Ausschließliche Erteilung notwendiger Zugriffsrechte

Wie kann die im Abschnitt IT-Sicherheit dargestellte Definition in der Praxis umgesetzt werden? Legen Sie zuerst fest, wer worauf Zugriff benötigt. Die technische Realisierung wird erst im Nachgang vorgenommen.

Bitte beachten Sie, dass der Zugriff nicht bestimmten Personen erteilt werden sollte. Vielmehr werden Rechte an bestimmte Funktionen innerhalb eines Unternehmens gebunden. Dabei gilt Folgendes:

• Jede natürliche Person kann mehrere Funktionen innehaben und
• jede Funktion kann von mehreren Personen eingenommen werden.

Beispiel: Umsetzung in einem kleinen Unternehmen

Im Unternehmen sind neben dem Geschäftsführer noch ein Verkäufer sowie eine Sekretärin tätig. Der Geschäftsführer kümmert sich neben seiner eigentlichen Arbeit auch noch um die Administration aller Computer im Unternehmen und führt demzufolge zwei Funktionen aus:

• Im Rahmen seiner normalen Tätigkeit muss er an seinem Computer E-Mail versenden und empfangen, Buchhaltungsdaten einsehen, Angebote verfassen, Trends mit einer Tabellenkalkulation darstellen können usw.
• Im Rahmen seiner Administrationstätigkeit ist er für die Installation von Sicherheitsupdates, die Datensicherung, den Schutz aller Computer vor physischer Beschädigung, Diebstahl etc. zuständig

Der Geschäftsführer wird innerhalb eines Tages mitunter beide Funktionen ausüben, jedoch übt er zu einem bestimmten Zeitpunkt immer nur eine dieser Funktionen aus. Es liegt deshalb nahe, dass der Geschäftsführer über zwei Benutzerkonten verfügen sollte. Diesen Konten sollten ausschließlich die für die auszuübende Funktion benötigten Rechte zugewiesen werden.

Diese Strategie (das so genannte Prinzip des notwendigen Wissens, engl: need-to-know principle) ist ein allgemein anerkannter Standard - und wird doch in der Praxis viel zu selten umgesetzt.

Im nächsten Abschnitt wird dargestellt, wie die Trennung der Funktionen bezogen auf unser Beispiel erfolgen sollte.