Es mag sich zunächst lustig anhören, ist aber alles andere als das: der „Azubi-Effekt“. Zwar haben nur wenige Startups einen Lehrling. Doch das Prinzip ist dasselbe: Ein Mitarbeiter kommt mit der Zeit in vielen Bereichen der Firma herum, überall erhält er Zugang zu den IT-Gruppenordnern – später wird vergessen, die Rechte wieder zu löschen. Wenn er wollte, könnte er sich alle Dateien, Dokumente, Kunden- und Preislisten, Konzeptpapiere und Business-Szenarien auf seinen Stick ziehen. Auch die Berechtigungen von Praktikanten oder Zeitarbeitern werden häufig nachlässig verwaltet, sodass sie mit zu vielen Rechten oder Überberechtigungen ausgestattet sind.

Viele Unternehmen sind auf solch eine Situation nicht vorbereitet. Sie haben alles dafür getan, sich gegen Angriffe von außen zu schützen. Haben Firewalls eingerichtet, den neuesten Virenschutz aktiviert – intern jedoch stehen alle Türen offen. Gerade Jungunternehmen haben zwar oft das exponentielle Wachstum als Ziel – bedenken aber nicht, dass sich damit auch die Firmenstruktur und dabei besonders die IT mitentwickeln muss. Geht es um Datensicherheit, hört nämlich der Startup-Spaß auf. Da kann es nicht mehr zugehen wie in einer Kommune, in der alle Infos für jeden transparent sind. Die Herausforderung dabei ist, den Zugang zu allen nötigen Informationen effizient zu gestalten, also ihn nicht zu verhindern.

Für 56 Prozent der Unternehmen ist dieses Access-Rights-Management gar die zweitwichtigste Sicherheitsaktion nach Passwörtern. Die meisten anderen ignorieren diesen Aspekt der IT-Sicherheit jedoch. In jedem vierten Unternehmen haben sogar sämtliche Mitarbeiter Zugriff auf alle Daten – mit teuren Nachwirkungen, wenn Daten abfließen.

Besonders Startups können sich das nicht leisten. Schließlich sind Informationen und Ideen ihr wichtigstes, oft einziges Kapital. Für Diebstahl muss es dabei nicht mal einen triftigen Anlass geben: In 60 Prozent der Einbrüche stehlen die Mitarbeiter die Daten in der vagen Hoffnung, aus diesen irgendwie Geld zu machen. In 17 Prozent der Fälle werden sie entdeckt, aber es wird nicht sanktioniert, zu 15 Prozent werden die Daten zu einem neuen Arbeitgeber mitgenommen oder es wird gleich eine Konkurrenzfirma eröffnet.

Für den Anfang sollte man Bordmittel nutzen: In einem Microsoft-Windows-Firmennetzwerk hat nämlich jeder Mitarbeiter ein Active-Directory-Nutzerkonto. Dieses erhält jeder Mitarbeiter beim Eintritt in die Firma als Zugangsberechtigung zu einem zugangsbeschränkten IT-System. Über dieses Benutzerkonto identifiziert das System einzelne Anwender. Viele Unternehmen nutzen natürlich auch andere Systeme als Microsoft, das Prinzip bleibt jedoch dasselbe. Der Nutzer kann dort über drei klassische Wege eine Berechtigung für den Zugriff auf Ressourcen und Daten erhalten:

• Ein Nutzerkonto einer Ressourcengruppe hinzufügen, die bereits besteht, beispielsweise eine Abteilung. Microsoft ermöglicht dies und empfiehlt sogar diese Art der Berechtigung, weil sie sich leicht vollständig entfernen lässt.
• Die Active-Directory-Funktionsgruppe: Darin werden die Ressourcengruppen zu einer Funktionsgruppe im Unternehmen gebündelt (etwa Verkauf oder Marketing). Dies hat den Vorteil, dass man dem Mitarbeiter über eine Gruppenmitgliedschaft den Zugriff auf mehrere Ressourcen auf einmal zuweisen kann.
• Die Direktberechtigung auf eine Ressource: Sie lässt sich einfach auf Ressourcen setzen und ist deshalb beliebt. Von dieser Variante ist dringend abzuraten. Denn wird das Nutzerkonto gelöscht, verbleibt der sogenannte Security-Identifier (SID) mit den Zugriffsrechten auf dem System. Er lässt sich durch andere Nutzer „kapern“ und stellt somit eine Sicherheitslücke dar.

