Die folgenden sechs Schritte sind ein klassischer Fahrplan:
- Identifikation von geschützten Ressourcen: Erfassen Sie die Ressourcen, die durch die Access Control Policy geschützt werden müssen, wie z. B. Systeme, Anwendungen und Daten.
- Ermittlung von Benutzergruppen: Definieren Sie die User, die Zugriff auf die geschützten Ressourcen benötigen, wie z. B. Administratoren, Mitarbeitende, Kund:innen oder Partner:innen.
- Definition von Zugriffsberechtigungen: Schreiben Sie für jede Benutzergruppe die erforderlichen Zugriffsberechtigungen fest. Dabei sollten Sie sich an der Least-Privilege-Strategie orientieren, d. h. jedem User nur so viele Zugriffsberechtigungen wie nötig zu geben.
- Festlegung von Sicherheitsmaßnahmen: Implementieren Sie Sicherheitsmaßnahmen, die sicherstellen, dass nur autorisierte Benutzer auf die geschützten Ressourcen zugreifen können, wie z. B. Passwortrichtlinien, Multi-Faktor-Authentifizierung, IP-basierte Zugriffskontrolle oder Firewalls.
- Implementierung der Policy: Führen Sie die Access Control Policy in Ihrer IT-Infrastruktur ein, indem Sie die Zugriffsberechtigungen entsprechend der Vorgaben einrichten und die Sicherheitsmaßnahmen umsetzen.
- Regelmäßige Überprüfung: Checken Sie regelmäßig, ob die Access Control Policy effektiv ist und den aktuellen Sicherheitsanforderungen entspricht. Aktualisieren Sie die Richtlinien bei Bedarf, z. B. wenn neue Ressourcen hinzukommen oder Benutzergruppen geändert werden.
Die Least-Privilege-Strategie
So viel wie nötig, so wenig wie möglich – so könnte man in acht Worten den Zugriff eines Mitarbeitenden auf Daten im Rahmen der Least-Privilege-Strategie beschreiben. Was “nötig” in diesem Kontext bedeutet, variiert natürlich von Unternehmen zu Unternehmen, wenn nicht sogar von Nutzer zu Nutzer. Schließlich ist es gerade in kleineren Organisationen auch keine Seltenheit, dass einige Mitarbeitende mehrere “Hüte” aufhaben. Umso wichtiger ist es, dass die Verantwortlichen eine gründliche Analyse der benötigten Zugriffsberechtigungen durchführen und ihre Access Control Policy regelmäßig aktualisieren.
Auch Schulungen und Sensibilisierung der Mitarbeitenden für die Bedeutung des Least-Privilege-Prinzips sind entscheidend. Natürlich muss die Zugriffskontrolle auch technisch umgesetzt werden – spätestens um Mitarbeitende mit bösen Absichten an unbefugtem Datenzugriff zu hindern – doch Verständnis für die eigenen Sicherheitsrichtlinien und die Logik dahinter ist ebenfalls von großer Bedeutung.
„Unsicherheitskultur“ als gefährlicher Workaround
Die Compliance, also das Einhalten der Richtlinien, wird im normalen Arbeitsalltag oft genug auf die Probe gestellt. Auch die beste Benutzergruppe mit den filigransten Einstellungen stößt irgendwann an ihre Grenzen – wenn ein Mitarbeitender eine Ressource benötigt, für die er keinen Zugriff hat.
Es gibt zwei Wege, damit umzugehen. In einer Sicherheitskultur wäre die Musterlösung, den Zugriff zur Ressource beim eigenen Vorgesetzten oder bei einer befugten Person zu erfragen. Hierfür sind in der Regel bereits Standardprozesse etabliert. Alle Stakeholder wissen, wer Zugriff auf die Ressource hat, wer ihn zeitweise gewährt bekommt, und zu welchem Zeitpunkt welcher User darauf zugreift. Transparenz und genaue Protokollierung stehen an erster Stelle.
Der andere Weg ist in vielen Unternehmen leider die bittere Realität. Schließlich, so reden sich nicht wenige Mitarbeitende ein, muss es schnell gehen, und die anderen Kolleg:innen haben doch so viel zu tun, und mal eine Ausnahme zu machen ist okay… So entstehen dann zur kurzfristigen Entlastung Workarounds, die nur auf den ersten Blick Zeit und Energie sparen: Schatten-IT (die Nutzung nicht genehmigter Tools), das Speichern von Daten auf eigenen Geräten, das unbefugte Teilen von Daten durch Dritte und weitere Sicherheitsrisiken sind die Folgen.
Fazit
Sicher: Wenn ein böswilliger Akteur bereits über Befugnisse verfügt, kritische Unternehmensdaten zu entwenden, ist auch eine effektive Zugriffskontrolle nicht immer ausreichend, um ihn daran zu hindern. Dennoch ist sie ein zentraler Bestandteil eines jeden IT-Sicherheitskonzepts ist. Durch die Umsetzung der Best Practices können IT-Verantwortliche das Risiko von Datenlecks und anderen Sicherheitsverletzungen minimieren und das Vertrauen von Kunden und Partnern in die Sicherheit des Unternehmens stärken.