Zugriff beschränken - so sichern Sie Ihre Informationen richtig ab: Nicht jeder darf alles sehen – so einfach ist die Grundidee hinter dieser Maßnahme aus ISO 27001. Und doch scheitern viele Unternehmen daran, den Zugriff auf Informationen wirklich wirksam zu beschränken.
Die Norm fordert in A.8.3, dass der Zugriff auf Informationen und damit verbundene Assets in Einklang mit den bestehenden Zugriffsrichtlinien eingeschränkt wird. Doch was bedeutet das in der Praxis?
Keine anonymen Gäste mehr
Der erste Schritt beim Zugriff beschränken ist banal – aber entscheidend:
- Keine anonymen Zugriffe auf sensible Daten zulassen
- Öffentlicher Zugriff nur auf nicht-sensible Informationen
- Alle Benutzer müssen eindeutig identifiziert werden – auch bei internen Tools
Ein CRM-System ohne Login oder ein freigegebener Dropbox-Link mit vertraulichen Daten? Keine gute Idee!
Zugriff beschränken auf Inhalte und Funktionen
Es reicht nicht aus, Benutzer "irgendwie" zuzulassen. ISO 27001 legt eine feingranulare Zugriffskontrolle nahe:
- Wer darf welche Daten sehen, ändern oder löschen?
- Welche Funktionen in einer Anwendung dürfen einzelne Nutzer nutzen (z. B. Export, Druck)?
- Welche Gruppen haben welche Berechtigungen auf welchem System
Technisch heißt das: Nutzung von Rollenmodellen, ACLs, Berechtigungsmatrizen oder Zero-Trust-Prinzipien.
Auch an Ablagen außerhalb der eigenen Systeme denken!
Gerade beim Teilen von Informationen nach außen – z. B. mit Kunden, Partnern oder Dienstleistern – stoßen klassische Zugriffsbeschränkungen an Grenzen. Hier kommen dynamische Zugriffskontrollen ins Spiel.
Typische Anforderungen:
- Wer darf auf welche Datei zugreifen – und wie lange?
- Darf jemand weiterleiten, drucken oder speichern?
- Was passiert, wenn jemand das Dokument nach dem Projekt noch hat?
Zugriff beschränken mit dynamischen Werkzeugen
Möglich ist hier bspw. der Einsatz von Dynamic Access Management vor - z. B. über:
- Authentifizierung per Zertifikat, Token oder Device-Fingerprint
- Zeitlich begrenzte Zugriffsrechte (z. B. bis Projektende)
- Schutz gegen Kopieren, Screenshot, Drucken
- Auditierung, wer wann was geöffnet oder bearbeitet hat
- Live-Sperren: Rechte können in Echtzeit entzogen werden
Typische Tools in diesem Bereich sind z. B. Microsoft Purview (Information Protection), Seclore, Virtru, oder in einfacheren Fällen passwortgeschützte Dokumente mit Ablaufdatum.
An den gesamten Lebenszyklus denken
Ein zentrales Element: Der Zugriff sollte nicht nur beim Erstellen, sondern auch beim Verarbeiten, Speichern, Übertragen und Löschen von Informationen kontrolliert werden.
Beispiel:
- Ein internes PDF darf für 30 Tage gelesen, aber nicht ausgedruckt oder weitergeleitet werden
- Nach Ablauf der Frist wird der Zugriff automatisch entzogen
- Zugriffe werden dokumentiert – z. B. für Incident Response
Unser Tipp
Die klassischen Berechtigungskonzepte (Benutzer, Gruppen, ACLs) reichen oft nicht mehr aus. Gerade bei sensiblen Daten lohnt sich der Blick auf dynamische Zugriffskontrollen, die auch außerhalb des eigenen Netzwerks greifen.
Zugriff beschränken heißt heute mehr als nur „Dateiserver absichern“.
Interesse geweckt?
Sie möchten wissen, wie Sie Information Access Restrictions wirksam umsetzen – auch für gemeinsam genutzte oder extern geteilte Daten? Dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!
