Access Control, Teil 1: Warum Zugangskontrolle intelligent sein muss

Die Unternehmens-IT ist kein Selbstbedienungsladen. Nur wer dazu befugt ist, darf sie auch nutzen. Doch die übliche Passwortkontrolle reicht keineswegs, um unerlaubte Zugänge und Zugriffe zu verhindern. Mit diesem Beitrag startet Datenschutzspezialist Oliver Schonschek eine Serie zum Thema Access Control.

Zugang hängt von Zeit und Ort ab

Von Oliver Schonschek

Datenschutz und Datensicherheit in Unternehmen müssen besser werden, da gibt es keine Frage. Unklar dagegen ist vielen Unternehmen, wo sie anfangen und wo sie aufhören sollen. Eine gute Leitlinie sind die technisch-organisatorischen Maßnahmen, die im Bundesdatenschutzgesetz als Anlage gelistet sind.

Dort ist gleich zu Beginn von Zutrittskontrolle, Zugangskontrolle und Zugriffskontrolle die Rede: „Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle)“, zweitens ist „zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle)“ und drittens ist „zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle)“. So weit die Forderungen des Gesetzgebers. Was aber bedeutet dies in der Praxis?

Zutritt, Zugang und Zugriff

Zum einen sollten Sie Zutrittskontrolle und Zugangskontrolle (Access Control) nicht verwechseln, auch wenn das oft und gerne geschieht. Mit dem „Zugang“ zu einem IT-System ist die Anmeldung gemeint, die nötig ist, damit man das IT-System nutzen kann, nicht aber der physische „Zutritt“ an den Rechner. Der Begriff „Zugriff“ wiederum reicht noch weiter: Nach dem Zugang können die Nutzer unterschiedliche Aktionen durchführen, z.B. Daten lesen oder löschen; darum gilt es, den Nutzern, die Zugang erhalten haben, jeweils genaue Rechte zuzuweisen, sodass nicht jeder alles darf, sondern jeder das erledigen kann, was er soll.

Identität ist erst ein Anfang

Beim Stichwort „Zutrittskontrolle“ denkt man insbesondere an verschlossene Türen, bei „Zugriffskontrolle“ an Berechtigungen, die das Unternehmen für die Bearbeitung von Dateien vergibt. Bei „Zugangskontrolle“ wiederum ist in der Regel ein Passwort fällig, das man bei der Anmeldung kennen und eingeben muss.

Ganz so einfach ist die Zugangskontrolle aber nicht. Besser gesagt: Zu einfach sollte man sie nicht angehen, wenn man das Datenschutz- und Datensicherheitsniveau verbessern will.

Mit der Passwortabfrage will das Unternehmen sicherstellen, dass der angegebene Benutzername auch stimmt: Die Anwender sollen beweisen, dass sie wirklich die eingetragenen Benutzer sind, für die sie sich ausgeben. Doch reicht dies, um entscheiden zu können, ob ein Zugang gewährt werden soll oder nicht?

Szenarien der Anmeldung

Betrachten Sie einmal die Situation, dass der Anwender Zugang zu Daten haben möchte, die sich im Firmennetzwerk befinden. Dass die Sekretärin mit Keycard am Einlass den Empfang grüßt, ihr Büro aufsperrt und sich an den Schreibtisch setzt, um sich mit Name und Passwort am System anzumelden, ist normal, aber keineswegs überall so. Will man im Hinblick auf Datenschutz und Datensicherheit das Risiko einer Zugangskontrolle bewerten, spielt es zweifellos eine Rolle, ob der Zugangsversuch z.B. unverschlüsselt über das Internet erfolgt, ob der Anwender zur Anmeldung ein privates Smartphone verwendet und er zu diesem Zeitpunkt eigentlich gar nicht im Dienst, sondern im Urlaub sein sollte. Also: Zugangskontrolle muss intelligenter sein.

Serie: Access Cotrol
Teil 1 meldet sich mit der Unterscheidung zwischen Zutrittskontrolle, Zugangskontrolle und Zugriffskontrolle an. Teil 2 gibt zu bedenken, dass Cloud-Passwörter und Social Sign-ins Firmenzugriff auch von außerhalb ermöglichen. Teil 3 sieht sich eine Reihe von konkreten Lösungen an, die eine bessere Zugangskontrolle ermöglichen sollen.

In der Praxis bereitet Access Control bereits bei einfachen Fragestellungen Probleme, z.B. deshalb, weil Nutzer gerne ihre Passworte notieren oder immer dasselbe Passwort behalten wollen. Darüber hinaus sollten Sie aber auch Szenarien in Betracht ziehen, die scheinbar Spezialfälle sind, aber mittlerweile immer häufiger auftreten und große Gefahren mit sich bringen. Gemeint ist der Zugang zu Cloud-Diensten, der mobile Zugang oder Anmeldungen bei sozialen Netzwerken, die per Social Sign-in eine direkte Brücke in die Firma schlagen wollen, die also das Facebook-Passwort gleich für den Zugang zum internen Netzwerk verwenden möchten.

Fazit: Access Control zugänglich machen

Die folgenden Beiträge zum Thema Access Control sollen aufzeigen, wo Unternehmensverantwortliche bei der Zugangskontrolle besonders aufpassen müssen und welche Möglichkeiten die moderne IT bereits bietet, die weit über die Zugangskontrolle per Passwortabfrage hinausgehen. Dabei wird es nicht nur um die Gefahr von geknackten Kennwörtern gehen, sondern auch um die Situation, in der der Zugang erfolgen soll.

Zunächst verfolgt Teil 2 dieser Serie das Thema Access Control in die Trendwelt aus Cloud, Mobile und sozialen Netzwerken.
News Analyst Oliver Schonschek.JPG

Oliver Schonschek bewertet als News Analyst auf MittelstandsWiki.de aktuelle Vorfälle und Entwicklungen. Der Fokus liegt auf den wirtschaftlichen Aspekten von Datenschutz und IT-Sicherheit aus dem Blickwinkel des Mittelstands. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen, insbesondere in seinem Spezialgebiet Datenschutz und Datensicherheit.


Oliver Schonschek, Tel.: 02603-936116, www.schonschek.de

Nützliche Links