Zugriff & Identitäten
Säule 2NIS2DSGVOTISAXBSI-GRUNDSCHUTZ

Rollenbasierte Zugriffskontrolle (RBAC)

Praxis-Szenario

Ein Werkstudent im Marketing hat versehentlich Zugriff auf alle Finanzdaten, weil bei der Einstellung einfach die Berechtigungen eines ausgeschiedenen Controllers kopiert wurden. Als sein Laptop gestohlen wird, sind sämtliche Gehaltsdaten kompromittiert. Das Prinzip 'jeder hat Zugriff auf alles' ist der häufigste Fehler bei KMU — und der teuerste bei einem Vorfall.

Rechtsfundament

NIS2NIS2 Art. 21 Abs. 2 lit. i

Konzepte für die Zugriffskontrolle und Anlagenmanagement

DSGVODSGVO Art. 25 Abs. 2

Zugriffsregelungen auf personenbezogene Daten nach dem Need-to-Know-Prinzip

TISAXTISAX AL 4.1

Zugangs- und Zugriffsregelungen für Informationswerte

BSI IT-GrundschutzBSI ORP.4

Regelung der Zugriffsrechte nach dem Minimalprinzip

Lösung & Umsetzung

1. Rollen definieren: Geschäftsleitung, Abteilungsleiter, Sachbearbeiter, IT-Admin, Extern 2. Pro Rolle: Welche Systeme und Daten werden tatsächlich benötigt? 3. Rollenmatrix erstellen (Excel-Template nutzen) 4. Berechtigungen in allen Systemen anpassen (AD, Cloud, ERP) 5. Quartalsweise Review: Stimmen die Berechtigungen noch?

Ihr Mehrwert

RBAC reduziert die Angriffsfläche bei Datenlecks um 60%. Im Vorfall sind nur die Daten der jeweiligen Rolle betroffen, nicht alles. Pflichtanforderung in allen IT-Sicherheitsstandards.

Nächster Schritt

Erstellen Sie Ihre Rollenmatrix mit unserem Excel-Template. Definieren Sie 5-7 Rollen und ordnen Sie Ihre Systeme zu.

Verwandte Maßnahmen

Multi-Faktor-Authentifizierung (MFA)

Passwort-Hygiene & -Policy