Ein richtiges und vollumfänglich sicheres Berechtigungsmanagement ist über Active Directory allein jedoch nur schwer möglich. Denn abhängig von der Verschachtelungstiefe steigt die Anzahl an Ebenen, die gemanagt werden müssen. Das schnelle Erfassen der Berechtigungssituation ist so nicht mehr möglich. Da müssen andere Maßnahmen her, gerade durch Standardisierung vieler Arbeitsschritte und Automatisierung in der Zugriffsrechteverwaltung lassen sich Fehler umgehen und somit Sicherheitslücken schließen. Es gibt noch einen weiteren Grund für ein richtiges Berechtigungsmanagement: Die Datenschutzgrundverordnung (DSGVO) ist spätestens seit Mai 2018 in aller Munde. Nur wenige Sicherheitsanforderungen ergeben sich unmittelbar aus Gesetzen. Die Gesetzgebung orientiert sich jedoch im Allgemeinen am Stand der Technik als generelle Bewertungsgrundlage für den Grad der erreichbaren Sicherheit. Eine gute Basis bieten hierbei die Maßnahmen des BSI für IT-Grundschutz für die Absicherung von Geschäftsprozessen und IT-Systemen.

Im Kern geht es beim Zugriffsrechtemanagement um die Fragen: Was habe ich für Daten, wie finde ich diese und wer hat Zugriff? Wenn du der Verantwortliche bist, kümmere dich daher um folgende neun Punkte:

1. Bringe in Erfahrung, wo wichtige Daten liegen und wer darauf zugreifen darf. Habt ihr so etwas nicht, musst du einen entsprechenden Scan vornehmen und den Status quo analysieren.
2. Die konkrete Bewilligung der Zugriffsrechte übernimmt der Abteilungs- oder Teamleiter vor Ort. Er ist der Data-Owner und weiß es am besten. Damit ist die Sicherheitskompetenz dezentralisiert.
3. Eine wesentliche Gefahr in unübersichtlichen Rechtestrukturen sind „Rekursionen“: Sie entstehen, wenn bei einer Gruppenverschachtelung die letzte Gruppe wieder Mitglied in der ersten Gruppe wird. Durch diesen Zirkelbezug erhalten Nutzer Berechtigungen, die nicht ihrer Rolle entsprechen.
4. Vergebt zeitlich begrenzte Zugriffsrechte, etwa für Berater, Zeitarbeitnehmer oder dem Azubi. Denn verlässt der temporäre Mitarbeiter den Bereich oder wird jemand schlichtweg in eine andere Abteilung befördert, denkt oft niemand mehr daran, seine Zugriffsrechte zu beenden.
5. Ein anderes potenzielles Einfallstor für ungezügelten Datenzugriff sind „Jeder-Konten“, bei denen (fast) jeder Zugriff auf die verknüpften Ressourcen hat. Die Folge ist ebenfalls eine massive Überberechtigung und damit ein hohes Risiko für unberechtigte Zugriffe.
6. Datenrisiken können auch durch Mehrfachberechtigung entstehen: Dazu kommt es, wenn ein Nutzer über mehrere Wege an eine Berechtigung gelangt ist, etwa über eine Ressourcengruppe und eine Direktberechtigung. Gefahr droht dann, wenn die Zugriffsrechte bestehen bleiben, auch wenn ein Berechtigungsweg gekappt wird.
7. Führt Zugriffskategorien ein. Sie bestimmen die Art und Weise des Zugangs zu den Daten. Dazu zählen „Vollzugriff“, „Ändern“, „Lesen und Ausführen“, „Schreiben“, „Lesen“, „Eingeschränktes Ändern“ oder „Ordnerinhalte anzeigen/auflisten“.
8. Denkt immer an das Prinzip der minimalen Rechte, ein zentraler Grundsatz in der Informationssicherheit. Nutzer sollten nur auf Daten zugreifen können, die sie für ihre Aufgaben benötigen.
9. Selbst wer alles professionell organisiert, denkt an ein nahe liegendes Einfallstor nicht: Drucker und Kopierer. Dabei treten dort besonders viele Informationen zutage. Doch auch diese Geräte können mit individuellen Zugriffsrechten ausgestattet werden.

Natürlich hängt ein Zugriffsrechtemanagement schlicht von der Zahl der Mitarbeiter ab. Und je größer das Unternehmen ist, desto ausdifferenzierter sollten auch die Rollenkonzepte und Aufgabenpakete sein. Erstellt also ein rundes Benutzerkonzept, das den Zugang und die Berechtigung zu einzelnen Informationen und Netzwerkkomponenten regelt. Ein Zugriffsrechtemanagement verhindert so den unbefugten Zugriff auf Daten oder vermindert ihn zumindest drastisch. Denn Edward Snowden etwa hat nicht nur enthüllt, wie Kommunikationssysteme weltweit vom NSA gehackt werden – er ist gleichzeitig auch der bedeutendste interne Datendieb.