So funktioniert eine datenschutzgerechte Zugangskontrolle

Bei einer Zugangskontrolle muss sichergestellt werden, dass die Zugangsdaten nicht für Nutzerprofile und Verhaltensanalysen missbraucht werden.

Dieser Artikel behandelt

Datenschutz

Die Zugangskontrolle kann ein Risiko für den Datenschutz darstellen. Dies erscheint auf den ersten Blick merkwürdig. Immerhin gehört die Zugangskontrolle zu den zentralen technisch-organisatorischen Maßnahmen des Datenschutzes und wird zum Beispiel vom Bundesdatenschutzgesetz (Anlage zu § 9 BDSG) konkret gefordert. Trotzdem müssen Verfahren zur Zugangskontrolle einer Datenschutz-Prüfung unterzogen werden, wie jedes andere IT-Verfahren auch, das personenbezogene Daten verarbeitet.

Welche personenbezogenen Daten von einer Zugangskontrolle betroffen sein können, scheint auf der Hand zu liegen: der Benutzername, der zusammen mit einem Passwort für die Anmeldung an IT-Systemen eingegeben wird. Das Verfahren zur Zugangskontrolle nimmt die Zugangsdaten entgegen und prüft, ob der jeweilige Nutzer für das betreffende IT-System zugelassen ist oder nicht. 

Eine genauere Betrachtung wird jedoch zeigen, dass weitaus mehr personenbezogene Daten betroffen sein können und dass Zugangskontrollen tatsächlich ein Datenrisiko darstellen können und nicht nur eine wichtige Maßnahme im Datenschutz. Deshalb sollten Unternehmen ihre Zugangskontrollverfahren einer Datenschutzkontrolle unterziehen.

Zugangskontrollen müssen datensparsam sein

Die erste Feststellung zu Zugangskontrollen, die für den Datenschutz wichtig ist, betrifft den tatsächlichen Umfang der betroffenen personenbezogenen Daten. Datenschutzfreundliche Verfahren zur Zugangskontrolle erheben und verarbeiten nur die personenbezogenen Daten, die für die Aufgabe der Identitätskontrolle erforderlich sind.

In der Praxis werden allerdings weitaus mehr Daten abgefragt, wenn zum Beispiel ein Nutzerkonto für einen Online-Dienst eingerichtet werden soll. Das gilt nicht nur für externe Online-Dienste, bei denen ein Interesse besteht, ein möglichst umfassendes Nutzerprofil zu erhalten, um relevante Werbung anbieten zu können. Auch interne Plattformen sehen bei der Nutzerregistrierung Pflichtfelder vor, die in keinem direkten Zusammenhang mit der Einrichtung des Nutzerkontos stehen, bis hin zu den Hobbys der Mitarbeiter.

Findet später eine Nutzeranmeldung statt, kann bei der Zugangskontrolle womöglich auf ein umfassendes Nutzerprofil zugegriffen werden. Denkbar wäre es, dass die Nutzeraktivität auf der jeweiligen Plattform mit weiteren personenbezogenen Daten verknüpft wird, um den Nutzer genauer analysieren zu können. Klassisch ist hier die Zweckentfremdung der Zugangskontrolle für eine heimliche Verhaltens- oder Leistungskontrolle.

Die Forderung des Datenschutzes lautet deshalb, auch bei der Nutzeranmeldung und der Zugangskontrolle die Prinzipien der Datenvermeidung und Datensparsamkeit zu wahren und wo immer möglich auch eine anonyme Nutzung zu ermöglichen. Unternehmen sollten ihre Verfahren der Zugangskontrolle auf diese Punkte hin überprüfen.

Zugangsdaten unterliegen der Zweckbindung

Wichtig ist es bei der Prüfung der Zugangskontrolle, auch den Umfang der Protokollierung und die Art und Verwendung der Analyse der Zugangsdaten zu hinterfragen. Die oben erwähnte heimliche Leistungskontrolle auf Basis der Zugangsaktivitäten („Wer meldet sich wann an und zu welchem Zeitpunkt wieder ab“) steht im Widerspruch zur besonderen Zweckbindung (§ 31 BDSG), der die Zugangsprotokolle unterliegen.

Unternehmen sollten deshalb prüfen, ob die Protokollierung der Zugangskontrolle nicht nur datensparsam, sondern auch vor Zweckentfremdung geschützt ist. Dazu gehört eine entsprechende Administratorkontrolle sowie die Einhaltung des Vier-Augen-Prinzips für den Zugriff auf die Protokolle.

