Unternehmen verwalten heute so viele Daten wie nie zuvor. Dies umfasst Kundendaten, Geschäftsinformationen oder auch persönliche Daten zu Mitarbeitern. All diese Daten sind in hohem Maße schutzbedürftig und sollten jeweils nur ausgewählten, berechtigten Personen zugänglich gemacht werden.
Aufgrund der heutzutage nahezu vollständigen Vernetzung aller Firmenbereiche ist jedoch das Risiko, dass Unbefugte dennoch an diese Daten gelangen, oft nur einen falschen Klick entfernt. Ein Berechtigungskonzept kann dabei helfen, den Zugriff auf Informationen dieser Art sowie Zugänge zu Räumlichkeiten sinnvoll auf berechtigte Akteure zu limitieren.
Ein Berechtigungskonzept ist ein Leitwerk für Unternehmen, das regelt, welche Personen(gruppen) Zugriff auf bestimmte Daten, Systeme, Anwendungen oder Räumlichkeiten erhalten. Ziel ist es, dass alle Personen(gruppen) über genau die Rechte, Zugriffe und Zugänge verfügen, die sie für die Erfüllung ihrer Aufgaben benötigen.
In einer immer dynamischeren und flexibleren Arbeitswelt trägt ein gut ausgestaltetes Berechtigungskonzept dazu bei, die Effizienz von Geschäftsprozessen zu sichern, ohne die Datenintegrität im Unternehmen zu gefährden. So stellen auch häufige Wechsel von Zuständigkeiten oder Mitarbeitern sowie die hybride Nutzung verschiedenster Clients – bei regelmäßiger Aktualisierung des Konzepts – zu keiner Zeit ein Sicherheitsrisiko dar.
Die Einrichtung eines IT-Berechtigungskonzepts ist ein aufwendiger und kleinteiliger Prozess, der jedoch die Sicherheit der Daten und Räumlichkeiten von Unternehmen enorm verbessern kann. Darum ist es sinnvoll, die folgenden Punkte schrittweise und sorgfältig durchzuarbeiten.
Zusammentragen aller Informationen
Zu Beginn sollten Unternehmen eine vollumfängliche Auflistung sämtlicher Mitarbeiter, deren Aufgaben, Zuständigkeiten, Zugängen, Geräten und genutzten Anwendungen erstellen. Diese Liste muss so vollständig wie nur möglich sein, um keine kritischen Lücken im Berechtigungskonzept zu riskieren.
Bei der Zusammenstellung dieser Informationen müssen außerdem zusätzlich Personen berücksichtigt werden, die keine Mitarbeiter sind, aber in ihrer Funktion Zugriff auf Daten oder Zutritt zu Räumlichkeiten erhalten, etwa externe Dienstleister.
Mitarbeiter-Identitäten schaffen
Um einzelnen Mitarbeitern gezielt Rechte einräumen zu können, benötigt jeder Mitarbeiter eine eigene digitale Identität. Hier wird zentral gespeichert, in welcher Abteilung er arbeitet, welche Clients er nutzt und welche Anwendungen er für seine Arbeit braucht. Ebenso sind hier die für ihn relevanten Daten-Zugriffe hinterlegt.
Von zentraler Wichtigkeit für das Berechtigungskonzept ist dabei die umfassende Kategorisierung und die eindeutige Zuordnung – so muss etwa jedes (aktive) Endgerät verbindlich einem Mitarbeiter zugeordnet sein, um eventuelle Lücken zu vermeiden.
Zugriffsrechte definieren
Es muss exakt festgelegt werden, über welche Berechtigungen eine spezifische Rolle verfügt. Dabei ist beispielsweise mit Blick auf die Arbeiten an Daten zwischen folgenden Berechtigungen zu unterscheiden:
Diese Berechtigungen können jeweils nochmal auf einzelne Bereiche spezifiziert werden. So kann etwa ein Mitarbeiter mit Erstellen-Rechten im HR-Bereich in dieser Rolle auch nur solche Daten bearbeiten, die zu seiner Abteilung gehören. Nach dem „Need to know-Prinzip“ erhalten Mitarbeiter die geringstmögliche Menge an Berechtigungen bzw. Informationen, die zur erfolgreichen Ausübung ihrer Tätigkeiten erforderlich sind.
