Rechtlich absichern

Auch IM-Systeme müssen die Compliance wahren

11.04.2013
Von Marit Hansen

IM-Anforderungen

Daraus ergeben sich einige Anforderungen an Identity-Management-Prozesse und -Systeme in Unternehmen:

  • Das IM muss den gesamten Lebenszyklus von Nutzer-Accounts umfassen und damit die Aufgaben der Beschäftigten widerspiegeln: Einrichten und Löschen von Accounts, Rollenzuweisungen und -änderungen, Rechtezuweisungen und -änderungen, Zugriffskontrolle mit Protokollierung.

  • Sofern sich die Account-Informationen oder Zugriffe auf verschiedene Systeme verteilen, muss das IM alle umfassen.

  • IM muss auch Administrations-Accounts einbeziehen.

  • Durch eine übersichtliche Darstellung der Zugriffsrechte, zum Beispiel in Matrixform, sollte IM die interne Kontrolle unterstützen, beispielsweise indem Vorgesetzte einmal monatlich die Vergabe der Rechte überprüfen. Maßgeblich ist das "Need-to-know"-Prinzip.

  • IM sollte sowohl darüber informieren, wer welche Rechte hat, als auch, wer welche Rechte zu einem vorgegebenen Zeitpunkt hatte. Zusätzlich muss protokolliert werden, wer welche Änderungen veranlasst hat.

  • IM sollte Auffälligkeiten erkennbar machen, zum Beispiel länger nicht genutzte Accounts, fehlende Verantwortlichkeiten für Accounts, Kombination von eigentlich zu trennenden Rollen (beispielsweise sollten die Beschaffung und das Anweisen der Rechnungen nicht durch dieselben Personen ausgeführt werden).

  • Das IM muss der Unternehmens-Sicherheitspolicy genügen, beispielsweise durch die Definition von Minimalanforderungen an Passwörter, Mehrfaktor-Authentifizierung oder Verschlüsselung von Daten.

Mit dem Kauf und der Installation einer Identity-Management-Software ist es aber nicht getan. Stattdessen empfiehlt es sich, eine unternehmensweite Identity-Management-Strategie zu entwickeln, die auf klar definierten Verantwortlichkeiten und implementierten Prozessen beruht. Notwendig dafür ist eine aussagekräftige Dokumentation der Abläufe im Unternehmen von der Einstellung von Beschäftigten über Aufgabenveränderungen bis zum Weggang. All dies muss sich im Identity-Management widerspiegeln.

Dokumentation ist Pflicht

In der Regel müssen gemäß dem Datenschutzrecht für die im Unternehmen eingesetzten Verfahren, die automatisiert personenbezogene Daten verarbeiten, die Zwecke, die Datenkategorien, etwaige Empfänger(-kategorien), Regelfristen für die Löschung der Daten und eine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen dokumentiert sein (Paragraf 4e BDSG). Diese Dokumentation wird in einem sogenannten Verfahrensverzeichnis vom betrieblichen Datenschutzbeauftragten geführt oder muss der Datenschutzaufsichtsbehörde gemeldet werden. Ziel ist, Transparenz über die Datenverarbeitung im Unternehmen herzustellen. Dies dient wiederum als Basis, Sicherheitsrisiken zu identifizieren und zu beheben. Für das Identity-Management ist neben den Verantwortlichkeiten und Funktionsweisen zu dokumentieren, welche Aktivitäten protokolliert werden, wer die anfallenden Protokolldaten zu welchen Zwecken auswerten darf und wie lange die Daten aufbewahrt werden müssen. Bereits beim Aufsetzen der Protokollierung sollte man auch die Löschroutinen planen, die automatisiert nach dem definierten Aufbewahrungszeitraum die Daten entfernen.

Neue Datenschutzregelungen

Schon seit vielen Jahren ist ein eigenes Gesetz für Beschäftigtendatenschutz im Gespräch. Im August 2010 legte die Bundesregierung einen vieldiskutierten Gesetzentwurf vor. Seitdem haben der Bundesrat und Parlamentarier Änderungsvorschläge eingebracht. Es ist aber unklar, ob das Gesetz noch im Jahr 2012 verabschiedet wird. Einen noch größeren Einfluss wird eine Entwicklung auf EU-Ebene haben: Im Januar 2012 präsentierte die EU-Kommission einen Entwurf für eine Datenschutz-Grundverordnung, die nach Verabschiedung für alle Mitgliedstaaten der EU unmittelbar anwendbar sein soll. Damit würde dieser Gesetzestext große Teile des Bundesdatenschutzgesetzes ersetzen.