Warum ist Access Control wichtig?
Durch eine mangelnde Zugriffskontrolle kann jeder Nutzer in einem Unternehmen potentiell auf alle Ressourcen zugreifen. Dadurch kann es unter anderem zu Datenschutzverletzungen kommen, da auch sensible Informationen von Mitarbeitenden eingesehen werden können. Dies kann ein direkter Verstoß gegen gesetzliche Vorgaben darstellen. Auch interne Unternehmensdaten können so eingesehen werden und eine Wirtschaftsspionage wird dadurch deutlich erleichtert. Aber selbst wenn die Mitarbeitenden diese Zugriffsmöglichkeiten nicht ausnutzen, macht es ein Unternehmen deutlich angreifbarer. Cyberkriminellen genügt es dann als Nutzer in das System zu kommen, um automatisch auf alle Bereiche des Unternehmens zugreifen zu können. Limitiert man jeden Nutzer auf die für die Person notwendigen Programme und Zugriffe, wird es schwerer, von einem Mitarbeitenden auf interne Geschäftsdaten zugreifen zu können. Dadurch wird es automatisch auch für Angreifer schwieriger, ein komplettes Firmen-System zu infiltrieren.
Wie läuft eine Zugriffskontrolle ab?
Stark vereinfacht basiert Access Control auf drei Sicherheitsprinzipien: Zunächst gilt es eine Person eindeutig zu identifizieren. Auf technischer Seite bedeutet dies, dass jeder Mitarbeitende einen eigenen spezifischen Benutzernamen oder eine spezifische ID bekommt, die kein anderer hat. Danach erfolgt eine Authentifizierung durch ein Passwort und bestenfalls einer daran anschließenden Multifaktorauthentifizierung. Ist diese erfolgreich, wird der Benutzer autorisiert für seinen zuvor spezifisch definierten Bereich und bekommt entsprechende Zugriffsrechte. Dadurch wird gewährleistet, dass auch wirklich der richtige Nutzer auf die ihm zugewiesenen Daten zugreift und nicht jemand Externes. Zusätzlich wird sichergestellt, dass der entsprechende Nutzer auch wirklich nur die für ihn relevanten Daten bekommt und nicht auf Daten zugreifen kann, die eventuell durch den Datenschutz geschützt sind.
Welche Modelle von Access Control gibt es?
Der Anwendungsbereich der Zugriffskontrolle hängt stark von dem jeweiligen Unternehmen ab, in dem sie zum Einsatz kommt. Je nachdem können unterschiedliche Varianten von Access Control gewählt werden.
1. Discretionary Access Control (DAC) (deutsch: diskretionäre Zugriffskontrolle)
Der Ersteller oder Besitzer einer Ressource entscheidet, wer Zugriff darauf enthält. Oft wird diese Möglichkeit bei einer gemeinsam genutzten Cloud verwendet, bei der man anderen Mitarbeitenden des eigenen Unternehmens die Möglichkeit einräumen kann, auf selbst erstellte Ordner und Dateien zugreifen zu können.
Vorteil: Sehr flexibles System, das schnell und individuell genutzt werden kann.
Nachteil: Einzelne Nutzer haben oft nicht das große Ganze im Blick. Schnell kann hier zu viel freigegeben werden und auch von außen gibt es keine Kontrolle, wie die Zugriffsrechte sind. Die IT-Verantwortlichen verlieren hier schnell den Überblick und können die Rechte nicht mehr organisieren. Entsprechend kann es hier auch sehr schnell zu Sicherheitslücken oder Datenschutzverstößen kommen.
2. Role-Based Access Control (RBAC) (Deutsch: Rollenbasierte Zugriffskontrolle)
Anstatt jedem Nutzer einzeln Zugriffsrechte zuzuordnen, werden Nutzern verschiedene Rollen zugewiesen. Die Rollen erhalten dann entsprechende Zugriffsrechte.
Vorteil: Übersichtliche Kategorisierung unterschiedlicher Arbeitsbereiche. Erhöhte Sicherheit, da bestimmte Rollen nur eingeschränkte Zugriffsrechte haben.
Nachteil: Etwas weniger flexibel für Einzelfallentscheidungen und man benötigt einen Administrator, der die Rollen festlegt und definiert.
3. Mandatory Access Control (MAC) (deutsch:obligatorische Sicherheitskontrolle)
Ressourcen werden anhand von verschiedenen Sicherheitsstufen geregelt. Oft findet diese Methode Anwendung in der Regierung oder beim Militär. Diese funktionieren meist ein wenig anders als die klassischen Zugriffskontrollen. Da es hierbei nicht um eine Authentifizierung und Rechteverteilung für die Nutzer geht, sondern stattdessen die Daten in verschiedene Gruppen unterteilt werden. Beispielsweise erfolgt die Unterteilung in „geheim“ oder „streng geheim“. Der Zugriff darauf erfolgt anschließend über mehrere Sicherheitsstufen und Codes.
Vorteil: Bietet eine sehr hohe Sicherheitsstufe und ist deutlich weniger fehleranfällig
Nachteil: Sehr komplexe Einrichtung, meist für Unternehmen dadurch eher ungeeignet
Wie sollte man Access Control im Unternehmen nutzen?
Es geht bei der digitalen Zugriffskontrolle um weit mehr als nur die eigenen Daten durch ein Passwort zu schützen. Vielmehr ist sie eine strategische Sicherheitsmaßnahme die genau durchdacht werden sollte. Vor allem im Hinblick auf Zero-Trust ergibt es absolut Sinn nicht nur unterschiedliche Netzwerke für die Mitarbeitenden anzulegen, sondern auch verschiedene Rollen zu verteilen, um jedem eigene Sicherheitsrechte einzuräumen. Wir sprechen uns hier vorrangig für eine rollenbasierte Access Kontrolle aus. Zusätzlich kann man die Möglichkeit schaffen, dass innerhalb der Rollen einzelne Teams nur anderen Team-Mitgliedern bestimmte Dateien freigeben. Dadurch hätte man eine Mischform aus RBAC und DAC.
Nur durch eine gute Access Control kann sichergestellt werden, dass alle Regeln zum Datenschutz eingehalten werden. Außerdem wird es Angreifern dadurch deutlich schwerer gemacht in ein System einzudringen.Sie überlegen in Ihrem Unternehmen die Zugriffskontrollen klarer zu regeln oder fragen sich welches Modell für Unternehmen das richtige ist? Wir unterstützen Sie gern dabei und beraten Sie kompetent und herstellerneutral. Einige Kunden haben wir nicht nur erfolgreich beraten, sondern auch bei der Implementierung der Zugriffskontrollen aktiv geholfen. Kontaktieren Sie uns gerns für ein erstes unverbindliches Gespräch.