Zum Hauptinhalt springen
Informationssicherheit / NIS2

Need-to-Know-Prinzip

Das Need-to-Know-Prinzip gewährt Zugang zu Informationen ausschließlich denjenigen Personen, die diesen Zugang zur Erfüllung einer konkreten dienstlichen Aufgabe nachweisbar benötigen.

Das Need-to-Know-Prinzip ist ein grundlegender Baustein der Informationssicherheit und besagt, dass eine Person nur auf jene Informationen zugreifen darf, die sie zur Erledigung ihrer konkreten Aufgabe tatsächlich benötigt. Maßgeblich ist nicht die hierarchische Stellung oder eine allgemeine Berechtigung, sondern der nachweisbare dienstliche Bedarf im Einzelfall. Damit begrenzt das Prinzip die Angriffsfläche, reduziert das Risiko von Datenabfluss und Innentäterschaft und ist eng mit dem Prinzip der geringsten Rechte (Least Privilege) verwandt.In der Praxis wird das Need-to-Know-Prinzip über Zugriffskontrolle, rollenbasierte Berechtigungskonzepte (RBAC) und eine saubere Informationsklassifizierung umgesetzt. Zugriffe werden restriktiv vergeben (Deny by default), regelmäßig überprüft (Rezertifizierung) und beim Wegfall des Bedarfs – etwa bei Aufgaben- oder Stellenwechsel – wieder entzogen. Eine lückenlose Protokollierung sorgt dafür, dass Zugriffe nachvollziehbar bleiben und Verstöße erkannt werden können.Rechtlich und normativ ist das Need-to-Know-Prinzip fest verankert. Die ISO/IEC 27001 fordert in Anhang A eine bedarfsgerechte Zugangssteuerung, der BSI IT-Grundschutz adressiert es im Baustein zur Identitäts- und Berechtigungsverwaltung, und die NIS2-Richtlinie verlangt risikoangemessene Konzepte für Zugriffskontrolle. Auch die DSGVO setzt das Prinzip über die Grundsätze der Datenminimierung und der Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f, Art. 32 DSGVO) sowie über Vertraulichkeitsverpflichtungen mittelbar voraus.

Rechtliche Grundlage

ISO/IEC 27001 Anhang A (A.5.15 Zugangssteuerung); BSI IT-Grundschutz ORP.4; Art. 21 NIS2-Richtlinie; Art. 5 Abs. 1 lit. f und Art. 32 DSGVO

Praxisbeispiel

Eine Sachbearbeiterin in der Personalabteilung benötigt Zugriff auf die Gehaltsdaten der von ihr betreuten Mitarbeitenden, nicht jedoch auf die der gesamten Belegschaft. Der Informationssicherheitsbeauftragte richtet daher in der HR-Software ein rollenbasiertes Berechtigungsprofil ein, das den Zugriff auf den zugeteilten Personenkreis beschränkt. Wechselt die Sachbearbeiterin in eine andere Abteilung, werden ihre HR-Berechtigungen automatisch entzogen, und die nächste turnusmäßige Rezertifizierung dokumentiert, dass kein verwaister Zugang verbleibt.

Häufige Fragen

Need-to-Know bezieht sich auf den Zugang zu Informationen: Wer braucht welche Daten für seine Aufgabe? Least Privilege erweitert den Gedanken auf Rechte und Systemfunktionen insgesamt und gewährt nur die minimal nötigen Berechtigungen. Beide Prinzipien ergänzen sich und werden in der Praxis gemeinsam umgesetzt.
Üblich sind rollenbasierte Berechtigungskonzepte (RBAC), eine restriktive Vergabe nach dem Deny-by-default-Ansatz und eine vorgelagerte Informationsklassifizierung. Zugriffe werden regelmäßig rezertifiziert, beim Wegfall des Bedarfs entzogen und durchgängig protokolliert, um Nachvollziehbarkeit sicherzustellen.
Es ist in mehreren Regelwerken verankert, etwa in der ISO/IEC 27001, im BSI IT-Grundschutz und mittelbar in den Sicherheitsanforderungen der NIS2-Richtlinie. Über die DSGVO-Grundsätze der Datenminimierung und Vertraulichkeit ergibt sich zudem eine datenschutzrechtliche Verpflichtung zur bedarfsgerechten Zugangsbeschränkung.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Least-Privilege-Prinzip Zugriffskontrolle Rollenbasierte Zugriffskontrolle Informationsklassifizierung Identity- und Access-Management
Zurück zum Glossar