Network Access Control – 8 Tipps für eine DSGVO-konforme Netzzugangskontrolle

Der kleine feine Datentipp

Lesezeit: ca. 8 Minuten

Wer unerlaubt in ein Netzwerk eindringt, kann erheblichen Schaden anrichten. Wie betreiben Organisationen ihre Netze in Sachen Informationssicherheit und Datenschutz rechtskonform? Die Antwort lautet Network Access Control. 8 Tipps, wie Sie die Netzzugangskontrolle sicher und DSGVO-gerecht regeln.

Was ist Network Access Control?

Ob Unternehmen, Betrieb oder Behörde – ohne Netzwerke geht in Organisationen heute nichts mehr. Die Digitalisierung lässt grüßen – und das nicht erst, seit wir vermehrt mobil arbeiten. Netzwerkzugriffskontrolllösungen (Network Access Control, NAC) sind für die Sicherheit und Zugriffsverwaltung in Unternehmensnetzwerken unerlässlich. Mit der zunehmenden Anzahl von Geräten im Unternehmensnetzwerk steigen die Sicherheitsrisiken. Network-Access-Control-Systeme bieten Transparenz, Zugriffskontrolle und Compliance-Funktionen, um die Netzwerksicherheit zu stärken. Diese Tools ermöglichen es Unternehmen, Geräten den Netzwerkzugriff zu verweigern, um mögliche Bedrohungen der Sicherheit zu minimieren.



Drei Grundarten von Netzen

Allgemein sind drei Arten von Netzen im Einsatz: LAN, WLAN und VLAN. LAN (Local Area Network) ist ein kabelgebundenes Netzwerk in kleineren Einheiten, also in Unternehmens- oder Heimnetzwerken. WLAN (Wireless Local Area Network) bezeichnet ein drahtloses Rechnernetzwerk, das Geräte über Funk räumlich begrenzt verbindet. VLAN (Virtual Local Area Network) wiederum ist ein virtuelles Netzwerk, das innerhalb eines Switches oder eines gesamten physischen Netzwerks physische Netze in Teilnetze aufteilt und dafür sorgt, dass Datenpakete nur dorthin gelangen, wo sie hindürfen.

Kontrollierter Zugang und Zugriff mittels Network Access Control

Kurz gesagt, Netze sorgen dafür, dass vertrauliche Daten, personenbezogen oder nicht, nur von jenen verarbeitet werden, die das dürfen. Daten werden zentral verarbeitet, bestimmte Anwender erhalten bestimmte Zugriffe und können so ihre Aufgaben bearbeiten.
Aber nicht nur die Netze sind geschützt und damit der Zugang zu den einzelnen Systemen, sondern auch die Systeme selbst. Wenn eine Kollegin für ihre Arbeit Projektdaten benötigt, kann sie über ein Netzwerk auf diese Daten zugreifen. Dazu muss sie zweierlei erfüllen: Sie muss nachweisen, dass sie die ist, die sie vorgibt. Und sie muss eine entsprechende Berechtigung haben, mit der auf die Daten zugegriffen werden kann. In diesem Datentipp geht es in erster Linie um Zweiteres: die Erlaubnis, im Netz zu sein.

"Wer in ein Netz eindringt, findet auch die Sicherheitslücken in den Programmen. Wer die Sicherheitslücken kennt, kann ernsthafte Schäden anrichten."

Das Risiko fehlender Network Access Control

Abgesicherte Zugänge

Der Zugang zu den Netzen einer Organisation muss abgesichert sein. Könnte sich jeder nach Lust und Laune einloggen, käme er zwar noch nicht in jede Anwendung. Aber hier ist es ähnlich wie bei einem Einbrecher. Hat jemand erst einmal die Mauer überwunden, findet er auch einen Weg ins Gebäude. Wer in ein Netz eindringt, findet auch die Sicherheitslücken in den Programmen. Wer die Sicherheitslücken kennt, kann ernsthafte Schäden anrichten.

Ein Beispiel aus dem Alltag

Eine handelsübliche Überwachungskamera ist zur Beobachtung von Produktionsabläufen installiert. Diese Kamera hat eine IP-Adresse. Diese IP-Adresse hängt vom Kameratyp ab und lässt sich, sofern sie nicht entsprechend geschützt ist, über spezialisierte Suchmaschinen wie Shodan herausfinden.

Angenommen, in der Kamera wird ein Softwarefehler entdeckt und unter Insidern veröffentlicht. Solange dieser Fehler nicht gepatcht ist, kann er von kundigen Außenstehenden für Cyber-Attacken missbraucht werden. Kämen Angreifer allerdings gar nicht erst ins Netzwerk, könnten sie darin auch keinen Schaden verursachen.

Authentisierung und Autorisierung

Netze müssen also so geschützt werden, dass Personen sich authentisieren müssen, ehe sie Zugriff erhalten. Sie müssen sich also eindeutig identifizieren und einen Autorisierungsprozess durchlaufen. Dabei werden Reglementierungen abgefragt wie Passwörter oder PIN-Codes, die neben der Identifikation sicherstellen, dass die erforderliche Erlaubnis (Berechtigung) vorliegt, die Daten zu verarbeiten.

Datenschutz und Netzzugangskontrolle

Datenpannen vermeiden

Wer mit personenbezogenen Daten arbeitet, muss verhindern, dass es zu Datenpannen kommt. Die Datenschutz-Grundverordnung (DSGVO) kennt grundsätzlich fünf Arten von Datenpannen. Daten sind vor Vernichtung zu schützen, vor Verlust (Kontrollverlust) und vor unbefugter Veränderung. Außerdem sind personenbezogene Daten davor zu schützen, dass sie unbefugt eingesehen werden (unbefugte Offenlegung) und dass unbefugt mit Ihnen gearbeitet wird (unbefugter Zugang zu Daten).

