Das Wichtigste in Kürze

  • Das Need-to-know-Prinzip beschreibt ein Sicherheitsziel, um den Zugang zu vertraulichen Informationen auf das absolut Notwendige zu beschränken.
  • Das Prinzip ist in vielen rechtlichen Vorgaben und auch Standards referenziert wie ISO/IEC 27001/2, BSI IT-Grundschutz, DSGVO, PCI-DSS, u.a.
  • Die Umsetzung des Need-to-Know Prinzips für Daten und dem Prinzip der minimalen Rechte für IT-Konten führt nicht nur zu Vorteilen in der Compliance sondern auch zu einer deutlich resilienteren IT-Landschaft gegenüber Cyber-Bedrohen wie Malware und auch Insider-Bedrohungen.
Beitrag teilen

Lesezeit 3 Minuten

1. Was ist das Need-to-Know Prinzip?

Das Need-to-Know Prinzip besagt, dass ein Benutzer nur Zugang zu den Informationen haben darf, die seine berufliche Funktion gerade eben erfordert.

Vollständig umgesetzt, mit einem Need-to-Know in Echtzeit, erfüllt dieses Zugriffsprinzip sogar geheimdienstliche und militärische Erfordernisse.

In Unternehmen und in den meisten öffentlichen Stellen genügt man sich üblicherweise mit einer

  • restriktiven Vergabe von Zugriffsrechten,
  • einer zeitnahen Korrektur der Zugriffsrechte bei Veränderungen sowie
  • einer regelmäßigen Prüfung des Zugangs zu Daten.

In der Praxis kann man damit ausreichend sicherzustellen, dass die Benutzer nur auf Daten zugreifen können, unbedingt aus legitimen Gründen benötigt werden.

2. Need to Know vs. Prinzip der minimalen Rechte

Der Unterschied zwischen Need to Know und dem Prinzip der minimalen Rechte liegt im Anwendungsbereich: Beim Need-to-know-Prinzip geht es um die Personen die bestimmte vertrauliche oder geheime Informationen einsehen dürfen. Das Prinzip der minimalen Rechte bezieht sich auf die privilegierten Zugriffsberechtigungen von Benutzern und technischer Konten.

3. Need to Know im Einsatz (Auswahl)

  • DSGVO: Für die Verarbeitung personenbezogener muss die Integrität und Vertraulichkeit gewahrt sein (Art 5 (1f) DSGVO). Zur Umsetzung gehört die Beschränkung des Zugriffs auf personenbezogenen Daten auf Mitarbeiter, die diesen Zugriff zur Wahrnehmung ihrer Aufgaben zwingend benötigen, was exakt dem Need-to-Know Prinzip entspricht.
  • ISO/IEC 27001/27002: Im Code of Practice der ISO/IEC 27002 wird die Umsetzung des Need-to-know-Prinzip in Abschnitt 9.1.1 Access control policy gefordert.
  • BSI IT-Grundschutz: Der IT-Grundschutz fordert ein Identitäts- und Berechtigungsmanagement unter Einhaltung des Need-to-Know sowie dem Prinzip der Minimalen Rechte (Least Privilege)
  • PCI DSS: Auch PCI-DSS erfordert einen Zugriffsschutz auf Kartendaten auf Basis von Need-to-Know.
  • weitere: Auch weitere Good-Practices und Compliance-Normen erwarten die Umsetzung des Need-to-Know Prinzips / Prinzip der minimalen Rechte.

4. Warum ist das Need-to-Know Prinzip wichtig?

Aus der konsequenten Umsetzung des Need-to-Know Prinzips bzw. des Prinzips der minimalen Rechte ergeben sich deutliche Vorteile in der Widerstandsfähigkeit der IT-Umgebung gegen interne und externe Angreifer.

  • Reduktion des Schadens bei Ransomware-Vorfällen: Der Schaden bei einem Ransomware-Befall entsteht durch die Verschlüsselung/Zerstörung der zugreifbaren Daten verbunden mit dem Abfluss der Daten in Internet. Mit einer konsequenten Umsetzung des Need-to-Know Prinzips lässt sich dieser Schaden im Falle eines Falles minimieren.
  • Minimierung des Schades bei Sicherheitsvorfällen mit Insidern: Mit dem Need-to-Know-Prinzip ergibt sich der Vorteil, dass im Falle eines bösartigen Bedrohung durch einen Insider die Menge an Daten die aus dem Unternehmen abfließen kann minimiert wird.
  • Stoppt die Verbreitung von Malware: Malware-Angriffe werden stark ausgebremst oder können auch direkt auf dem Endgerät bereits enden, wenn dort nur Benutzer mit minimalen Rechten und minimalem Zugriff vorhanden sein. Wenn eine Eskalation der Privilegien nicht stattfinden kann, ist die Bewegung im Netzwerk (Lateral Movement) sehr schwierig oder gar unmöglich.
  • Reduktion der Möglichkeiten für Cyberangriffe: Die meisten komplexen Angriffe basieren heute auf dem Missbrauch von privilegierten Zugangsdaten. Die Anwendung des Prinzips der minimalen Rechte durch Einschränkung der Privilegien von Administratoren reduziert diese Angriffsfläche.
  • Umsetzung von Compliance-Vorgaben:. Viele interne Richtlinien und gesetzliche Vorschriften verlangen die Umsetzung des Need-to-Know Prinips bzw. des Prinzips der minimalen Rechte.

