Informationssicherheit Zugriffskontrolle Berechtigungsmanagement DSGVO Compliance

Zugriffskontrolle im Unternehmen – Berechtigungen richtig verwalten

Nils Oehmichen
Von Nils Oehmichen Datenschutzberater & Geschäftsführer

Inhalt in Kürze

  • Zugriffskontrolle regelt, wer auf welche Daten und Systeme zugreifen darf -- eine Pflicht nach DSGVO und BSI-Grundschutz.
  • Role-Based Access Control (RBAC) und das Least-Privilege-Prinzip sind die Basis eines wirksamen Berechtigungskonzepts.
  • Regelmäßige Access Reviews decken verwaiste Konten und übermäßige Rechte auf.
  • Ein Berechtigungskonzept lässt sich in sechs Schritten aufbauen.

Stellen Sie sich vor: Ein Werkstudent hat vollen Zugriff auf die Personalakten. Eine ehemalige Mitarbeiterin kann noch Monate nach ihrem Ausscheiden Kundendaten einsehen. Die Buchhaltung darf Systemeinstellungen ändern, die nur die IT betreffen. Klingt übertrieben? Wir sehen das bei unseren Mandanten regelmäßig.

Zugriffskontrolle ist kein Luxus für Konzerne. Sie ist eine gesetzliche Pflicht -- und eine der wirksamsten Maßnahmen gegen Datenpannen. Dieser Artikel zeigt, wie Sie Berechtigungen in Ihrem Unternehmen strukturiert aufsetzen.

Zugriffskontrolle im Unternehmen: Die Grundlagen

Zugriffskontrolle beantwortet drei Fragen:

  1. Authentifizierung: Wer sind Sie? (Identität prüfen per Passwort, MFA, Biometrie)
  2. Autorisierung: Was dürfen Sie? (Rechte zuweisen basierend auf Rolle und Aufgabe)
  3. Auditierung: Was haben Sie getan? (Zugriffe protokollieren und überwachen)

Das BSI beschreibt im Baustein ORP.4 die Anforderungen an Identitäts- und Berechtigungsmanagement konkret: Jeder Zugriff auf IT-Ressourcen muss gesteuert, verwaltet und auf das Nötige beschränkt sein.

Art. 32
DSGVO fordert Zugriffskontrolle
ORP.4
BSI-Baustein Berechtigungsmanagement
4 %
vom Umsatz -- max. DSGVO-Bußgeld

RBAC und Least Privilege: Die zwei Grundprinzipien

Zwei Konzepte bilden das Fundament jeder guten Zugriffskontrolle:

Role-Based Access Control (RBAC): Rechte werden nicht einzelnen Personen, sondern Rollen zugeordnet. Der Mitarbeiter „Max Müller" bekommt keine individuellen Rechte -- er erhält die Rolle „Buchhalter", und diese Rolle hat definierte Zugriffsrechte auf Finanzdaten, DATEV und Bankingsoftware. Wechselt Max in den Vertrieb, bekommt er die Rolle „Vertrieb" -- und die alten Rechte werden entzogen.

Least Privilege: Jeder Nutzer erhält nur die minimalen Rechte, die er für seine aktuelle Aufgabe braucht. Nicht mehr. Das klingt selbstverständlich, scheitert aber oft in der Praxis. Rechte werden großzügig vergeben und nie wieder entzogen.

Prinzip Bedeutung Typischer Fehler
RBAC Rechte über Rollen steuern Individuelle Sonderrechte außerhalb der Rolle
Least Privilege Nur nötige Rechte vergeben Admin-Rechte für Standardnutzer
Separation of Duties Kritische Aufgaben auf mehrere Personen verteilen Eine Person bestellt UND genehmigt
Need-to-Know Zugriff nur bei konkretem Bedarf Abteilungsweiter Zugriff auf alle Ordner
Achtung:

Verwaiste Konten sind ein massives Sicherheitsrisiko. Laut BSI-Lagebericht werden inaktive Konten gezielt von Angreifern genutzt. Richten Sie einen festen Offboarding-Prozess ein, der IT-Zugänge am letzten Arbeitstag deaktiviert.

