B wie Berechtigungskonzept | Das ABC der IT-Sicherheit

IT-Sicherheit

In unserem heutigen Beitrag geht es um das Thema Berechtigungskonzept. Sie erfahren, was ein Berechtigungskonzept ist, was es regelt, wer es braucht und welche Vorteile es Unternehmen bietet, um Datenschutz und Datensicherheit zu gewährleisten.

Die Definition: Was ist überhaupt ein Berechtigungskonzept?

Ein Berechtigungskonzept legt die Regeln für den Zugriff einzelner Benutzer auf Ordner, Daten oder Systeme innerhalb eines Netzwerks fest. Moderne Berechtigungskonzepte basieren auf Gruppen. Sie erleichtern damit den Administratoren die Verwaltung der Zugriffsrechte und fördern die IT-Sicherheit und den Datenschutz.

Regeln, Regeln, Regeln

So wie es in einem Land Gesetze gibt oder die Straßenverkehrsordnung Regeln für den Verkehr vorgibt, so gibt es auch innerhalb jedes Unternehmens Regeln für Zugriffe und Berechtigungen. Im Bereich der IT sind diese Regeln im Berechtigungskonzept zusammengefasst. Das gehört zum IT-Sicherheitskonzept und regelt, wer im Unternehmen auf was zugreifen darf. Konkret bedeutet das, welche Benutzer dürfen welche Programme benutzen oder Ordner öffnen. Vielleicht ist auch geregelt, zu welcher Zeit und in welchem Umfang das möglich sein darf. Benutzer sind in Gruppen organisiert. Die Gruppen können dann auf Laufwerke, einzelne Ordner oder Programme angewendet werden.

Warum gibt es Berechtigungskonzepte?

In jedem Unternehmen gibt es eine Vielzahl an Daten und Programmen. Doch nicht alle Daten sind für alle Benutzer relevant. Gerade im Bereich der Geschäftsführung oder im Personalbereich gibt es sensible Daten, die nicht für alle Augen bestimmt sind. Diese Daten sollen bzw. dürfen gar nicht allen Mitarbeitern zugänglich sein. In der Regel muss nur ein kleiner Personenkreis mit diesen Daten arbeiten. Dafür kann der Administrator die Gruppe „Personalwesen“ anlegen und fügt dann die entsprechenden Mitarbeiter in die Gruppe hinzu. Gruppen machen das Leben leichter, sind einfach zu pflegen und zu kontrollieren.

Das Berechtigungskonzept funktioniert ähnlich wie ein Einwohnermeldeamt

Angenommen ein Unternehmen hat zehn PCs mit einzeln angelegten Nutzern. Schon hier den Überblick zu behalten, wer welche Rechte hat, ist schwierig und führt schnell zu Chaos. Hier ist ein Berechtigungskonzept essenziell, um Ihre Nutzer auf Dauer managen zu können. Wichtig ist zudem, dass das Berechtigungskonzept von Anfang an festgelegt wird. Dann erleichtert es die Arbeit für alle Beteiligte.

Das Berechtigungskonzept regelt das Verhältnis von Gruppen und Nutzern. In einem zentralen Verzeichnisdienst sind alle Nutzer angelegt und können den einzelnen Gruppen zugeordnet werden. Jede Gruppe ist mit Berechtigungen zum Zugriff auf Ordner auf dem Netzlaufwerk versehen. Da kann es einen Ordner für jede Abteilung geben, aber auch Ordner für einzelne Projektgruppen. Das stellt sicher, dass die einzelnen Ordner auf dem Netzlaufwerk nur für bestimmte Personen zugänglich sind.

Neben der Pflege über das Active Directory von Windows gibt es auch Berechtigungskonzepte in anderen Programmen, zum Beispiel in einem Warenwirtschaftssystem oder einem CRM-System. Auch dort geht die Pflege am besten über Gruppen und Rechte, die in der Anwendung selbst zu vergeben sind. Beispielsweise darf in der Regel nicht jeder in einem Warenwirtschaftssystem Rechnungen schreiben. Aber vermutlich soll jeder Angebote schreiben dürfen. Die Ausgestaltung ist für jedes Unternehmen individuell.

Die regelmäßige Überprüfung: Der Soll-Ist-Vergleich

Ein Berechtigungskonzept muss regelmäßig überprüft werden, um Fehler zu vermeiden. Ein Klassiker, den wir immer wieder beobachten, sind die wachsenden Berechtigungen der Azubis. Die Azubis durchlaufen während ihrer Ausbildung viele Abteilungen im Unternehmen. Ergo, erhalten Sie auch Berechtigungen für viele Bereiche. Nur macht sich leider in den meisten Unternehmen niemand die Mühe, nicht benötigte Berechtigungen wieder zu entfernen. Das hat zur Folge, dass ein Azubi am Ende seiner Ausbildung mehr Berechtigungen hat als jeder andere im Unternehmen. Sie sind in allen Gruppen, weil es nicht sauber gepflegt wurde. Daher ist ein regelmäßiger Abgleich wichtig für die eigene IT-Sicherheit.

Was sind die Vorteile eines Berechtigungskonzepts?

Ein Berechtigungskonzept dient der IT-Sicherheit und dem Datenschutz. Stellt es doch sicher, dass nur Befugte auf die entsprechenden Daten zugreifen können. Zudem erleichtert es die Arbeit der IT-Verantwortlichen und spart damit Ressourcen ein. Gerade beim Onboarding von neuen Mitarbeitern zahlt sich ein Berechtigungskonzept aus. Im besten Fall können IT-Mitarbeiter einfach die Berechtigungen eines bestehenden Mitarbeiters kopieren und müssen nicht alles neu anlegen.

Gibt es eine Pflicht für ein Berechtigungskonzept?

Eine gesetzliche Pflicht für ein Berechtigungskonzept besteht nicht. Allerdings müssen Unternehmen dafür sorgen, dass sensible Daten vor unerwünschtem Zugriff geschützt sind. Dass beispielsweise die Geschäftsführung nicht auf die Daten des Betriebsrats zugreifen kann, sollte selbstverständlich sein und schon durch die Unternehmensstruktur geregelt sein. Meistens hat der Betriebsrat sein eigenes Verzeichnis auf dem Laufwerk und ein eigenes Postfach für die E-Mails.

Unterschiede beim Berechtigungskonzept zwischen Active Directory und dem Azure AD

Wer Azure, also die Cloudvariante des Active Directory verwendet, hat eine etwas andere Administration, wenn es um Rechte und Berechtigungen geht. Auch bei Azure gibt es Gruppen und Benutzer. Aber die Struktur und die Technologie dahinter ist etwas anders. Der Konsument merkt das allerdings nicht.

Praktisch ist aber, dass die Microsoft-Produkte wie MS Teams oder MS Sharepoint eng verwoben sind. Wenn in Teams ein neues Team erscheint, wird dafür auch in Sharepoint automatisch eine Struktur angelegt.

Sie brauchen Unterstützung bei der Einrichtung eines aktuellen Berechtigungskonzepts? Wir unterstützen Sie dabei. Gerne können Sie Ihr Fragen in einem ersten Beratungsgespräch unverbindlich an uns stellen. Vereinbaren Sie jetzt Ihren Termin hier.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert