Zugriffskontrolle, Teil 2: Warum manche Datensätze unsichtbar bleiben

Moderne Berechtigungssysteme können fein abgestimmt nach Nutzergruppe und Rollen unterscheiden, sodass selbst die Eingabemaske der Unternehmenssoftware nicht allen dieselben Optionen bietet. Schließlich benötigt nicht jeder Mitarbeiter in jeder seiner Funktionen denselben Zugriff auf Dateien und Systeme.

Rollen sorgen für geregelte Rechte

Von Oliver Schonschek

Ein guter Arbeitgeber sollte jede Mitarbeiterin und jeden Mitarbeiter als Individuum sehen und nicht alle über den gleichen Kamm scheren. Doch was in der Mitarbeiterführung richtig und gut ist, kann in Sachen Datensicherheit zum Problem werden: Bei der Vergabe von Berechtigungen sollte man besser nicht jeden einzelnen Nutzer unterscheiden, sondern mehrere gemeinsam betrachten und als Gruppe definieren.

Gleiche Aufgaben, gleiche Berechtigungen

Aus Sicht der Datensicherheit macht es Sinn, die Zugriffsrechte für Anwendungen und Dateien nach den tatsächlichen Aufgaben auszurichten. Dadurch lassen sich zum einen unnötige Privilegien vermeiden, zum anderen können Berechtigungen und Nutzer in Gruppen eingeteilt werden. Einer bestimmten Nutzergruppe, in der alle Mitglieder im Prinzip die gleiche Aufgabe haben, kann man einen definierten Satz von Berechtigungen zuweisen, die zur Aufgabenerfüllung notwendig sind.

Immer wenn ein Mitarbeiter die entsprechende Aufgabe hat und damit zur Nutzergruppe gehört, erhält er die entsprechenden Privilegien. Hier kommen die sogenannten Rollen ins Spiel.

Rollenspiel nach Funktionsvorgabe

Als Benutzerrolle oder Rolle wird man grundsätzlich zwischen Standardnutzer einerseits und Administrator andererseits unterscheiden, wenn nicht jeder Nutzer die vollen Berechtigungen haben soll. Aber man kann noch weitaus mehr Rollen definieren, z.B. Vertriebsmitarbeiter, Geschäftsführung, Assistent oder auch externer Berater. Mit den genannten Rollen gehen jeweils ganz unterschiedliche Aufgaben einher und es sollten damit auch verschiedene Berechtigungen verbunden sein.

Wenn ein neuer Mitarbeiter in einer Anwendung als Benutzer angelegt werden soll, reicht bei einem guten Rollensystem meist ein Blick in das Organigramm oder in die Stellenbeschreibung – schon kann man dem Mitarbeiter eine Rolle und damit die erforderlichen Berechtigungen zuweisen.

Serie: Zugriffskontrolle
Teil 1 beginnt damit, wie schwierig es ist, Dateien und Verzeichnisse nutzergenau freizugeben. Ohne geeignete Software ist das nicht zu schaffen. Teil 2 widmet sich den wichtigsten Instrumenten der Nutzerrechteverwaltung: Gruppen und Rollen. Teil 3 erklärt schließlich, mit welchen Hilfsmitteln man den Überblick behält, damit nicht Doppler und Überschneidungen die Sicherheit aushebeln.

Flexibel auf Änderungen anpassen

Das Rollensystem zur Vergabe von Zugriffsberechtigungen kann aber nicht alle Probleme lösen: Innerhalb einer Nutzergruppe wie z.B. der Vertriebsmitarbeiter gibt es auch spezielle Aufgaben einzelner Mitarbeiterinnen oder Mitarbeiter; so etwas muss zusätzlich zur Rollenzuweisung noch über Berechtigungen abgebildet werden.

Zudem haben Rollen nichts Endgültiges an sich. So kann es z.B. eine Rolle namens Projektmitarbeiter geben. Jedes Projekt ist aber irgendwann einmal beendet. Eine Aufgabe kann auch an Dritte ausgelagert werden, sodass die interne Rolle dann nicht mehr wie bisher erforderlich ist. Oder es wechseln Mitarbeiter innerhalb des Unternehmens die Stelle oder verlassen das Unternehmen. Auch dann muss die Rollenzuordnung angefasst werden.

Nicht zuletzt sollten Rollen nicht einfach mit statischen Rechten verknüpft werden. Es kann erforderlich sein, dass der Mitarbeiter als Inhaber einer Rolle an einem bestimmten Ort (wie dem Home Office) oder zu einer bestimmten Zeit (z.B. nach Feierabend) bestimmte Rechte nicht haben soll.

Widersprüchliche Rollen
Was bei der Einzelvergabe von Berechtigungen schnell passiert, ist auch bei Rollen möglich: der Widerspruch zwischen bestimmten Berechtigungen, z.B. wenn ein Nutzer einmal die Rolle Projektleiter und bei einem weiteren Vorhaben die Rolle Projektmitarbeiter hat. Dann müssen die Berechtigungen sehr genau auf das jeweilige Projekt bezogen werden.

Fazit: Ausstattung mit Identitätsmanagement

Selbst bei Verwendung von Benutzerrollen bleibt die Regelung der Zugriffsberechtigung also ein komplexes Thema mit Widersprüchen, überflüssigen Privilegien und veralteten Zugriffsrechten. Deshalb ist es umso wichtiger für Unternehmen, zu prüfen, wie man die Probleme bei der Zugriffskontrolle vermeiden kann.

Teil 3 dieser Serie nennt daher Softwarelösungen, die bei der Benutzer-, Rollen- und Rechteverwaltung helfen können.
News Analyst Oliver Schonschek.JPG

Oliver Schonschek bewertet als News Analyst auf MittelstandsWiki.de aktuelle Vorfälle und Entwicklungen. Der Fokus liegt auf den wirtschaftlichen Aspekten von Datenschutz und IT-Sicherheit aus dem Blickwinkel des Mittelstands. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen, insbesondere in seinem Spezialgebiet Datenschutz und Datensicherheit.


Oliver Schonschek, Tel.: 02603-936116, www.schonschek.de

Nützliche Links