Need-to-Know-Prinzip
Was ist Need-to-Know-Prinzip?
Need-to-Know-PrinzipSicherheitsprinzip, das den Zugriff nur Personen erlaubt, deren Aufgaben das erfordern - selbst bei passender Freigabestufe.
Need-to-Know erganzt das Least-Privilege-Prinzip um einen thematischen Filter zusatzlich zur Freigabestufe. Wer eine Secret-Clearance hat, darf nicht jedes Secret-Dokument lesen, sondern muss einen dokumentierten betrieblichen Grund haben, gerade diese Information zu kennen. Das Prinzip stammt aus Militar und Nachrichtendiensten und wird von ISO/IEC 27002, NIST SP 800-53 und Datenschutzregeln wie HIPAA und DSGVO gefordert. Umgesetzt wird es per Datenklassifizierung, RBAC/ABAC, Just-in-Time-Zugriff, Datenmaskierung und Audit-Logs, die Zugriffe auf sensible Daten samt Begrundung prufen.
● Beispiele
- 01
HR-Mitarbeitende mit Freigabe durfen die Krankenakte eines Kollegen nur mit dokumentiertem Fall einsehen.
- 02
DBAs sehen Kreditkartennummern nur maskiert, sofern fur eine Untersuchung nicht ausdrucklich freigegeben.
● Häufige Fragen
Was ist Need-to-Know-Prinzip?
Sicherheitsprinzip, das den Zugriff nur Personen erlaubt, deren Aufgaben das erfordern - selbst bei passender Freigabestufe. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet Need-to-Know-Prinzip?
Sicherheitsprinzip, das den Zugriff nur Personen erlaubt, deren Aufgaben das erfordern - selbst bei passender Freigabestufe.
Wie funktioniert Need-to-Know-Prinzip?
Need-to-Know erganzt das Least-Privilege-Prinzip um einen thematischen Filter zusatzlich zur Freigabestufe. Wer eine Secret-Clearance hat, darf nicht jedes Secret-Dokument lesen, sondern muss einen dokumentierten betrieblichen Grund haben, gerade diese Information zu kennen. Das Prinzip stammt aus Militar und Nachrichtendiensten und wird von ISO/IEC 27002, NIST SP 800-53 und Datenschutzregeln wie HIPAA und DSGVO gefordert. Umgesetzt wird es per Datenklassifizierung, RBAC/ABAC, Just-in-Time-Zugriff, Datenmaskierung und Audit-Logs, die Zugriffe auf sensible Daten samt Begrundung prufen.
Wie schützt man sich gegen Need-to-Know-Prinzip?
Schutzmaßnahmen gegen Need-to-Know-Prinzip kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
● Verwandte Begriffe
- identity-access№ 854
Prinzip der geringsten Rechte
Sicherheitsprinzip, das jedem Nutzer, Prozess oder Dienst nur jene Rechte gewährt, die er zwingend für seine Aufgabe benötigt — nicht mehr.
- compliance№ 1007
Funktionstrennung (SoD)
Kontrollprinzip, das eine sensible Tatigkeit auf mehrere Personen oder Systeme verteilt, sodass kein einzelner Akteur sie allein abschliessen kann.
- identity-access№ 946
Rollenbasierte Zugriffskontrolle (RBAC)
Autorisierungsmodell, das Berechtigungen Rollen statt direkt Nutzern zuweist; Nutzer erhalten Zugriff durch ihre Rollenzuordnungen.
- identity-access№ 074
Attributbasierte Zugriffskontrolle (ABAC)
Autorisierungsmodell, das Richtlinien anhand von Attributen des Subjekts, der Ressource, der Aktion und der Umgebung auswertet, um über eine Zugriffsanfrage zu entscheiden.
- privacy№ 276
Datenklassifizierung
Prozess der Kennzeichnung von Daten nach Sensibilität und Wert, damit Schutz-, Handhabungs- und Aufbewahrungsmaßnahmen konsistent angewendet werden können.
- identity-access№ 861
Privileged Access Management (PAM)
Praktiken und Werkzeuge, die Zugriffe auf Konten und Systeme mit erhöhten administrativen Rechten absichern, steuern, überwachen und auditieren.