Zugriffskontrolle und DSGVO: Das verlangt das Gesetz

Art. 32 DSGVO verpflichtet Unternehmen, technische und organisatorische Maßnahmen (TOM) zum Schutz personenbezogener Daten umzusetzen. Zugriffskontrolle ist dabei eine Kernmaßnahme. Konkret bedeutet das:

  • Nur Befugte dürfen auf personenbezogene Daten zugreifen.
  • Der Zugriff muss auf das erforderliche Minimum beschränkt sein.
  • Zugriffe müssen nachvollziehbar protokolliert werden.

Das NIS-2-Umsetzungsgesetz geht noch weiter: § 30 Abs. 2 Nr. 9 BSIG verlangt von betroffenen Einrichtungen ausdrücklich Konzepte für Zugriffskontrolle und Personalmanagement. Auch wenn Ihr Unternehmen nicht direkt unter NIS-2 fällt: Großkunden in der Lieferkette werden diese Anforderungen an Sie weitergeben.

Mehr zu technischen und organisatorischen Maßnahmen lesen Sie in unserem Artikel über TOM im Datenschutz.

Aus der Praxis: Das Aha-Erlebnis in der Geschäftsleitung

Es kam wirklich häufig vor, dass es dann ein Aha-Erlebnis war. Die Geschäftsleitung sagte: Das war mir so gar nicht bewusst. Ich dachte, Datenschutz ist dafür da, um mich zu ärgern.

Nils Oehmichen Nils OehmichenDatenschutzberater bei frag.hugo

In vielen Unternehmen wächst die Rechtestruktur organisch. Ein neuer Mitarbeiter bekommt „die gleichen Rechte wie Kollegin XY". Abteilungswechsel werden nicht sauber nachgezogen. Nach ein paar Jahren hat die Hälfte der Belegschaft Zugriffsrechte, die weit über ihre Aufgaben hinausgehen.

Das Problem wird oft erst sichtbar, wenn wir im Rahmen eines Datenschutzaudits die Berechtigungen prüfen. Dann kommt regelmäßig die Überraschung -- auch bei der Geschäftsleitung.

Berechtigungskonzept aufbauen: 6 Schritte

  1. Schutzbedarf ermitteln: Welche Daten und Systeme sind besonders schützenswert? Personaldaten, Kundendaten, Finanzdaten, Geschäftsgeheimnisse -- priorisieren Sie nach Schutzbedarf.
  2. Rollen definieren: Erstellen Sie eine Rollenliste: Geschäftsführung, Buchhaltung, Vertrieb, IT-Admin, Werkstudent. Jede Rolle bekommt genau die Rechte, die sie braucht.
  3. Ist-Zustand aufnehmen: Dokumentieren Sie, wer aktuell worauf Zugriff hat. Oft gibt es hier die größten Überraschungen: verwaiste Konten, Admin-Rechte für Praktikanten, geteilte Zugangsdaten.
  4. Soll-Zustand festlegen: Gleichen Sie Ist und Soll ab. Entziehen Sie überschüssige Rechte. Schließen Sie geteilte Konten. Aktivieren Sie MFA für kritische Systeme (siehe MFA-Einführung).
  5. Prozesse etablieren: Definieren Sie Abläufe für Onboarding (Rechte vergeben), Abteilungswechsel (Rechte anpassen) und Offboarding (Rechte entziehen). Dokumentieren Sie Genehmigungswege.
  6. Regelmäßig prüfen: Führen Sie quartalsweise oder mindestens halbjährlich Access Reviews durch. Jede Führungskraft prüft die Rechte ihres Teams. Dokumentieren Sie das Ergebnis -- das verlangt die DSGVO.

