Zutritt, Zugang oder Zugriff?

Zugangskontrolle - "Nur für Befugte"

Die Zugangskontrolle verhindert die Nutzung der Datenverarbeitungsanlagen durch Unbefugte. Während die Zutrittskontrolle den physikalischen Zutritt verhindert, unterbindet die Zugangskontrolle die Nutzung des Systems. Dabei dürfen Unternehmen die Angreifbarkeit von außen via Datenverbindung (Internet) keinesfalls außer Acht lassen - ein bedeutendes Einfallstor für Cyberkriminelle und Datendiebe. Folgende Maßnahmen können ergriffen werden, um den unerlaubten Zugang zu personenbezogenen Daten zu verhindern:

• Bildschirmschoner mit Passwortschutz

• Passwortrichtlinie

• Magnet- und Chipkarte

• Benutzername und Passwort

• PIN-Verfahren

• Einsatz von Spamfilter und Virenscanner

• Biometrische Verfahren

Zugriffskontrolle - "Deine, meine und unsere Daten"

Die Zugriffskontrolle stellt sicher, dass ausschließlich befugte Personen Zugriff auf personenbezogene Daten, Programme, und Dokumente erhalten. Die Berechtigung ergibt sich aus der Aufgabenzuweisung und der Organisation des Betriebes. Wichtig: Der Vorgesetzte eines befugten Mitarbeiters verfügt nicht automatisch über eine Zugriffsberechtigung. Ein unbefugtes Lesen, Kopieren, Verändern oder Löschen personenbezogener Daten während ihrer Verarbeitung, Nutzung oder Speicherung soll ausdrücklich verhindert werden.

Eine Zugriffsmatrix dokumentiert unter Zuhilfenahme eines Berechtigungskonzepts, welcher Mitarbeiter auf welche Daten und Programme Zugriff hat. Bei der Verwendung mobiler Datenträger und Endgeräte wie USB-Sticks, Notebooks oder Kameras verdient die Zugriffskontrolle erhöhte Aufmerksamkeit. Datensicherheit sollte hier auch durch den Einsatz eines entsprechenden Verschlüsselungsverfahrens sichergestellt werden. Maßnahmen der Zugriffskontrolle sind:

• Erstellen eines Berechtigungskonzepts

• Einrichten von Administratorenrechten

• Verschlüsselung der Datenträger

• Regelungen für den Gebrauch von mobilen Datenträgern und Endgeräten

• Verschlüsselung des WLAN

• Löschung wiederbeschreibbarer Datenträger und deren datenschutzkonforme Vernichtung

Letztendlich schließen Zutritts-, Zugangs- und Zugriffskontrolle jeweils nahtlos aneinander an. Im Einzelfall muss daher jedes Unternehmen prüfen, welche der einzelnen Maßnahmen zweckmäßig und umsetzbar sind. Nicht nur aufgrund der engen Begrifflichkeiten. Um kostspielige Missverständnisse in der Datensicherheit zu vermeiden, braucht es Sorgfalt und Expertise. Professioneller Datenschutz und Datensicherheit gehen Hand in Hand - zum Schutz vor Strafe und vor allem des eigenen Unternehmens. (bw)