Tools zur einfachen Verwaltung von Zugriffsrechten

Die fortschreitende Digitalisierung im Unternehmensalltag erfordert den adäquaten Umgang mit Zugriffsrechten. Hierbei können eigens dafür entwickelte Tools eine wichtige Hilfe sein. In diesem Beitrag erfahren Sie die datenschutzrechtlichen Hintergründe zum Erfordernis der Zugriffskontrolle und mithilfe welcher exemplarischen Anbieter die Rechteverwaltung automatisiert werden kann.  

Rechtliche Anforderungen 

Nahezu jeder Beschäftigte hat heutzutage in der ein oder anderen Form bereits Zugriff auf betriebliche IT-Systeme. Nicht nur die Sicherung des LogIns mittels starker Passwörter und Authentifizierungsverfahren muss folglich ein Bestreben des Unternehmens sein, sondern auch die Beschränkung der Mitarbeiterrechte. Gerade sensible Bereiche, etwa betreffend die Server und Sicherheitsarchitektur sollten nur so wenigen wie möglich zur Verfügung gestellt werden. Dieses Verfahren wird auch „Need-to–know-Prinzip“ genannt. Selbiges gilt auch für Personalakten oder Kundenlisten. Idealerweise sollte es im Unternehmen deshalb eine zentrale Stelle geben, die über diese Zugriffsrechte einen Überblick behält, um die Kontrolle zu behalten und andererseits datenschutzrechtlichen Verpflichtungen nachzukommen. Denn diese Anforderung ist durch die DSGVO vorgesehen: Die in Art. 32 Abs. 1 DSGVO geforderten technisch – organisatorischen Maßnahmen zum Schutz personenbezogener Daten lassen sich auch auf ein funktionierendes, restriktives Management der Nutzerberechtigungen beziehen.  

Möglichkeiten der Zugriffsverwaltung 

Die Verwaltung von Mitarbeiterrechten muss dabei keineswegs eine eigene, intern entwickelte Variante sein. Vielmehr ist es im Regelfall so, dass die meisten Business Softwarepakete wie etwa SAP, Salesforce aber auch Microsoft oder Google Suits bereits integrierte Lösungen vorweisen können. Selten ist jedoch nur ein einziger Anbieter im Unternehmen in Verwendung und die Koordinierung wird folglich aufwändiger. An dieser Stelle können spezielle Programme Abhilfe schaffen, von denen es zahlreiche am Markt gibt. Bei der Auswahl der richtigen Software zur Rechtverwaltung ist zunächst zu achten auf die allgemeinen Kompetenzen des Anbieters. Bemessen lassen sich seine Fähigkeiten gut anhand von IT-Sicherheitstandards nach ITIL, COBIT oder klassischerweise der ISO27001 Zertifizierung. Bei amerikanischen Herstellern ist zudem die Mitgliedschaft im Privacy Shield ein wichtiges Kriterium, um ein der DSGVO mindestens gleichwertiges Schutzniveau zu garantieren. Nun aber zum Abschluss noch eine exemplarische Auswahl von Tools zur Rechteverwaltung: 

Docusnap:  

Fokus des Anbieters Docusnap ist das Abbilden der gesamten IT-Infrastruktur.

Hierzu wird initial die gesamte Hardware und Software Ausstattung des Unternehmens inventarisiert, soweit möglich geschieht dies automatisiert. Aufbauend darauf generiert Docusnap dann Listen, Grafiken und Analysen. Auch das Berechtigungsmanagement ist Teil dieser Zusammenfassung, so gibt es einen eigenen Bericht zu Administratorenrechten. Nicht möglich ist allerdings das Ändern von Zugriffsrechten direkt über das Interface von Docusnap. Durch Unternehmenssitz in Deutschland unterliegt Docusnap sämtlichen Pflichten der DSGVO.  

Ivanti:  

Demgegenüber lässt sich mittels Ivanti die Verwaltung von Zugriffsrechten schon etwas weitergehend zentralisieren: Durch das Festlegen von Anforderungsprofilen und konkreten Rollen – etwa ausgehend vom Jobtitel oder Abteilungsbezogen kann vorab festgelegt werden welche Stelle im Unternehmen welche Zugriffsrechte erhält. Bei Orientierung an diesen vordefinierten Positionen entfällt das manuelle Aufsetzen der Berechtigungen. Im Rahmen dieser tätigkeitsbezogenen Zuordnung ist die Software aber natürlich etwas starr, wenn es um Sonderfälle oder individuelle Lösungen für einzelne Mitarbeiter geht. Ivanti hat Sitz in den USA und ist im Privacy Shield gelistet. Auch wird der ISO 27001 Standard erfüllt. 

Access Rights Manager:  

Vertrieben durch die SolarWinds Worldwide LLC wird der Access Right Manager. Mithilfe von diesem ist es möglich, für jeden einzelnen Mitarbeiter zentral die Zugriffsrechte zu steuern. Dieser umfassende Ansatz verschafft die Möglichkeit genaue Reportings für Compliance und das Risikomanagement zu schaffen. Gleichzeitig ist dieses Tool aber auch das teuerste der drei hier vorgestellten Softwarelösungen bzw. Services. Auch solarwinds ist Teil des EU-US Privacy Shields und entspricht der ISO Norm 27001.  

Die vorgestellten Anbieter sollen natürlich lediglich einen groben Überblick verschaffen. Es ist unerlässlich vorab die eigenen IT-Systeme und erforderliche Zugriffsrechte genau zu analysieren und diese anschließend erst durch eine zugeschnittene Lösung zu definieren und dokumentieren. Sollten Sie hierbei Unterstützung benötigen, stehen wir Ihnen gerne zur Seite.