Usability vs. Datenschutz: Muss Berechtigungsmanagement immer so kompliziert sein?

Mobiles Arbeiten und die zunehmende Vernetzung von Unternehmensdaten machen das Thema Datenschutz zunehmend wichtiger. Bekannt gewordene Hackerangriffe und Datenpannen lassen gleichzeitig den Druck auf Unternehmen steigen. Die Vorkehrungen zum Schutz sensibler Kund:innendaten werden immer strenger und komplizierter. Je aufwändiger die Maßnahmen, desto schwieriger wird es jedoch für Mitarbeiter:innen, diese einzuhalten.

Systeme sollten daher eine Doppelfunktion erfüllen: Je simpler und verständlicher die Umsetzung, desto wahrscheinlicher ist der Schutz gegenüber Datenlecks und Angreifer:innen. Meistens bleibt das Thema Datenschutz alleinige Angelegenheit der IT-Administration, obwohl sich jede:r darüber Gedanken machen sollte und während des Arbeitens gewissenhaft mit den Daten umgehen muss.

Doch welche Daten müssen geschützt werden?

Jedes Unternehmen hat eine Vielzahl von Daten: Kund:innendaten, abgespeicherte Arbeitsprozesse, Mitarbeiter:innenlisten und Unternehmensgeheimnisse. Einige dieser Daten bedürfen mehr Schutz, andere weniger. Deshalb sollten Sie eine Priorisierung anstreben. Welche Daten sind täglich in Gebrauch und welche sollten einfach und für jede:n verfügbar sein?

Klassifizierungen ermöglichen es, die Daten in unterschiedliche Risikostufen einordnen zu können. Unternehmensgeheimnisse und personenbezogene Daten müssen dabei beispielsweise deutlich stärker geschützt werden, als die Marke der bestellten Büromöbel oder die Folien der letzten Online-Tagung.

Geeignet ist das Need-to-know-Prinzip. Prinzipiell sollten Sie für alle Daten prüfen, wer Zugriff darauf benötigt. Ist das Wissen, das aus den Daten gewonnen werden kann, wirklich wichtig für die Arbeit der Mitarbeiter:innen? Geeignet ist hierfür das Need-to-Know-Prinzip, nach dem nur die Mitarbeiter:innen Zugriffsrechte erhalten, die Sie wirklich benötigen.

Bei hochsensiblen Daten sollten Sie zusätzlich prüfen, ob eine Schutzunterweisung vorliegt.

Um Daten zu schützen, ist diese Einschränkung der Nutzungsrechte unumgänglich und wird daher in nahezu allen Organisationen umgesetzt. Genau dieser Umstand erschwert jedoch oft die Arbeitsprozesse der Mitarbeiter:innen: Fehlen Berechtigungen geht der Weg zunächst über die IT-Abteilung. Diese wiederum müssen zunächst wiederum die Datenverantwortlichkeit in den Fachbereichen ermitteln. Dort fehlt gleichzeitig die Transparenz, wer wo berechtigt ist.

In Folge werden Berechtigungen schnell nach dem Gießkannenprinzip vergeben, Daten in öffentliche Bereiche kopiert oder oft das Entziehen nicht mehr benötigter Rechte vernachlässigt. Von Auditor:innen empfohlene Rezertifizierungen, in welchen Datenverantwortliche die Rechtesituation in regelmäßigen Abständen überprüfen müssen, bedeuten oft Frust durch Mehraufwände und Papierberge voll komplexer Matrizen.

Der Datenschutz ist notwendig. Für den Erfolg ist es jedoch umso wichtiger, einen Mittelweg zu finden, der Usability und Datenschutz gleichermaßen betrachtet und jeden Prozess nach Risikoklasse und Wichtigkeit bewertet.

Wie kann die Komplexität gemeistert werden?

Wer Berechtigungen nach dem Need-To-Know-Prinzip vergibt, geht ein deutlich geringeres Datenschutzrisiko ein. Dabei empfiehlt es sich, möglichst transparent und intuitiv vorzugehen: Mit einem Ansatz aus Self Service und automatisierter Umsetzung können diese Prozesse in die Hände der Nutzer:innen gelegt werden und ohne die IT-Administration erfolgen. Fehlen Berechtigungen können diese leicht verständlich und ohne technische Details bei den Datenverantwortlichen beantragt werden. Nach erfolgter Genehmigung werden die Änderungen automatisiert im Zielsystem umgesetzt.

Daten- und Userzentrierte Auswertungen ermöglichen eine transparente Darstellung für technische Laien. Der Einsatz von zeitlichen Befristungen und die regelmäßige Überprüfung von Berechtigungen verhindert eine unkontrollierte Berechtigungsausbreitung und hilft Ihnen dabei, alle rechtlichen Anforderungen einzuhalten.

Jede Zugriffsberechtigung erhöht auch statistisch gesehen das Risiko für einen erfolgreichen Cyberangriff von außen, welche durch die Kontrolle der Anzahl an Berechtigungen vermindert werden können. Durch die Automatisierung des Berechtigungsmanagements wird Sicherheit geschaffen und das Risiko eines Datenlecks minimiert. Gleichzeitig wird die Usability dahingehend erhöht, dass Mitarbeiter:innen transparent und intuitiv in den Prozess einbezogen werden.

Gut zu wissen

Als die automatisierte und sichere Self Service Lösung für Berechtigungs- und Identitätsmanagement setzt der BAYOOSOFT Access Manager auf die drei Bausteine Self Service, Automatisierung und Monitoring und erlaubt somit die Usability in diesen Prozessen deutlich zu erhöhen.

Erfahren Sie mehr über den BAYOOSOFT Access Manager

Sie möchten den BAYOOSOFT Access Manager direkt kostenlos kennenlernen? Melden Sie sich an für einen 30-tägigen TRIAL.

Jetzt kostenlos testen

Usability vs. Datenschutz: Muss Berechtigungsmanagement immer so kompliziert sein?

Doch welche Daten müssen geschützt werden?

Wie kann die Komplexität gemeistert werden?

Aktuelles