Zugriffskontrolle: Wer darf was?
Zugriffskontrolle: Wer darf was? Die NIS-2-Richtlinie fordert eine klare Zugriffskontrolle in Unternehmen. Doch was bedeutet das konkret? Zugriffskontrolle stellt sicher, dass nur autorisierte Personen Zugriff auf sensible Ressourcen und Informationen erhalten – sowohl digital als auch physisch.
Wie funktioniert Zugriffskontrolle?
- Identitäten verwalten: Jedes Unternehmen sollte ein klares Konzept für digitale Identitäten haben. Eine Person sollte nach Möglichkeit nur eine Identität besitzen, der dann gezielt Zugriffsrechte zugewiesen werden. Ein zentrales Identity & Access Management (IAM) kann helfen, dies effizient zu steuern.
- Rechtevergabe nach Bedarf: Zugriffsrechte sollten nur nach einer Prüfung vergeben werden:
- Braucht die Person dieses Recht wirklich? Oder ist das jetzt nur Bequemlichkeit?
- Gibt es Alternativen?
- Ist das Recht dauerhaft erforderlich oder nur temporär?
- Was sind die minimal erforderlichen Rechte, um eine Aufgabe zu erledigen? Nur die sollten verteilt werden.
- ACHTUNG: Nicht nur natürliche Personen haben Zugangsrechte. Auch Systeme nutzen andere Systeme, um dort Daten abzuholen oder abzuladen. Diese bitte nicht vergessen!
- Sichere Übergabe von Zugriffsrechten: Die Vergabe von Zugangsdaten sollte nicht über unsichere Methoden wie Notizzettel oder unsichere E-Mails erfolgen. Sichere Verfahren zur Übermittlung sind essenziell. Alternativ erlauben Systeme, dass sich Nutzer beim ersten Zugriff das erste Passwort selbst setzen.
- Auf Nummer sicher gehen: Manche Systeme sind so sensibel, dass 2FA eingesetzt werden sollte. Überlegen Sie, welche das bei Ihnen sind.
- Regelmäßige Überprüfung von Zugriffsrechten: Unternehmen sollten regelmäßig prüfen, ob die gewährten Zugriffsrechte noch notwendig sind.
- Ehemalige Mitarbeiter: Wurden bei Austritt wirklich alle Rechte entzogen? Und wer ist dafür eigentlich verantwortlich?
- Entzug von Zugriffsrechten bei Rollenwechsel: Sobald ein Mitarbeiter intern die Position wechselt, müssen nicht mehr benötigte Rechte konsequent entzogen werden.
- Systeme gehen auch mal in Rente: Bedeutet für Sie: wenn ein System Jahre lang bei einem anderen System Daten abgeholt hat und dieser Automatismus jetzt abgeschafft wird, muss das entsprechende Zugriffsrecht auch gelöscht werden.
Praktische Erfahrung: Warum Zugriffskontrolle wichtig ist
In der Praxis zeigt sich, dass viele Unternehmen mit unzureichenden Zugriffsregelungen arbeiten. Vielfach können bspw. ehemalige Mitarbeiter nach wie vor Systeme des Unternehmens nutzen. Beispielsweise noch auf den internen Chat zugreifen, oder auf das interne Wiki. Einfach weil niemand es für seine Aufgabe hielt, dies abzuschalten. Solche Vorfälle zeigen, warum regelmäßige Überprüfungen essenziell sind.
Unser Tipp
Zugriffskontrolle ist ein fundamentaler Bestandteil der IT-Sicherheit. Ein durchdachtes System stellt sicher, dass nur befugte Personen auf relevante Informationen zugreifen können und verhindert Sicherheitsrisiken durch veraltete oder übermäßige Rechte. Also:
- Überlegen Sie sich, wer dafür verantwortlich ist, Zugänge zu Systemen zu verteilen – und auch wieder abzuschalten.
- Sie werden zig verschiedene Systeme haben. Mitarbeiter können auf all diesen Systemen Identitäten haben. Das kann in Chaos enden. Vielleicht möchten Sie ein zentrales IAM-System einsetzen, um diesese Chaos zu beherrschen?
- Wenn Sie das Ganze nicht automatisieren wollen und Ihr System es Ihnen nicht erlaubt, Zugänge nur auf Zeit einzurichten: tragen Sie sich einen wiederkehrenden Termin in den Kalender ein, an dem Sie checken, ob die Zugänge auf Ihre Systeme so sind, wie sie sein sollten.
Interesse geweckt?
Wenn Sie von NIS-2 betroffen sind und noch kein sauberes Zugangsmanagement haben, sollten Sie jetzt handeln? Vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!