Warum habe ich keinen Zugriff auf diese Datei?“ Diese Frage stellen sich Nutzerinnen und Nutzer nicht selten. Wäre es nicht besser, wenn man auf möglichst viele Dateien „ungestört“ Zugriff hätte? Das wäre doch gut für die Produktivität, denkt man. In Wirklichkeit aber müssen es so wenige Berechtigungen wie möglich sein. Lesen Sie hier, warum.
„Zugriff verweigert“
Auf den ersten Blick ist es ärgerlich. Man will dem Marketing bei der Messevorbereitung helfen und möchte dazu die Versandliste für die Einladungen öffnen. Plötzlich erscheint die Meldung auf dem PC, dass der Zugriff auf die Excel-Liste mit den entsprechen-den Adressen verweigert wird. Was soll das? Dann kann man doch nicht aushelfen!
Tatsächlich mag dies die Produktivität im Moment etwas hemmen, denn ein Ausdruck der Versandaufkleber ist jetzt nicht möglich. Doch es gibt gute Gründe, warum Dateien vor Zugriffen geschützt werden, ein wichtiger Grund ist der Datenschutz.
Wissen Sie, welche Rolle Berechtigungen in der IT spielen?
Die Lösungen finden Sie am Ende des Beitrags.
Frage 1: Wer eine Datei öffnen darf, kann sie auch verändern. Stimmt das?
1. Nein, es gibt unterschiedliche Rechte an Dateien, Öffnen und Schreiben/Verändern werden dabei unterschieden.
2. Ja, ist eine Datei erst einmal offen, kann man auch mit ihr arbeiten, sie also auch verändern.
Frage 2: Das Prinzip „Need to know“ bei Berechtigungen dient dem Datenschutz und der IT-Sicherheit. Stimmt das?
1. Ja, mit minimalen Berechtigungen lassen sich die Folgen von IT-Angriffen verringern.
2. Nein, dieses Prinzip behindert nur die Produktivität und ist umständlich.
Daten vor unbefugten Zugriffen schützen
Die Datenschutz-Grundverordnung (DSGVO) verlangt unter anderem einen Schutz vor „unbeabsichtigter oder un-rechtmäßiger Vernichtung, Verlust, Veränderung oder unbefugter Offenlegung von beziehungsweise unbefugtem Zu-gang zu personenbezogenen Daten“. Dafür ist ein Berechtigungssystem entscheidend, das die Zugriffe auf die Daten regelt und überwacht.
Zentral ist dabei die richtige und aktuelle Definition der Berechtigungen für alle Nutzerinnen und Nutzer. Es stellt sich die Frage, wer was wann mit welchen Daten tun können muss. Im Sinne des Datenschutzes und der Datensicherheit ist es, wenn die Rechte an Daten nur dann vergeben werden, wenn sie wirklich für die Erfüllung der Aufgaben erfor-derlich sind. Man spricht von dem Prinzip der minimalen Berechtigungen oder „Need to know“. Die minimalen Rechte sind auch dann ein Schutzfaktor, wenn Angreifer versuchen, die Berechtigungen auszunutzen, dann bekommen auch die Internetkriminellen nur einen minimalen Zugang zu den Daten.
Auch für interne Suchen und Auswertungen gelten die Grenzen
Dabei sind die Berechtigungen nicht nur dann wichtig, wenn man aktiv über den Datei-Explorer in Windows auf eine Datei wie die beispielhaft genannte Versandliste zugreifen will, es aber aktuell nicht darf, weil die Berechtigung (noch) nicht erteilt wurde. Auch bei internen Suchen über den Datenbestand müssen die Rechte gelten. Wenn man eine Datei nicht sehen darf, darf auch die Suchfunktion nicht zu der Datei führen.
Das Gleiche gilt, wenn man mit einem modernen PC arbeitet, der zum Beispiel einen lokalen KI-Dienst (Künstliche Intelligenz) bietet, um Auswertungen zu machen. Über die KI dürfen auch nur solche Daten zugänglich werden, auf die der Nutzer oder die Nutzerin der KI selbst zugreifen darf. Das ist sehr wichtig für den datenschutzgerechten Einsatz einer KI oder einer internen Suchmaschine.
Wenn man nun feststellt, dass man an eine Datei nicht gelangen kann, ob direkt oder indirekt über eine Suche, dann sollte man sich zuerst fragen, wofür man diese Datei wirklich braucht. Besteht Bedarf für die Erfüllung aktueller Auf-gaben, dann ist dies etwas, was man mit der oder dem Vorgesetzten besprechen sollte. Dann bekommt man temporär die erforderlichen Rechte, zum Beispiel zum Ausdrucken, aber nicht zum Schreiben in der Versandliste, wenn dies nicht erforderlich ist. Dann kann man produktiv und sicher arbeiten.
Und hier die Lösungen für die Quizfragen:
Lösung Frage 1: Die Antwort 1. ist richtig. Beim Zugriff oder beim Arbeiten mit Dateien und Ordnern in Windows werden Berechtigungen wie Öffnen, Ändern, Speichern oder Löschen unterschieden. So können Dateien zur Ansicht freigegeben sein, aber im Status Schreibgeschützt vorliegen. Das ist auch sinnvoll, denn nicht jeder, der etwas lesen darf, sollte es auch verändern können, um gewollte oder ungewollte Manipulationen zu verhindern.
Lösung Frage 2: Die Antwort 1. ist auch hier richtig. Wenn jeder nur die Rechte an Dateien bekommt, die tatsächlich für die Aufgabe benötigt werden, kann ein Angreifer, der die Identität übernimmt, auch weniger Berechtigungen missbrauchen. Wenn also eine Versandliste im Normalfall nicht von einer Nutzerin oder einem Nutzer benötigt wird, ist es richtig, sie nicht für den generellen Zugriff durch diese Person freizugeben.