Access Reviews: So prüfen Sie Berechtigungen systematisch

Ein Berechtigungskonzept nützt nichts, wenn es nach der Erstellung in der Schublade verschwindet. Access Reviews sind der Schlüssel:

  • Wer prüft? Die jeweilige Führungskraft bestätigt die Rechte ihrer Mitarbeiter.
  • Was wird geprüft? Systemzugänge, Ordnerfreigaben, Admin-Rechte, externe Zugänge.
  • Wie oft? Mindestens halbjährlich. Bei Personalwechseln sofort.
  • Wie dokumentieren? Einfache Tabelle oder Tool (z. B. IAM-System). Datum, Prüfer, Ergebnis festhalten.

Besonders im Home Office ist saubere Zugriffskontrolle entscheidend: Remote-Zugriffe über VPN und Cloud-Dienste brauchen klare Regeln und Protokollierung.

Das Wichtigste: Zugriffskontrolle ist kein einmaliges Projekt, sondern ein laufender Prozess. Starten Sie mit einem Rollenkonzept (RBAC), setzen Sie das Least-Privilege-Prinzip durch und prüfen Sie Berechtigungen regelmäßig. So erfüllen Sie die Anforderungen von DSGVO und BSI-Grundschutz -- und schützen Ihr Unternehmen vor Datenpannen.

Ihr nächster Schritt

Berechtigungskonzept prüfen lassen

Sie wollen wissen, wie es um die Zugriffsrechte in Ihrem Unternehmen steht? Wir prüfen Ihre aktuelle Rechtestruktur und helfen beim Aufbau eines sauberen Berechtigungskonzepts.

Kostenloses Erstgespräch buchen →

Häufige Fragen (FAQ)

Was versteht man unter Zugriffskontrolle im Unternehmen?

Zugriffskontrolle regelt, wer auf welche Daten, Systeme und Ressourcen zugreifen darf. Sie umfasst technische Maßnahmen (Berechtigungen, Passwörter, MFA) und organisatorische Regeln (Rollen, Richtlinien, Freigabeprozesse). Ziel ist der Schutz vor unbefugtem Zugriff.

Was ist der Unterschied zwischen Authentifizierung und Autorisierung?

Authentifizierung prüft die Identität: Wer sind Sie? Autorisierung regelt die Berechtigung: Was dürfen Sie? Erst wird die Identität bestätigt (z. B. per Passwort und MFA), dann werden die passenden Zugriffsrechte zugewiesen.

Was bedeutet RBAC (Role-Based Access Control)?

RBAC ist ein Modell, bei dem Zugriffsrechte nicht einzelnen Personen, sondern Rollen zugeordnet werden. Ein Mitarbeiter erhält Rechte über seine Rolle (z. B. Buchhalter, Vertrieb, Admin). Das vereinfacht die Verwaltung und reduziert Fehler.

Welche Zugriffskontrolle verlangt die DSGVO?

Art. 32 DSGVO fordert technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten. Dazu gehört ausdrücklich die Zugriffskontrolle: Nur berechtigte Personen dürfen auf personenbezogene Daten zugreifen. Das BSI konkretisiert die Anforderungen im Baustein ORP.4.

Wie oft sollten Zugriffsrechte überprüft werden?

Mindestens halbjährlich sollten alle Berechtigungen überprüft werden. Zusätzlich bei jedem Abteilungswechsel, Austritt oder Rollenwechsel eines Mitarbeiters. Viele Unternehmen führen quartalsweise Access Reviews durch.

Artikel teilen

Weiterlesen

Ähnliche Artikel

Nils Oehmichen

Über den Autor

Nils Oehmichen

Datenschutzberater & Geschäftsführer

Nils ist zertifizierter Datenschutzbeauftragter und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Er berät mittelständische Unternehmen zu DSGVO, NIS2 und IT-Sicherheit – praxisnah und verständlich.

Nächster Schritt

Haben Sie Fragen?

Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.

Erstgespräch buchen Weitere Artikel