Rollenkonzepte nutzen
Eine zentrale Säule eines Rollen- und Berechtigungskonzepts sind die Rollen der Mitarbeiter. Das Prinzip dahinter: Alle Mitarbeiter, die identische Tätigkeiten in identischen Räumlichkeiten ausüben, sollten identische Rollen erhalten. Berechtigungen sind dabei nie an Mitarbeiter, sondern immer an Rollen geknüpft. Die Mitarbeiter werden der jeweils passenden Rolle zugeordnet und verfügen damit über alle Berechtigungen dieser Rolle.
Haben Mitarbeiter gleich mehrere Rollen inne, muss sichergestellt sein, dass sich daraus keine Widersprüche ergeben – etwa dann, wenn Rolle A den Zutritt zu einem Bereich X nicht gestattet, Rolle B aber genau diesen Zutritt erfordert. Hier ist bereits bei der Definition der Zugriffsrechte für das Berechtigungskonzept viel Feingefühl gefragt.
Regelmäßige Prüfung des Konzepts
Die Qualität aller Berechtigungskonzepte steht und fällt mit deren Aktualität. Unternehmen müssen sicherstellen, dass die definierten Vorgaben zu Berechtigungen eingehalten werden und das Konzept laufend an Neuerungen und Änderungen in Abläufen angepasst wird.
So kann etwa über die in unserer GFOS-Software hinterlegten Personalstammdaten auch eine schnelle Auditierung aller Berechtigungen erfolgen. Anpassungen sind mit wenigen Klicks zentral erledigt. Damit behalten Unternehmen jederzeit den Überblick und können durch routinemäßige Aktualisierungen auch dem Risiko eines „Privilege Creep“ vorbeugen.
Informieren Sie sich über die modulare Lösung von GFOS und die Möglichkeiten für Ihr Unternehmen.
Ein detailliert ausgestaltetes Berechtigungskonzept bietet Unternehmen eine Vielzahl an Vorteilen. Diese reichen von effizienteren Prozessen und kurzen Entscheidungswegen bis zur Einhaltung zentraler gesetzlicher Vorgaben wie der DSGVO. Besonders wichtig sind dabei folgende Punkte:
Schutz sensibler Informationen
Durch die fachgerechte Implementierung eines Berechtigungskonzepts können Unternehmen dafür sorgen, dass sensible Informationen (Geschäfts- / Kunden- / Mitarbeiterdaten) nur befugten Personen zur Verfügung stehen. Unbefugte erhalten weder räumlichen noch digitalen Zugriff auf diese Daten, was Diebstahl und Missbrauch effektiv vorbeugt und eine wichtige Säule im unternehmensinternen Risikomanagement darstellt.
Einhaltung rechtlicher Vorschriften
Mit der Einführung der DSGVO wurden bereits bestehende rechtliche Vorgaben in Sachen Datenschutz erheblich verschärft. Unternehmen müssen zwingend darauf achten, eine datenschutzkonforme Sammlung, Speicherung und Verarbeitung von Daten sicherzustellen. Durch ein gut geplantes Berechtigungskonzept erfüllen Unternehmen diese gesetzlichen Vorgaben – sowohl innerhalb Europas (DSGVO) als auch außerhalb (HIPAA etc.).
Optimierung der Lizenz-Nutzung
Dank der detaillierten Aufschlüsselung aller Mitarbeiter, Clients und Anwendungen wissen Unternehmen, ob gegebenenfalls eine Über- oder Unterversorgung mit Software-Lizenzen vorliegt. Dies ermöglicht eine optimale Ausstattung der Belegschaft oder ggf. auch den Verkauf überschüssiger Lizenzen.
Skalierbarkeit + Planbarkeit
Verfügen Unternehmen über gut durchdachte Berechtigungskonzepte, so lassen diese sich in der Regel ohne Probleme skalieren, sofern keine erheblichen Änderungen in den Prozess- oder Unternehmensstrukturen erfolgen. So wächst das Konzept einfach mit dem Unternehmen und bietet ein Maximum an Planbarkeit in der Zukunft.
