Need-to-Know-Prinzip
Was ist Need-to-Know-Prinzip?
Need-to-Know-PrinzipSicherheitsprinzip, das den Zugriff nur Personen erlaubt, deren Aufgaben das erfordern - selbst bei passender Freigabestufe.
Need-to-Know erganzt das Least-Privilege-Prinzip um einen thematischen Filter zusatzlich zur Freigabestufe. Wer eine Secret-Clearance hat, darf nicht jedes Secret-Dokument lesen, sondern muss einen dokumentierten betrieblichen Grund haben, gerade diese Information zu kennen. Das Prinzip stammt aus Militar und Nachrichtendiensten und wird von ISO/IEC 27002, NIST SP 800-53 und Datenschutzregeln wie HIPAA und DSGVO gefordert. Umgesetzt wird es per Datenklassifizierung, RBAC/ABAC, Just-in-Time-Zugriff, Datenmaskierung und Audit-Logs, die Zugriffe auf sensible Daten samt Begrundung prufen.
● Beispiele
- 01
HR-Mitarbeitende mit Freigabe durfen die Krankenakte eines Kollegen nur mit dokumentiertem Fall einsehen.
- 02
DBAs sehen Kreditkartennummern nur maskiert, sofern fur eine Untersuchung nicht ausdrucklich freigegeben.
● Häufige Fragen
Was ist Need-to-Know-Prinzip?
Sicherheitsprinzip, das den Zugriff nur Personen erlaubt, deren Aufgaben das erfordern - selbst bei passender Freigabestufe. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet Need-to-Know-Prinzip?
Sicherheitsprinzip, das den Zugriff nur Personen erlaubt, deren Aufgaben das erfordern - selbst bei passender Freigabestufe.
Wie schützt man sich gegen Need-to-Know-Prinzip?
Schutzmaßnahmen gegen Need-to-Know-Prinzip kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.