Berechtigungskonzepte

Ein Berechtigungskonzept unterstützt Sie dabei, abzubilden, welche Zugriffe in welchen Bereichen erlaubt sind. Erfassen Sie alle Anwender/Nutzer, Geräte und Anwendungen und berücksichtigen Sie hierbei auch externe Dienstleister. Definieren Sie die einzelnen Berechtigungen, damit jede Person, jedes Gerät und jede Anwendung, die Zugriff auf personenbezogene Daten bekommen soll (oder bereits hat) eindeutig identifizierbar ist.

Bei den Zugriffsrechten ist es leider nicht ausreichend zu dokumentieren, ob ein Zugriff erlaubt ist oder nicht. Zu unterscheiden sind:

• Keine Berechtigung (weder erstellen, noch lesen oder ändern)

• Lesen (Daten nur lesen)

• Erstellen (Daten erfassen)

• Ändern (Daten erfassen, bearbeiten sowie löschen)

• alle Rechte (Vollzugriff auf Daten)

Damit das Berechtigungskonzept beherrschbar bleibt, ohne lückenhaft zu sein, sind Rollenkonzepte empfehlenswert. Die Idee dahinter ist, dass mehrere Nutzer, die die gleichen Aufgaben und damit die gleichen Rollen im Unternehmen haben, die gleichen Berechtigungen benötigen. Statt für jeden Nutzer die Berechtigungen erneut zu definieren, erhalten die Rollen den entsprechenden Satz an Berechtigungen. Die Nutzer werden dann den Rollen zugeordnet. Entscheidend ist, die Berechtigungen auf Widersprüche zu überprüfen. Das gilt besonders, wenn Nutzer verschiedene Rollen gleichzeitig ausüben. Zudem ist die Rollenzuordnung sowohl in Bezug auf den Nutzer als auch hinsichtlich der Berechtigungen regelmäßig auf Aktualität und Vollständigkeit zu überprüfen. Nicht zu empfehlen ist es, Gruppenidentitäten zu bilden. So haben Sie keine Information, welcher Nutzer zur Gruppe gehört. Verschiedene Nutzer erhalten dann Gruppenberechtigungen und lassen sich nicht mehr unterscheiden.

Das Berechtigungskonzept muss sowohl von der Definition her als auch von der technischen Umsetzung getestet und überprüft werden. Bitte prüfen Sie hier insbesondere Ausnahmen und Berechtigungen, die nicht zeitlich befristet wurden.