Need-to-Know-Prinzip

Das Need-to-know-Prinzip beschreibt ein Sicherheitsziel für vertrauliche Informationen. Der Zugriff sollte nur dann für einen Benutzer freigegeben werden, wenn die Information unmittelbar für die Erfüllung einer Aufgabe benötigt wird.

Autor Dr. Ewan Fleischmann 25.07.2022

Das Wichtigste in Kürze

  • Das Need-to-know-Prinzip beschreibt ein Sicherheitsziel, um den Zugang zu vertraulichen Informationen auf das absolut Notwendige zu beschränken.
  • Das Prinzip ist in vielen rechtlichen Vorgaben und auch Standards referenziert wie ISO/IEC 27001/2, BSI IT-Grundschutz, DSGVO, PCI-DSS, u.a.
  • Die Umsetzung des Need-to-Know Prinzips für Daten und dem Prinzip der minimalen Rechte für IT-Konten führt nicht nur zu Vorteilen in der Compliance sondern auch zu einer deutlich wiederstandsfähigeren IT-Landschaft gegenüber aktuellen Bedrohungen wie beispielsweise Ransomware und andere Malware.
Beitrag teilen

Lesezeit 3 Minuten

1. Was ist das Need-to-Know Prinzip?

Das Need-to-Know Prinzip besagt, dass ein Benutzer nur Zugang zu den Informationen haben darf, die seine berufliche Funktion gerade eben erfordert.

Vollständig umgesetzt, mit einem Need-to-Know in Echtzeit, erfüllt dieses Zugriffsprinzip sogar geheimdienstliche und militärische Erfordernisse.

In Unternehmen und in den meisten öffentlichen Stellen genügt man sich üblicherweise mit einer

  • restriktiven Vergabe von Zugriffsrechten,
  • einer zeitnahen Korrektur der Zugriffsrechte bei Veränderungen sowie
  • einer regelmäßigen Prüfung des Zugangs zu Daten.

In der Praxis kann man damit ausreichend sicherzustellen, dass die Benutzer nur auf Daten zugreifen können, unbedingt aus legitimen Gründen benötigt werden.

2. Need to Know vs. Prinzip der minimalen Rechte

Der Unterschied zwischen Need to Know und dem Prinzip der minimalen Rechte liegt im Anwendungsbereich: Beim Need-to-know-Prinzip geht es um die Personen die bestimmte vertrauliche oder geheime Informationen einsehen dürfen. Das Prinzip der minimalen Rechte bezieht sich auf die privilegierten Zugriffsberechtigungen von Benutzern und technischer Konten.

3. Need to Know im Einsatz (Auswahl)

  • DSGVO: Für die Verarbeitung personenbezogener muss die Integrität und Vertraulichkeit gewahrt sein (Art 5 (1f) DSGVO). Zur Umsetzung gehört die Beschränkung des Zugriffs auf personenbezogenen Daten auf Mitarbeiter, die diesen Zugriff zur Wahrnehmung ihrer Aufgaben zwingend benötigen, was exakt dem Need-to-Know Prinzip entspricht.
  • ISO/IEC 27001/27002: Im Code of Practice der ISO/IEC 27002 wird die Umsetzung des Need-to-know-Prinzip in Abschnitt 9.1.1 Access control policy gefordert.
  • BSI IT-Grundschutz: Der IT-Grundschutz fordert ein Identitäts- und Berechtigungsmanagement unter Einhaltung des Need-to-Know sowie dem Prinzip der Minimalen Rechte (Least Privilege)
  • PCI DSS: Auch PCI-DSS erfordert einen Zugriffsschutz auf Kartendaten auf Basis von Need-to-Know.
  • weitere: Auch weitere Good-Practices und Compliance-Normen erwarten die Umsetzung des Need-to-Know Prinzips / Prinzip der minimalen Rechte.

4. Warum ist das Need-to-Know Prinzip wichtig?

Aus der konsequenten Umsetzung des Need-to-Know Prinzips bzw. des Prinzips der minimalen Rechte ergeben sich deutliche Vorteile in der Widerstandsfähigkeit der IT-Umgebung gegen interne und externe Angreifer.

