Die tägliche Datenflut hat viele negative Folgen. Zwei Konsequenzen stechen jedoch als besonders nachteilig und gefährlich heraus: Erstens überfordert sie viele Menschen mit einer Unmenge für sie unnötiger Daten, aus denen sie relevante Informationen erst mühsam und zeitaufwändig herausfiltern müssen. Und zweitens birgt sie enorme Sicherheitsrisiken, weil häufig vertrauliche oder sicherheitsrelevante Informationen mangels gezielter Zugangssteuerung an unbefugte Personen gelangen. Beide Klippen können mit dem Need-to-know-Prinzip elegant umschifft werden. Dabei sorgt ein cleveres Berechtigungsmanagement dafür, dass nur genau die Daten und Informationen zugänglich sind, für die das jeweilige Nutzerprofil autorisiert ist.
Bildquelle: (C) Gerd Altmann / Pixabay
Die wichtigsten Voraussetzungen für das Need-to-Know-Prinzip im Überblick:
Compliance liefert die Vorgaben: Die Definition der Nutzerprofile ist typischerweise die Aufgabe der Compliance-Abteilung. Hier wird für jeden Mitarbeiter, oder gegebenenfalls auch Partner oder Zulieferer, festgelegt, zu welchen Informations-Pools er Zugang erhält - und zu welchen nicht.
Zugriffsrechte im Directory Management: Diese Vorgaben werden dann im Directory Management in Form rollenbasierter Zugriffsrechte umgesetzt. Die Nutzerrollen können nicht nur personenbezogen, sondern auch übergreifend für Teams oder Abteilungen vorgenommen werden.
Flexibles Identity Management: Da sich die Rollen häufig verändern, ist ein flexibles, automatisiertes Identity Management Voraussetzung dafür, die Berechtigungen stets up-to-date zu halten. Ohne diese Automatismen sind laufende Änderungen und Innovationen sonst nicht mehr zu bewältigen.
Berechtigungen auf Datenbank-Ebene: Die Zugriffsrechte auf die Daten erfolgen auf Field-Level, also konkret auf Felder in relationalen Datenbanken. Bei objektorientierten NoSQL- oder Cloud-Databases ist dies schwieriger zu regeln, da sie nicht mit Tabellenfunktionen arbeiten.
Continuous Delivery Concepts: In verteilten Umgebungen müssen die Berechtigungsprofile der verschiedenen Instanzen plattform-agnostisch verwaltet und jederzeit synchron gehalten werden. Voraussetzung dafür ist eine gespiegelte Deployment-Strategie, die automatisiert aktualisiert wird.
"Das Need-to-know-Prinzip verbindet Datensicherheit mit der Ökonomie des Wissens. Es entlastet Anwender, Administratoren und Compliance-Abteilungen gleichermaßen", erklärt Andrea Wörrlein, Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. "Nutzer bekommen nur den Zugang zu für sie relevanten Informationen, wodurch sie gezielter und effizienter arbeiten können. Compliance-Abteilungen können schon im Vorfeld die Zugangsberechtigungen zu sicherheitskritischen Daten definieren und unberechtigte Zugriffe unterbinden, und Administratoren fällt es leichter, diese Vorgaben schnell und effizient umzusetzen."
Die Autorin:
Andrea Wörrlein ist Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. VNC ist ein globales Software-Unternehmen, das Open-Source-basierte Anwendungen für die Kommunikation und Kollaboration in großen Unternehmen entwickelt.
Viele Wissensmanager arbeiten hybrid. Derzeit kommen sie im Schnitt 3,2 Tage in der Woche in Büro. Das zeigt eine Umfrage der Immobilienfirma Jones Lang LaSalle. Das soll auch so bleiben - geht es nach den Befragten. 65 Prozent der Beschäftigten in Deutschland wollen auch künftig im Office und zuhause arbeiten - wo möglich. Dabei stehen schon heute in jedem dritten Unternehmen ganze Etagen ungenutzt le...
Die Angriffsmethoden der Cyberkriminellen werden immer raffinierter. Gleichzeitig stellt die hohe Anzahl an entdeckten Schwachstellen in IT-Systemen ein enormes Sicherheitsrisiko dar. Angesichts dieser Bedrohungslage gewinnt der Security-by-Design-Ansatz an Bedeutung. Keinesfalls dürfen Unternehmen diesen Gedanken jedoch auf die Entwicklung einzelner IT-Systeme reduzieren - die Architektur der Infra...
Im Alltag haben wir es überwiegend mit Bildschirmen und Maschinen zu tun. Der persönliche Kontakt oder die Interaktion mit Menschen sinkt Schritt für Schritt. Sei es beim Self-Checkout an der Kasse, bei der Gepäckaufgabe am Flughafen oder der Bezahlung des Taxis. Doch was für viele im privaten Umfeld selbstverständlich geworden ist, gilt nicht zwingend im Business-Kontext. Vor allem nicht bei kleinen...
In den vergangenen Jahren wurde bereits viel über den Einsatz von künstlicher Intelligenz (KI) für die Verbesserung einer organisationsinternen Suche berichtet. Die Anwendungsfälle solcher Lösungen reichen von der Website-Suche über die Unterstützung des Kundenservice bis hin zum Wissensmanagement. Diese Anwendungen basieren meist auf der Auswertung mehrerer Informationsquellen, müssen Zugrif...
Viele Unternehmen ahnen nicht, welche ungenutzten Potenziale in ihnen schlummern: in den Führungskräften und Mitarbeitenden, in deren Kompetenzen, in den Prozessen und Abläufen, in den Führungsstrukturen. So kommt es zur Potenzialvergeudung, manchmal sogar zur Potenzialvernichtung. Und das allein aufgrund der Tatsache, dass die Entscheider in den Firmen keinen oder nur einen unzureichenden Überbl...
Kubernetes hat die Orchestrierung von Containern beherrschbar gemacht. Die Bedienung der Open-Source-Plattform ist allerdings keinesfalls trivial. Die hohe Komplexität verführt im praktischen Einsatz selbst Experten zu Fehlern. Die Folgen können gravierend sein - sind aber vermeidbar. ...
Der Hype um ChatGPT veranlasst viele Unternehmen, KI-Anwendungen zu implementieren, um möglichst schnell das umfassende Potenzial von KI zu nutzen. Sie zielen zum Beispiel auf eine Effizienzsteigerung, eine Entlastung der Mitarbeiterinnen und Mitarbeiter oder eine Verbesserung des Kundenservices ab. Weitere Anwendungsszenarien betreffen neuartige Datenanalysen oder ein optimiertes Risikomanagement. Projek...
Risiken gehören zum Unternehmensalltag - ob extern oder intern, wirtschaftlich oder strategisch, rechtlich oder finanziell. Peter Drucker, Wirtschaftsvordenker und Ur-Vater des Wissensmanagements, sagte einmal "Es gibt Risiken, die einzugehen du dir nicht leisten kannst und es gibt Risiken, die nicht einzugehen du dir nicht leisten kannst!". Neben der Weisheit, das eine vom anderen zu unter...
Andrea Wörrlein ist Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. VNC ist ein globales Software-Unternehmen, das Open-Source-basierte Anwendungen für die Kommunikation und Kollaboration in großen Unternehmen entwickelt.