Die Zugangskontrolle – das zweite der acht Gebote des Datenschutzes

Die Zugangskontrolle soll verhindern, dass Unbefugte Datenverarbeitungsanlagen in Betrieb nehmen oder diese verwenden können. Im Gegensatz zur Zutrittskontrolle geht es hier nicht mehr um den physischen Schutz der EDV-Anlage, sondern um den Zugang zum Datenverarbeitungssystem (Software). Dies geschieht hauptsächlich durch technische Vorrichtungen an den Datenverarbeitungsanlagen, wie z. B. einer Passwortabfrage.

Die acht Gebote des Datenschutzes

Für Organisationen, die personenbezogene Daten verarbeiten oder nutzen, schreibt das Bundesdatenschutzgesetz (BDSG) konkrete Schutzmaßnahmen vor. Diese, als die „acht Gebote des Datenschutzes“ bekannten Regelungen (Anlage zu § 9, Satz 1), führen als zweiten Punkt die Zugangskontrolle auf.

Technische & organisatorische Zugangskontrolle

Die Zugangskontrolle muss technisch aber auch organisatorisch umgesetzt werden. So sind Regelungen zum angemessenen Einsatz von sicheren Passwörtern unverzichtbar. Diese Vorgaben müssen dann technisch möglichst flächendeckend erzwungen werden.

Zugangskontrolle erfordert ein Berechtigungskonzept

Oft wird in der Praxis vernachlässigt, dass die Zugangskontrolle bereits einen Schritt früher beginnt. Notwendig ist die grundsätzliche Überlegung, wer zu welchen Zwecken überhaupt Zugang zu welchen IT-Systemen, einzelnen Dateiablagen oder Anwendungen haben soll und wie das Verfahren zur Gewährung dieser Rechte ausgestaltet sein soll. Dokumentiert werden diese Gedanken etwa in einem Berechtigungskonzept.

Eine wirksame Zugangskontrolle beschränkt sich nicht allein hierauf. Notwendig ist auch, sicherheitsrelevante Vorgänge (etwa fehlgeschlagene Anmeldeversuche) laufend zu protokollieren und ggf. einem Verantwortlichen zu melden.

Mitarbeiter müssen Ihren PC sichern

Auch die Verwendung von passwortgesicherten Bildschirmschonern fällt in den Bereich der Zugangskontrolle. Entfernen sich Mitarbeiter von ihrem Arbeitsplatz oder wird beispielsweise ein Smartphone nicht verwendet, sollte es eine Selbstverständlichkeit sein, das betroffene Gerät manuell zu sperren. Da dies jedoch in der Praxis nur allzu gerne unterlassen wird, sollte eine Bildschirmsperre erzwungen werden, die bei entsprechender Inaktivität zeitabhängig automatisch greift. Dies ist technisch meist leicht umsetzbar und steigert die Sicherheit der Daten im Unternehmen enorm.

In diesem Zusammenhang ist auch zu bedenken, ob und von wo aus ein Bildschirm möglicherweise durch Unberechtigte einsehbar ist. Hier werden also im Rahmen der Zugangskontrolle eher nicht-technische Gesichtspunkte zum Aufstellungs- oder Verwendungsort von Geräten relevant.

System & Endgeräte sind zu schützen

Aber nicht nur die Mitarbeiter, sondern auch die Administratoren stehen in der Pflicht. Diese haben alle Systeme durch eine ausreichende Firewall und ein Virenschutzprogramm zu sichern.

Wichtig ist auch der Umgang mit mobilen Datenträgern, wie z. B. Smartphones, Laptops, mobilen Festplatten, USB-Sticks usw. Auch hier muss für eine geeignete und angemessene Zugangskontrolle gesorgt werden. Diesbezüglich gelten die Regeln teils noch in besonderem Maße, da diese Datenträger aufgrund ihrer Mobilität einem besonders hohen Verlustrisiko ausgesetzt sind.

Fazit: Zugangskontrolle ist mehr als ein Passwort

Eine effektive Zugangskontrolle erstreckt sich vom Berechtigungskonzept über organisatorische und technische Passwortvorgaben bis hin zur Verschlüsselung mobiler Datenträger. Systemadministratoren wie Mitarbeiter sind in der Verantwortung, damit ein angemessenes Niveau des betrieblichen Datenschutzes gewährleistet werden kann. Wichtig ist zudem, dass Zugangskontrolle immer flankiert werden muss von geeigneten Maßnahmen der Zutrittskontrolle und Zugriffskontrolle.