  • Reduktion des Schadens bei Ransomware-Vorfällen: Der Schaden bei einem Ransomware-Befall entsteht durch die Verschlüsselung/Zerstörung der zugreifbaren Daten verbunden mit dem Abfluss der Daten in Internet. Mit einer konsequenten Umsetzung des Need-to-Know Prinzips lässt sich dieser Schaden im Falle eines Falles minimieren.
  • Minimierung des Schades bei Sicherheitsvorfällen mit Insidern: Mit dem Need-to-Know-Prinzip ergibt sich der Vorteil, dass im Falle eines bösartigen Bedrohung durch einen Insider die Menge an Daten die aus dem Unternehmen abfließen kann minimiert wird.
  • Stoppt die Verbreitung von Malware: Malware-Angriffe werden stark ausgebremst oder können auch direkt auf dem Endgerät bereits enden, wenn dort nur Benutzer mit minimalen Rechten und minimalem Zugriff vorhanden sein. Wenn eine Eskalation der Privilegien nicht stattfinden kann, ist die Bewegung im Netzwerk (Lateral Movement) sehr schwierig oder gar unmöglich.
  • Reduktion der Möglichkeiten für Cyberangriffe: Die meisten komplexen Angriffe basieren heute auf dem Missbrauch von privilegierten Zugangsdaten. Die Anwendung des Prinzips der minimalen Rechte durch Einschränkung der Privilegien von Administratoren reduziert diese Angriffsfläche.
  • Umsetzung von Compliance-Vorgaben:. Viele interne Richtlinien und gesetzliche Vorschriften verlangen die Umsetzung des Need-to-Know Prinips bzw. des Prinzips der minimalen Rechte.

5. Umsetzung des Need-to-Know Prinzips im Unternehmen

Um das Need-to-Know- Prinzip im Unternehmen effektiv einzuführen sind eine Reihe von Maßnahmen umzusetzen die primär die Kontrolle der Zugriffsrechte der Benutzer sowie die Verwaltung von administrativen Konten betreffen.

Sicherstellung der Vergabe minimaler Zugriffsrechte auf Daten

  • Ein Rechte- und Rollenkonzept (RBAC) ist zu etablieren, dass die Vergabe und Kontrolle der Zugriffsrechte auf gemeinsam genutzte Daten praktikable handhabbar machen. Eine angemessene Trennung nach Fachbereich und der Zuständigkeiten der Team-Mitglieder muss sichergestellt sein.
  • Regelmäßige Kontrolle, ob die Zugriffsrechte auf den gemeinsam genutzten Datenablagen noch korrekt sind.
  • Umgehende Sperrung von Zugängen im Falle des Ausscheidens eines Mitglieds aus dem Team oder dem Unternehmen.
  • Der Schreibzugriff auf kritische Konfigurationsdateien und kritische Bereiche des Dateisystems muss für normale Benutzer unterbunden werden.

Sicherstellung der Vergabe minimaler Zutrittsrechte auf sensitive Gebäudebereiche

  • Der Zutritt zu den Servern und dem IT-Sicherheitsbereich ist stark einzuschränken. Es wäre nicht das erste Mal, dass die Reinigungsfirma am Freitagnachmittag den Serverraum „durchlüftet“.

Minimale Rechtevergabe für Konten.

  • Inventarisieren der gesamte IT-Umgebung nach privilegierten Konten vor Ort, in der Cloud, in DevOps-Umgebungen, auf IoT-Geräten und anderen Endgeräten
  • Beseitigen von unnötigen lokalen administrativen Privilegen von Benutzern
  • Beschränkung des Zugriffs über Wartungsschnittstellen
  • Reduktion der Rechte der technischen Benutzer auf das zwingend notwendige
  • Trennen von administrativen und normalen Zugangskonten
  • Isolation der privilegierten Konten (über Jump-Server; auch über AD-Konfiguration)
  • Falls kurzfristig privilegierte Rechte benötigt werden, beispielsweise zur Installation von Software, dann darf diese nur kurzfristig und für genau diesen einen Zweck nutzbar sein.

Darüberhinausgehend sollten auch hinreichend starke Authentisierungs- und Autorisierungskonzepte umgesetzt sein.

Inhalt
Dr. Ewan Fleischmann

Dr. Ewan Fleischmann

Gründer Redlings GmbH

Auch interessant

Card Image

Was ist Datensicherheit? Standards & Technologien

Datensicherheit ist ein wichtiges Thema für alle Unternehmen und Behörden. Erfahren Sie hier mehr über Bedrohungen, Maßnahmen und den rechtlichen...

Weiterlesen...
Card Image

Authentifizierung: Unterschiede zur Authentisierung und Autorisierung

Authentisierung, Authentifizierung und Autorisierung sind Begriffe, die in der IT-Security verwendet werden. Sie mögen ähnlich klingen, sind aber...

