Die Rolle der Administratoren beim Datenschutz
Ohne Administratoren lassen sich kaum Maßnahmen für den Datenschutz umsetzen. Gleichzeitig gehören Admins aber auch zu den größten Datenrisiken.
Es klingt wie ein Henne-Ei-Problem: Um den Datenschutz umsetzen zu können, werden die Administratoren im Unternehmen benötigt, damit sie zum Beispiel die Zugriffsrechte der Nutzer den Aufgaben entsprechend einschränken. Die für die Administrationsaufgaben notwendigen, umfassenden Zugriffsrechte jedoch können zum Problem für den Datenschutz werden. Ohne entsprechende Vorkehrungen liegen für die Administratoren nämlich alle Daten offen.
Die Sonderrolle der Administratoren ist kein theoretisches Problem für den Datenschutz, ganz im Gegenteil. Zahlreiche Gerichtsurteile belegen, wie weit einige Administratoren schon gegangen sind beim Missbrauch ihrer Privilegien. Der unerlaubte Einblick in die E-Mails und Termine eines Vorstands ist nur ein Beispiel von vielen (Landesarbeitsgericht Köln, Az.: 4 Sa 1257/09).
Zweckbindung der Protokolle gilt auch und gerade für Administratoren
Administratoren müssen ihre weitreichenden Zugangs- und Zugriffsrechte gar nicht zu anderen Zwecken missbrauchen, um an Daten zu kommen, die sie eigentlich nicht einsehen dürfen. Nicht nur die E-Mail-Postfächer von Managern und anderen Nutzern könnten unerlaubt durch sie eingesehen werden. Schon die Systemprotokolle, die die Administratoren regelmäßig auswerten, bieten oftmals tiefere Einblicke als eigentlich notwendig.
Deshalb sind die Forderungen nach einer Anonymisierung von Protokolldaten sowie die sogenannte besondere Zweckbindung im Datenschutz so wichtig: Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden. Diese rechtlichen Vorgaben beziehen sich insbesondere auf die Administratorentätigkeit.
Administratoren sind kein Backup für Passwörter
Der häufige Verlust von Passwörtern und das eher schlechte Gedächtnis vieler Nutzer führen dazu, dass viele Unternehmen die Administratoren als „lebenden Passwort-Speicher“ sehen. Im Notfall fragt man den „Admin“, der das vergessene Kennwort wieder zur Verfügung stellt. Dieses Vorgehen ist falsch. Vergessene Passwörter müssen zurückgesetzt und neu vergeben werden.
Wenn ein Administrator die Passwörter der Nutzer kennt, kann er auf deren Daten zugreifen, ohne dass dies bei einer Kontrolle so einfach festgestellt werden könnte. Schließlich findet der an sich unerlaubte Zugriff dann über die Identität des jeweiligen Nutzers statt und nicht über die Identität des Administrators.
Passwörter müssen also vor Administratoren geschützt werden, genau wie die Kennwörter vor jedem Missbrauch zu schützen sind, um eine Zugangs- und Zugriffskontrolle zu haben, wie sie der Datenschutz fordert. Dazu sollten Passwörter sowie andere personenbezogenen Daten mit entsprechendem Schutzbedarf nur verschlüsselt gespeichert werden und zwar so, dass ein einzelner Administrator keinen Zugang erhält. Der Schlüssel zur Entschlüsselung muss also vor dem einzelnen Administrator geschützt sein.
Kontrolle der privilegierten Zugänge und Vier-Augen-Prinzip
Wenn ein Administrator aber für seine Aufgaben Zugang zu vertraulichen Daten braucht, sollte dies nur nach dem Vier-Augen-Prinzip möglich sein, also zum Beispiel nur unter Mitwirkung eines anderen Administrators oder des Datenschutzbeauftragten. Ein einzelnes Administratorpasswort darf also nicht reichen, wenn zum Beispiel E-Mail-Konten eingesehen werden müssen, weil der Nutzer langfristig erkrankt ist.
Im Idealfall sollte es im Administrationsbereich auch eine Gewaltenteilung geben, also Systemadministratoren und fachliche Anwendungsadministratoren. Nur beide Funktionsträger gemeinsam können dann an die vertraulichen Daten in der Applikation einsehen.
Sinnvoll sind zudem Lösungen im Bereich der Kontrolle privilegierter Zugänge. Diese Sicherheitslösungen protokollieren die Maßnahmen der Administratoren, wobei die Protokolle nicht im Zugriff der Administratoren, dafür aber unter einer speziellen Integritätsüberwachung liegen.
Für Administratoren wird ein spezielles Datenschutzkonzept benötigt
Aufgrund der besonderen Bedeutung der Administratoren für den Datenschutz und dem prinzipiellen Risiko eines Missbrauchs der Administrator-Rechte sollte jedes Datenschutzkonzept spezielle Maßnahmen der Administrator-Kontrolle vorsehen.
Dazu gehören:
- die Administratorrechte so wenig wie möglich streuen
- eine Aufgaben- / Gewaltenteilung in der Administration vornehmen
- eine manipulationssichere Protokollierung der Administrator-Tätigkeit
- ein Verbot geteilter Administrator-Zugänge (Identifizierbarkeit)
- die Deaktivierung aller Standard- Passwörter in Anwendungen für Administratoren
- und der Einsatz einer Zwei-Faktor-Authentifizierung gerade für Admin-Zugänge.
Administratoren für den Datenschutz sensibilisieren
Da in der Praxis gerade Administratoren Sicherheitsmaßnahmen umgehen, sich also zum Beispiel Ausnahmen in den Firewall-Einstellungen ermöglichen, sollte ihnen die große Bedeutung ihrer Arbeit für den Datenschutz klar gemacht werden. Wenn die Administrator-Zugänge unsicher sind, kippen letztlich das gesamte Datensicherheitskonzept und der komplette Datenschutz.