Steigerung der Effizienz
Durch eine durchdachte Vergabe von Berechtigungen wissen Mitarbeiter exakt, mit welchen Daten oder in welchen Bereichen sie tätig werden können – und wo nicht. Für Unternehmen entfallen gleichzeitig mühsame Sonderregelungen und kleinteilige Kontrollen, wodurch allen Beteiligten zusätzliche Ressourcen für ihre Arbeit zur Verfügung stehen.
Über ein Berechtigungskonzept lassen sich zahlreiche Arten von Berechtigungen für diverse Rollen definieren und verwalten. Die jeweiligen Rollen können dabei sehr unterschiedlich ausgestaltet sein.
Zeitliche Berechtigungen
Zeitliche Berechtigungen erlauben Zutritte zu Räumlichkeiten oder Zugriffe auf Daten wahlweise nur in einem bestimmten Zeitraum oder für eine vordefinierte Zeitspanne. Dies bietet sich etwa dann an, wenn externe Dienstleister in einem fixen Zeitraum Zutritt zu Anlagen wie Servern oder anderen Bereichen benötigen.
Einzelberechtigungen
Einzelberechtigungen werden spezifisch für einzelne Personen vergeben. Mit diesen Rechten erhalten Personen bzw. Nutzer gesonderte Zugriffsrechte auf Daten oder Bereiche. Diese „maßgeschneiderte“ Form der Rechtevergabe bietet zwar ein Maximum an Kontrolle, bei einer größeren Anzahl an Nutzern ist die Vergabe solcher Berechtigungen jedoch eher ineffizient, aufwendig in der Organisation und anfällig für Fehler.
Gruppenberechtigungen
Gruppenberechtigungen werden einer Gruppe von Benutzern zugewiesen, die ähnliche Aufgaben oder Rollen innerhalb des Unternehmens haben. Änderungen an den Rechten lassen sich einfach auf alle Mitarbeiter übertragen, die identische Rollen innehaben. Für viele Unternehmen bietet sich diese Vergabepraxis an, da sie meist einen guten Kompromiss zwischen Effizienz und Übersichtlichkeit im Unternehmen darstellt.
Kombinierte Berechtigungen
Bei dieser Variante verfügen Mitarbeiter neben Gruppenberechtigungen über weitere Einzelberechtigungen. Möglicherweise verfügt ein Mitarbeiter der IT zusätzlich über Zutrittsrechte für Serverräume mit besonders sensiblen Daten. Die Vergabe kombinierter Berechtigungen kann praktisch sein, ebenso wie bei der reinen Vergabe von Einzelberechtigungen ist aber auch hier darauf zu achten, dass sich kritische Berechtigungen nicht bei einzelnen Personen häufen.
Dynamische Berechtigungen
Dynamische Berechtigungen werden häufig in großen Unternehmen vergeben, die eine hohe Anzahl von Mitarbeitern und eine komplexe IT-Infrastruktur haben. Sie eignen sich besonders dafür, Mitarbeitern auf Basis besonderer Ereignisse (Beförderung / Abteilungswechsel) automatisiert neue Rollen zuzuweisen.
Gleichzeitig sind sie ideal, wenn Mitarbeiter etwa nur unter bestimmten Bedingungen (Tageszeit / aktives Projekt) Zutritt oder Zugriff erhalten sollen. Bei gewissenhafter Einrichtung bietet dieses Berechtigungskonzept ein Höchstmaß an Flexibilität und Sicherheit – die Einrichtung selbst ist jedoch sehr komplex.
Individuelle Berechtigungskonzepte bieten im Zusammenspiel mit modularen Sicherheitslösungen wie Access-Control-Systemen die Möglichkeit, Unternehmen wirkungsvoll vor unberechtigten Zutritten oder Zugriffen zu schützen. Dabei muss zunächst entschieden werden, wo (an welchem Terminal), wann (basierend auf Ausweis-/ Zutrittsmodell) und wer (Personal-/ Ausweisnummer) der Zutritt erfolgen soll.
