Organisatorische Maßnahme
Zugriffskontrolle & Least Privilege
Warum Zugriffskontrolle wichtig ist
In vielen KMU haben alle Mitarbeiter Zugriff auf alle Daten – weil es "einfacher" ist. Das ist ein gravierendes Risiko: Ein einziger Phishing-Angriff auf ein beliebiges Konto gibt dem Angreifer Zugriff auf alles.
Rollenbasierte Zugriffskontrolle (RBAC)
Berechtigungen werden nicht einzelnen Personen, sondern Rollen zugewiesen. Mitarbeiter erhalten die Rolle, die ihrer Funktion entspricht.
Buchhaltung
Zugriff auf: Finanzsystem, freigegebene Buchhaltungs-
ordner. Kein Zugriff auf: Entwicklungs-
server, HR-Daten, Kundendatenbanken
Vertrieb
Zugriff auf: CRM, Produktkatalog, Angebotsvorlagen. Kein Zugriff auf: Finanzdaten, interne System-
konfigurationen.
Administrator
Separate Admin-Accounts, nicht für Alltagsarbeit. Privileged Access Workstation (PAW) nutzen. Jede Admin-Aktion wird protokolliert.
Privileged Access Management (PAM)
Administratoren mit Vollzugriff auf Systeme sind das wertvollste Ziel für Angreifer. Privilegierte Konten brauchen besondere Schutzmaßnahmen:
- Separate Admin-Konten – nicht das alltägliche Arbeitskonto für Admin-Aufgaben nutzen
- Just-in-Time-Zugriff – Admin-Rechte werden nur für die Dauer einer Aufgabe erteilt
- Vier-Augen-Prinzip – kritische Änderungen erfordern Genehmigung einer zweiten Person
- Vollständiges Audit-Log – alle Admin-Aktionen werden protokolliert und aufbewahrt
Zugriffsüberprüfung (Access Review)
Berechtigungen werden mit der Zeit zu großzügig. Mitarbeiter wechseln Abteilungen, bekommen temporäre Rechte die nie widerrufen werden, oder verlassen das Unternehmen.
- Vierteljährliche Überprüfung aller Benutzerkonten und -berechtigungen
- Inaktive Konten (kein Login seit 90 Tagen) deaktivieren
- Abteilungswechsel: alte Rechte entziehen, neue vergeben
- Dienstleister und externe Mitarbeiter: befristete Zugänge mit Ablaufdatum