Weiterlesen...
Card Image

Angriffsvektor und Angriffsfläche

Ein Angriffsvektor ist eine Möglichkeit für Angreifer, in ein Netzwerk oder IT-System einzudringen. Zu den typischen Angriffsvektoren gehören ...,

Weiterlesen...
Card Image

Buffer-Overflow

Ein Buffer-Overflow ist ein Programmierfehler, die von Hackern ausgenutzt werden kann, um sich unbefugten Zugang zu IT-Systemen zu verschaffen. Er ist...

Weiterlesen...
Card Image

IT-Sicherheitskonzept in 8 Schritten

Unter einem IT-Sicherheitskonzept versteht man Richtlinien welche die IT-Sicherheit im Unternehmen gewährleisten sollen. Es geht darum, die...

Weiterlesen...
Card Image

Proxy Server

Ein Proxy-Server arbeitet als Vermittler zwischen zweit IT-Systemen. Proxyserver bieten je nach Anwendungsfall, Bedarf oder Unternehmensrichtlinien...

Weiterlesen...
Card Image

Was ist MITRE ATT&CK?

Das MITRE ATT&CK Framework ist eine laufend aktualisierte Wissensdatenbank, bestehend aus Taktiken und Techniken von Cyber-Angreifern über den...

Weiterlesen...
Card Image

Endpoint Security

Ein Proxy-Server arbeitet als Vermittler zwischen zweit IT-Systemen. Proxyserver bieten je nach Anwendungsfall, Bedarf oder Unternehmensrichtlinien...

Weiterlesen...
Card Image

Top 10 Vulnerability Scanner für 2024

Vulnerability Scanner sind automatisierte Tools, mit denen Unternehmen prüfen können, ob ihre Netzwerke, Systeme und Anwendungen Sicherheitslücken...

Weiterlesen...
Card Image

NTLM-Authentifizierung

In diesem Artikel erklären wir, was die NTLM-Authentifizierung ist, wie sie funktioniert und wie sie von Angreifern ausgenutzt werden kann.

Weiterlesen...
Card Image

Informations­sicherheits­managementsystem (ISMS)

Ein Information Security Management System (ISMS) definiert Methoden, um die Informationssicherheit in einer Organisation zu gewährleisten.

Weiterlesen...
Card Image

CVSS (Common Vulnerability Scoring System)

Der CVSS Score bietet eine numerische Darstellung (0,0 bis 10,0) des Schweregrads einer Sicherheitslücke in der IT. Wir erklären wie das Common...

Weiterlesen...
Card Image

Schutzziele der Informationssicherheit

Die Informationssicherheit soll die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen...

Weiterlesen...
Card Image

CIS Controls kurz erklärt

Die CIS Critical Security Controls (CIS Controls) sind eine priorisierte Liste von Schutzmaßnahmen um die häufigsten Cyberangriffe auf IT-Systeme...

Weiterlesen...
Card Image

Karriereguide Pentester

Wie wird man eigentlich Pentester? Was verdient ein Pentester? Haben Quereinsteiger auch eine Chance? Und was macht ein Penetration Tester so den...

Weiterlesen...
Card Image

Firewall-Grundlagen & Firewall-Architektur

Firewalls spielen eine entscheidende Rolle beim Schutz von Unternehmensnetzen. Malware, Cyberangriffe und Datenschutzverletzungen können mit dem...

Weiterlesen...

Wollen Sie wissen, wie Sie das Need-to-Know Prinzip ganz pragmatisch auch bei Ihnen im Unternehmen umsetzen können?

Rufen Sie uns doch einfach an oder schreiben Sie uns eine Nachricht!

Erfolgreich! Wir haben Ihre Anfrage erhalten. Vielen Dank.
Fehler! Es ist ein Fehler beim Versenden aufgetreten. Bitte nutzen Sie eine andere Möglichkeit mit uns Kontakt aufzunehmen!

Wir verwenden Cookies, um die Benutzerfreundlichkeit zu verbessern und den Website-Verkehr zu analysieren. Lesen Sie, wie wir Cookies verwenden und wie Sie sie kontrollieren können, indem Sie hier klicken.

Einverstanden

Einstellungen zum Datenschutz

Wenn Sie eine Website besuchen, kann diese Informationen über Ihren Browser speichern oder abrufen, normalerweise in Form von Cookies. Da wir Ihr Recht auf Privatsphäre respektieren, können Sie wählen, die Datenerfassung von bestimmten Arten von Diensten nicht zuzulassen. Wenn Sie diese Dienste nicht zulassen, kann dies jedoch Ihr Erlebnis beeinträchtigen.

Privacy Policy

Sie haben unsere Regelungen zum Datenschtz gelesen und anerkannt.

NOTWENDIG
YouTube

Wir verwenden den Dienst YouTube, um das Streaming von Videoinhalten auf dieser Website zu ermöglichen.

Datenschutz