Stephan Wirth, Datenschutzbeauftragter und Informationssicherheitsbeauftragter, NRW.BANK 

Berechtigungsmanagement als Teil der Unternehmens-Compliance 

Die Implementierung risikoorientierter Prozesse und Verfahren im Rahmen der Steuerung von Berechtigungen ist ein kritischer Erfolgsfaktor zur Erreichung einer angemessenen Compliance im Unternehmen. Ein ganzheitliches und rollenbasiertes Berechtigungsmanagement ist dabei ein wesentlicher Erfolgsfaktor zur Sicherstellung eines adäquaten Schutzniveaus und damit zur Gewährleistung der Einhaltung der aufsichtsrechtlichen Anforderungen. Dabei sollten jegliche Zugriffs- und Zugangsrechte auf Bestandteile bzw. zu Bestandteilen des Informationsverbundes standardisierten Prozessen und Kontrollen unterliegen.

Grundlagen zur Gewährung von Berechtigungen

Berechtigungskonzepte müssen konsistent zum Schutzbedarf der betroffenen Informationen aufgesetzt werden. Dabei sind die Berechtigungen aus fachlicher Sicht streng nach dem Need-to-know-Prinzip zu vergeben. Die Anforderungen an eine angemessene Funktionstrennung sind zwingend zu beachten. Hierzu ist eine Zuordnung einzelner Berechtigungen zu betrieblichen Funktionen hilfreich. Eine technische Umsetzung der Funktionstrennung ist dabei anzustreben.

Umfang des Berechtigungsmanagements

Im Rahmen des Berechtigungsmanagements sind sämtliche Arten von Berechtigungen zu berücksichtigen. Hierzu zählen sowohl personalisierte als auch nicht-personalisierte und technische Nutzer. Aufgrund ihres erweiterten Berechtigungsumfangs und des damit einhergehenden höheren Risikopotentials sind privilegierte Berechtigungen besonders restriktiv zu vergeben. Sofern aus fachlicher Sicht umsetzbar, sind eingeräumte Berechtigungen zeitlich zu befristen.

Das Berechtigungsmanagement deckt den gesamten Lebenszyklus von Berechtigungen ab. Es müssen Genehmigungs- und Kontrollprozesse für die Einrichtung, Änderung, Deaktivierung, und Löschung von Berechtigungen aufgesetzt werden. Ein zentrales Berechtigungsmanagement ermöglicht formalisierte und institutsübergreifende Prozesse und eine vollständige Benutzer- und Berechtigungshistorie.

Regelmäßige Rezertifizierungen

Eingeräumte Berechtigungen für Anwender sind regelmäßig dahingehend zu überprüfen, ob sie weiterhin für die Erfüllung der betrieblichen Aufgaben erforderlich sind. Im Rahmen regelmäßiger und risikoorientierter Rezertifizierungen sind auch die zugrunde liegenden Konzepte angemessen auf Anpassungsbedarf hin zu untersuchen. Um einer missbräuchlichen Nutzung von Berechtigungen vorzubeugen, sind nicht mehr benötigte Rechte unverzüglich zu entziehen. 

Protokollierung und Überwachung 

Um sicherzustellen, dass die eingeräumten Berechtigungen ausschließlich wie betrieblich vorgesehen genutzt werden, sind angemessene Prozesse zur Protokollierung und Überwachung einzurichten. Dies gilt insbesondere für privilegierte Berechtigungen, die aufgrund ihres Rechteumfangs ein erhöhtes Risikopotential darstellen. 

Die übergeordnete Verantwortung für die Prozesse zur Protokollierung und Überwachung von Berechtigungen wird von einer unabhängigen Stelle im Unternehmen wahrgenommen (z. B. dem Informationssicherheitsbeauftragten).

PRAXISTIPPS

• Ein umfassendes und risikoorientiertes Berechtigungsmanagement ist erforderlich, um einen angemessenen Schutz Ihrer Unternehmenswerte sicherzustellen.
• Beachten Sie das Need-to-know-Prinzip und stellen Sie eine ausreichende Funktionstrennung sicher. 
• Für privilegierte Rechte bestehen besondere Anforderungen an Prüfung, Überwachung und (zeitliche) Limitierung.
• Der Rezertifizierungsprozess ist risikoorientiert aufzusetzen und beinhaltet sämtliche Bestandteile des Berechtigungsmanagements.
• Die Einhaltung der betrieblichen Vorgaben zum Berechtigungsmanagement sind zu überwachen.