5. Umsetzung des Need-to-Know Prinzips im Unternehmen

Um das Need-to-Know- Prinzip im Unternehmen effektiv einzuführen sind eine Reihe von Maßnahmen umzusetzen die primär die Kontrolle der Zugriffsrechte der Benutzer sowie die Verwaltung von administrativen Konten betreffen.

Sicherstellung der Vergabe minimaler Zugriffsrechte auf Daten

  • Ein Rechte- und Rollenkonzept (RBAC) ist zu etablieren, dass die Vergabe und Kontrolle der Zugriffsrechte auf gemeinsam genutzte Daten praktikable handhabbar machen. Eine angemessene Trennung nach Fachbereich und der Zuständigkeiten der Team-Mitglieder muss sichergestellt sein.
  • Regelmäßige Kontrolle, ob die Zugriffsrechte auf den gemeinsam genutzten Datenablagen noch korrekt sind.
  • Umgehende Sperrung von Zugängen im Falle des Ausscheidens eines Mitglieds aus dem Team oder dem Unternehmen.
  • Der Schreibzugriff auf kritische Konfigurationsdateien und kritische Bereiche des Dateisystems muss für normale Benutzer unterbunden werden.

Sicherstellung der Vergabe minimaler Zutrittsrechte auf sensitive Gebäudebereiche

  • Der Zutritt zu den Servern und dem IT-Sicherheitsbereich ist stark einzuschränken. Es wäre nicht das erste Mal, dass die Reinigungsfirma am Freitagnachmittag den Serverraum „durchlüftet“.

Minimale Rechtevergabe für Konten.

  • Inventarisieren der gesamte IT-Umgebung nach privilegierten Konten vor Ort, in der Cloud, in DevOps-Umgebungen, auf IoT-Geräten und anderen Endgeräten
  • Beseitigen von unnötigen lokalen administrativen Privilegen von Benutzern
  • Beschränkung des Zugriffs über Wartungsschnittstellen
  • Reduktion der Rechte der technischen Benutzer auf das zwingend notwendige
  • Trennen von administrativen und normalen Zugangskonten
  • Isolation der privilegierten Konten (über Jump-Server; auch über AD-Konfiguration)
  • Falls kurzfristig privilegierte Rechte benötigt werden, beispielsweise zur Installation von Software, dann darf diese nur kurzfristig und für genau diesen einen Zweck nutzbar sein.

Darüberhinausgehend sollten auch hinreichend starke Authentisierungs- und Autorisierungskonzepte umgesetzt sein.

Auch interessant

Wollen Sie wissen, wie Sie das Need-to-Know Prinzip ganz pragmatisch auch bei Ihnen im Unternehmen umsetzen können?

Rufen Sie uns doch einfach an oder schreiben Sie uns eine Nachricht!

Erfolgreich! Wir haben Ihre Anfrage erhalten. Vielen Dank.
Fehler! Es ist ein Fehler beim Versenden aufgetreten. Bitte nutzen Sie eine andere Möglichkeit mit uns Kontakt aufzunehmen!

Wir verwenden Cookies, um die Benutzerfreundlichkeit zu verbessern und den Website-Verkehr zu analysieren. Lesen Sie, wie wir Cookies verwenden und wie Sie sie kontrollieren können, indem Sie hier klicken.

Einverstanden

Einstellungen zum Datenschutz

Wenn Sie eine Website besuchen, kann diese Informationen über Ihren Browser speichern oder abrufen, normalerweise in Form von Cookies. Da wir Ihr Recht auf Privatsphäre respektieren, können Sie wählen, die Datenerfassung von bestimmten Arten von Diensten nicht zuzulassen. Wenn Sie diese Dienste nicht zulassen, kann dies jedoch Ihr Erlebnis beeinträchtigen.