Zugangskontrollen müssen die Zugangsdaten schützen

Ganz gleich, welcher Art die Zugangsdaten sind, sie müssen vor Missbrauch geschützt werden. Ein datenschutzgerechtes Verfahren der Zugangskontrolle sorgt dafür, dass kein Unbefugter die Zugangsdaten einsehen und unerlaubt nutzen kann. Neben entsprechenden organisatorischen Verfahren zur sicheren Wahl und Nutzung von Passwörtern (Passwortrichtlinie) sind auch technische Maßnahmen zu ergreifen, damit die Zugangsdaten nicht ungeschützt aufbewahrt werden.

Zugangsdaten müssen geschützt gespeichert werden, verschlüsselt, manipulationssicher und in einer Form, die eine Zweckentfremdung verhindert. Das gilt insbesondere auch für biometrische Daten der Nutzer, wenn eine biometrische Authentifizierung vorgesehen ist. Die Prüfung der Zugangskontrolle umfasst somit auch die sichere Verarbeitung und Speicherung der Zugangsdaten beziehungsweise die Umwandlung der Zugangsdaten in Hashwerte oder biometrische Templates.

Zugangskontrollen und Nutzerprofile sollten getrennt werden

Das von der geplanten EU-Datenschutz-Grundverordnung besonders hervorgehobene Prinzip  „Privacy by Design“ geht noch einen Schritt weiter: Zugangskontrollverfahren und Nutzerdatenbanken sollten strikt getrennt sein. Verfahren der Zugangskontrolle sollten nur die Informationen erhalten, die für eine Gewährung der Zugangsrechte erforderlich sind, auch wenn zusätzliche Daten über den Nutzer vorliegen. 

Wenn zum Beispiel das Kennzeichen „Mitarbeiter des Unternehmens“ für den Zugang reicht, müssen weitere Informationen wie „Mitglied der Buchhaltung“ erst dann übermittelt werden, wenn entsprechende Berechtigungen erforderlich werden.

Zugangskontrollen lassen sich so gestalten, dass ihr Beitrag am Datenschutz hoch und am Datenrisiko minimal wird.

Für allgemein zugängliche Mitarbeiterdienste jedoch sind Informationen über die Abteilung des Nutzers nicht notwendig und sollten deshalb auch nicht an die Zugangskontrolle übertragen werden. Dieses Prinzip, nur die wirklich notwendigen Daten an das Zugangskontrollverfahren zu übermitteln, minimiert das Risiko, dass die Systemanmeldungen für unerlaubte Zwecke ausgewertet werden, wie zum Beispiel Auswertungen, ob Mitarbeiter der Buchhaltung besonders häufig auf den allgemeinen Urlaubskalender zugreifen.

Technisch umgesetzt werden Zugangskontrollen auf Basis minimaler Informationen dadurch, indem die Nutzerprofile von den Zugangskontrollen technisch entkoppelt werden. Die Nutzerdaten liegen in einer Datenbank, die ganz selektiv Daten an die Zugangskontrolle übergibt, dem Zugangskontrollverfahren also nur minimale Zugriffsrechte auf die Daten einräumt. Umfassende Profilauswertungen über Zugangsprotokolle werden so verhindert.

Datenschutzfreundliche SSO-Verfahren (Single-Sign-On) sehen vor, dass die Nutzerdaten nur an einer Stelle (SSO-Datenbank) vorliegen, angebundene Webdienste erhalten gezielt nur die Informationen, die für die Nutzeranmeldung erforderlich sind. Damit werden Verfahren zur Nachverfolgung der Nutzeraktivitäten zum Beispiel im Internet (Online-Tracking) deutlich erschwert oder verhindert, wenn es keine zusätzlichen Kennzeichen gibt, die den Nutzer identifizieren (wie eine eindeutige Geräte-ID, die zusätzlich ausgelesen wird).

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Februar 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datenschutz und Datensicherheit

Dem Gespräch beitreten

1 Kommentar

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

Guten Abend alle miteinander, ich lese mich jetzt schon eine Weile durch die Beiträge dieser Seite und bin nun an Ihrem Blog angelangt.
Zugangskontrolle ist auch in unserer Firma ein großes Thema und ein wichtiger Teil der Sicherheitsmaßnahmen. Ich habe hier vor kurzem einen weiteren Blog zum Thema Zugangskontrolle von "gecosoft" gefunden, der euch vielleicht interessieren könnte. Informativ ist er definitiv und vielleicht lernt der eine oder andere ja auch etwas neues dazu. :-) 
http://www.gecosoft.at/blog/ist-ein-system-fuer-zeiterfassung-und-zutrittskontrolle-sinnvoll/
Abbrechen

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close