DSGVO: Forderungen an die Sicherheit der Verarbeitung (4)[Gesponsert]

Berechtigungs-Management am Beispiel Open Telekom Cloud

| Autor: Oliver Schonschek

Berechtigungsmanagement als technisch-organisatorische Maßnahmen im Datenschutz.
Berechtigungsmanagement als technisch-organisatorische Maßnahmen im Datenschutz. (Bild: © kran77 - stock.adobe.com)

Ein wesentliches Ziel des Datenschutzes ist es, personenbezogene Daten gegen unberechtigte Zugriffe und Veränderungen zu schützen. Ein Berechtigungsmanagement darf deshalb nicht fehlen, auch im Cloud Computing nicht. Das kann aus der Datenschutz-Grundverordnung (DSGVO / GDPR) geschlossen werden, selbst wenn diese nicht mehr explizit von Zugriffskontrollen spricht.

Die Technisch-Organisatorischen Maßnahmen, kurz TOMs genannt, aus dem Bundesdatenschutzgesetz (BDSG) sind vielen Unternehmen gut bekannt und dienen seit langem als Struktur für Datensicherheitskonzepte. Von der Zutrittskontrolle bis zur getrennten Verarbeitung (Trennungsgebot) werden die Verfahren und Lösungen der IT-Sicherheit bisher eingeordnet. Die Datenschutz-Grundverordnung (DSGVO / GDPR) nennt diese Kontrollen aber nicht mehr in dem Artikel 32 (Sicherheit der Verarbeitung).

Das neue Bundesdatenschutzgesetz (BDSG-neu) kennt zwar solche Kontrollen in § 64, doch dieser gilt bekanntlich nur für die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen. Das bedeutet aber natürlich nicht, dass in Unternehmen nun keine Zugangskontrollen oder Zugriffskontrollen mehr erforderlich wären.

Sicherheit der Verarbeitung nach DSGVO: Eine Frage der Berechtigungen

Personenbezogene Daten müssen gegen unberechtigte Zugriffe geschützt werden, entsprechend ist ein Berechtigungsmanagement erforderlich, mit dem die berechtigten Personen sowie die genauen Zugriffsrechte festgelegt und verwaltet werden können. Die Forderung nach einem Berechtigungsmanagement ergibt sich insbesondere aus diesen Vorgaben der DSGVO:

  • Unberechtigte Zugriffe verstoßen gegen die Grundsätze der Verarbeitung (Artikel 5 DSGVO) wie Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Integrität und Vertraulichkeit.
  • Explizit besagt die DSGVO: Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.

DSGVO-Compliance über ein Identitätsmanagement

Das Berechtigungsmanagement könnte in jeder Anwendung zur Verarbeitung personenbezogener Daten separat gelöst werden. Zu empfehlen ist ein solches dezentrales Berechtigungsmanagement aber nicht. Fehlerhafte, veraltete oder mehrfach vergebene Berechtigungen lassen sich am besten durch ein zentrales, einheitliches System vermeiden, ein System für Identity and Access Management (IAM).

Das gilt auch und gerade für Anwendungen und Dienste, die außerhalb des Firmennetzwerkes betrieben werden, wie dies bei Cloud Computing der Fall ist. Cloud-Dienste, die ein Unternehmen nutzt, sollten dem gleichen Konzept für ein Berechtigungsmanagement gerecht werden wie intern betriebene Anwendungen, Systeme und Dienste.

Für die Umsetzung der Datenschutz-Grundverordnung ist somit ein Berechtigungsmanagement, ein IAM-System zu empfehlen, das auch die genutzten Cloud-Dienste umfasst bzw. für die Cloud-Dienste genutzt werden kann und sich mit den anderen genutzten Berechtigungsdiensten oder IAM-Lösungen integrieren lässt.

Identity and Access Management in der Open Telekom Cloud

Die Nutzerverwaltung in der Open Telekom Cloud und damit die Dienste für die Identifizierung und die Authentifizierung für die Open Telekom Cloud werden über die Funktion „Identity und Access Management“ (PDF) bereitgestellt. Diese ermöglicht den sicheren Zugriff auf die Open Telekom Cloud und die benötigten Ressourcen für die Instanzen des Anwenderunternehmens.

Der Management-Dienst verwaltet die Nutzerdaten und Berechtigungen zentral über das Telekom-System „MyWorkplace“. Nicht nur über Nutzername, E-Mail und Passwort können Nutzer auf die Open Telekom Cloud zugreifen, sondern auch über die entsprechenden Schnittstellen (APIs) (PDF) und die dafür zu vergebenden Zugriffscodes (Access Keys).

Dadurch ist die Integrierbarkeit des Berechtigungsmanagements der Open Telekom Cloud mit weiteren Systemen und Anwendungen des Nutzers möglich. Ebenso können die IAM-Funktionen der Open Telekom Cloud für mehrere Projekte (bzw. Verträge) des Nutzers innerhalb der Open Telekom Cloud verwendet werden.

Grundsätzlich gilt auch für Cloud Computing, dass Nutzer nur notwendige Nutzerrechte erhalten dürfen (Prinzip der minimalen Berechtigungen), und dass Nutzer starke Passwörter verwenden sollen.

Es zeigt sich: Die IAM-Funktionen der Open Telekom Cloud unterstützen dabei, das für die Umsetzung der Datenschutz-Grundverordnung notwendige Nutzer- und Berechtigungsmanagement einzurichten und zu pflegen. Eine Integrierbarkeit in bestehende IAM-Lösungen ist über APIs realisierbar.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45163573 / DSGVO - Datenschutz Grundverordnung)