Zutrittsberechtigungen
Über in einem System hinterlegte Zugangsberechtigungen (nach Gruppen / Rollen) lässt sich der Zutritt zu einzelnen Räumen, dem Gebäudekomplex oder dem gesamten Firmengelände effektiv regulieren. Häufig werden solche Zutrittssysteme zudem mit Zugangskarten, Transpondern oder modernen Mobile Access-Lösungen (Smartphone / Wearable) kombiniert.
Die Flexibilität dieser Systeme ist dabei nicht nur praktisch für Mitarbeiter: Ist das hauseigene Besuchermanagement in das Berechtigungskonzept integriert, lassen sich auch einmalige bzw. zeitlich limitierte Zutrittsberechtigungen für Besuchergruppen generieren.
Zonenbasierte Berechtigungen
Mithilfe entsprechender Access-Control-Software und dafür benötigten Hardware-Komponenten wie Zutrittsleser oder Zutrittskontrolleinheiten können Gebäude oder Anlagen in Teilbereiche oder Zonen aufgeteilt werden, für die sich anschließend separate Berechtigungen definieren lassen. So erhalten Mitarbeiter in der Rolle „Office-Team“ beispielsweise nur Zutritt zu Büroräumen, Personen mit der Rolle „IT-Team“ Zugang zu allen Büro- und Serverräumen und Mitarbeiter der Zutrittsgruppe „Logistik“ nur zu den Lagerräumen.
Da für jede Rolle spezifisch hinterlegt ist, zu welchen Bereichen diese Zugang braucht, sind bei korrekter Einrichtung des Systems sicherheitsrelevante Vorfälle durch unbefugte Personen nahezu ausgeschlossen.
Zeitbasierte Zutrittssteuerung
Bei einer zeitbasierten Zutrittssteuerung können Mitarbeiter bestimmte Bereiche / Areale nur innerhalb gewisser Zeiträume betreten. Das System prüft dabei, ob ein Mitarbeiter für den entsprechenden Zeitraum berechtigt ist. Wenn dieser um 7:30 Uhr seine RFID-Chipkarte nutzt, um eine Tür zu öffnen und die Berechtigung zwischen 7:00 und 18:00 Uhr vorliegt, kann der Mitarbeiter eintreten. Sind Leser am Ein- und Ausgang platziert, kann sogar geprüft werden, ob die Person das Gebäude wieder verlassen hat. So lassen sich im Notfall z.B. Anwesenheiten mittels einer Evakuierungsliste nachvollziehen.
Ereignisbasierte Zutrittssteuerung
Innerhalb der Software können besondere Ereignisse definiert werden. Treten diese ein, setzen sie spezielle Regelungen in Kraft. So lassen sich etwa im Falle eines Feueralarms bestimmte Türen entriegeln, was eine schnelle Evakuierung erleichtert. Andererseits kann ein vorab definierter Sicherheitsvorfall dazu führen, dass Türen in bestimmten Bereichen sich mithilfe einer elektronische Schließanlage nicht mehr öffnen lassen.
Die Daten von Mitarbeitern können mithilfe geeigneter Software-Lösungen ebenfalls wirkungsvoll gegen unberechtigten Zugriff gesichert werden.
Software-Berechtigungen / Employee-Self-Service
Über ein Rollen- und Berechtigungskonzept lassen sich Software-Zugriffsrechte sehr präzise steuern. So können Mitarbeiter etwa in einer Anwendung Zugriff auf für sie relevante Daten und Funktionen erhalten, etwa für die Urlaubsplanung oder die eigene Zeiterfassung. Dies kann etwa über ein Employee-Self-Service-Portal geschehen, über das Mitarbeiter unkompliziert ihre eigenen Daten verwalten.
Gleichzeitig sind über das Berechtigungskonzept weitere Zugriffsrechte für Leitungs- und Führungskräfte hinterlegt, die über die identische Software umfassenden Zugriff auf Auswertungs- und Analysefunktionen innerhalb der Personalcontrolling-Software erhalten. Diese Funktionen nutzen die Personalverantwortlichen wiederum für die Personaleinsatzplanung oder artverwandte Planungsaufgaben.
DE: +49 . 201 • 61 30 00
CH: +41 . 41 • 544 66 00
Zum Kontaktformular