Kontrollierter Netzzugang

Kommt es zu solchen Schutzverletzungen, hat das grundsätzlich eine Meldepflicht an die Aufsichtsbehörde zur Folge. Wer in Netzwerken Daten verarbeitet, muss sicherstellen, dass sowohl die Netzwerke als auch die Daten vor Pannen sicher sind. Da ist es am einfachsten, nur autorisierte Anwender in die Netze zu lassen und Daten so zu schützen, dass nur Anwender, die damit arbeiten dürfen, den Zugriff auf diese personenbezogenen Daten bekommen.

Analyse der Gefährdungen

Zu diesem Zweck sieht Artikel 24 der DSGVO vor, vorhandene Gefährdungen mit Maßnahmen des Risikomanagements zu analysieren. So muss beispielsweise analysiert werden, was droht, wenn Unbefugte Zugang zu Netzen oder zu Daten mit Personenbezug erhalten. Mit einer Risikoanalyse untersuchen Sie die Eintrittswahrscheinlichkeit für den Vorfall und die mögliche Schadenshöhe.

Schadenshöhe beziffern

Wie ermittelt man die Schadenshöhe? Die hängt davon ab, wie stark die Rechte von Personen verletzt werden. Eine Rechteverletzung ist jedoch finanziell schwer messbar. Hier hilft es, dass die DSGVO den Schadenersatz kennt. Der wird vor deutschen Gerichten immer wichtiger. Damit lässt sich in der Regel beziffern, wie hoch ein finanzieller Schaden werden kann.

Beispiel

Ein Netzwerk ist so unzureichend gesichert, dass es im Schnitt zehn Mal im Monat zu einem unerlaubten Netzzugang kommt. Das macht im Jahr 120 unerlaubte Zugänge. Wenn jeder diese unerlaubten Zugänge zu einem durchschnittlichen Schaden von 100 € führt, ergibt sich ein potentieller Schaden von 12.000 € im Jahr. Auf dieser Grundlage entscheidet die Geschäftsleitung, ob dieses Risiko getragen werden kann oder ob sie entsprechende Maßnahmen festlegt.

Geeignete TOMs für datenschutzgemäße Network Access Control

Die Datenschutz-Grundverordnung sieht vor, dass Datenverarbeiter geeignete technische und organisatorische Maßnahmen ergreifen, um solche Datenlecks zu vermeiden. Dazu sind in erster Linie die Gefährdungen zu ermitteln, wenn die Netzzugangskontrolle nur unvollständig funktioniert. Hierzu hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Grundschutzbausteine entwickelt. So gibt es den Grundschutzbaustein NET.3.4 Network Access Control. In der Beschreibung zu diesem Baustein sind acht Gefährdungen für die Informationssicherheit aufgeführt.

Gefährdungen ermitteln und bewerten

Daneben muss natürlich untersucht werden, welche Risiken für den Schutz personenbezogener Daten durch eine Schutzverletzung eintreten können. Hier werden natürlich weitere Gefährdungen ermittelt und analysiert. Des Weiteren sind in den Bausteinen des Grundschutzes auch Anforderungen benannt. In der aktuellen Fassung des Bausteins im Jahr 2023 sind beispielsweise 29 Anforderungen genannt. Diese beziehen sich auf die Informationssicherheit. Anforderungen zum Thema Datenschutz kommen hinzu.

Keine unerlaubten Zugänge in Netze

Es muss also datenschutzrechtlich untersucht werden, welche Gefährdungen der Zugang Unbefugter zu geschützten Netzen mit sich bringt. Dann müssen entsprechende Maßnahmen bestimmt und umgesetzt werden, um diese unbefugten Zugänge zu vermeiden. Es gilt regelmäßig zu überprüfen, ob die Maßnahmen den gewünschten Zweck erfüllen. Alle Beteiligten müssen in geeigneter Weise mit den erforderlichen Maßnahmen vertraut gemacht werden. Das alles ist zu dokumentieren.

Überprüfungsaufgabe erfüllen

Datenschutzbeauftragte haben eine Überwachungsaufgabe. Im Rahmen dieser Aufgabe müssen Sie prüfen, ob die Netzwerke aus Sicht der Informationssicherheit und des Datenschutzes rechtskonform funktionieren. Diese Prüfung ist zu dokumentieren.

Datenschutz juristisch und technisch anpacken

Sind Datenschutz-Teams vorwiegend juristisch geprägt, werden solche technischen Überprüfungen meiner Erfahrung nach oft versäumt. Es reicht aber nicht aus, den Datenschutz nur juristisch anzugehen. Prüfen Sie aus technischer Sicht, ob die Anforderungen erfüllt werden können. Datenschutzbeauftragte tun also gut daran, sich mit Informationssicherheitsbeauftragten zusammen zu tun.



8 Tipps für die datenschutzkonforme Network Access Control

Das ist die Kernfrage: Haben Sie sichergestellt, dass die Netze der Organisation aus Sicht von Informationssicherheit und Datenschutz rechtskonform betrieben werden?

Mit der richtigen Herangehensweise ist es gar nicht so schwer, Network Access Control gekonnt zu regeln. Ich wünsche viel Erfolg beim Umsetzen!