2022/4 | Fachbeitrag | Digitalisierung

Personalisierter, autorisierter Zugang zu Informationen - mit dem Need-to-know-Prinzip

Die tägliche Datenflut hat viele negative Folgen. Zwei Konsequenzen stechen jedoch als besonders nachteilig und gefährlich heraus: Erstens überfordert sie viele Menschen mit einer Unmenge für sie unnötiger Daten, aus denen sie relevante Informationen erst mühsam und zeitaufwändig herausfiltern müssen. Und zweitens birgt sie enorme Sicherheitsrisiken, weil häufig vertrauliche oder sicherheitsrelevante Informationen mangels gezielter Zugangssteuerung an unbefugte Personen gelangen. Beide Klippen können mit dem Need-to-know-Prinzip elegant umschifft werden. Dabei sorgt ein cleveres Berechtigungsmanagement dafür, dass nur genau die Daten und Informationen zugänglich sind, für die das jeweilige Nutzerprofil autorisiert ist.

Bildquelle: (C) Gerd Altmann / Pixabay

Die wichtigsten Voraussetzungen für das Need-to-Know-Prinzip im Überblick:

  1. Compliance liefert die Vorgaben: Die Definition der Nutzerprofile ist typischerweise die Aufgabe der Compliance-Abteilung. Hier wird für jeden Mitarbeiter, oder gegebenenfalls auch Partner oder Zulieferer, festgelegt, zu welchen Informations-Pools er Zugang erhält - und zu welchen nicht.
  2. Zugriffsrechte im Directory Management: Diese Vorgaben werden dann im Directory Management in Form rollenbasierter Zugriffsrechte umgesetzt. Die Nutzerrollen können nicht nur personenbezogen, sondern auch übergreifend für Teams oder Abteilungen vorgenommen werden.
  3. Flexibles Identity Management: Da sich die Rollen häufig verändern, ist ein flexibles, automatisiertes Identity Management Voraussetzung dafür, die Berechtigungen stets up-to-date zu halten. Ohne diese Automatismen sind laufende Änderungen und Innovationen sonst nicht mehr zu bewältigen.
  4. Berechtigungen auf Datenbank-Ebene: Die Zugriffsrechte auf die Daten erfolgen auf Field-Level, also konkret auf Felder in relationalen Datenbanken. Bei objektorientierten NoSQL- oder Cloud-Databases ist dies schwieriger zu regeln, da sie nicht mit Tabellenfunktionen arbeiten.
  5. Continuous Delivery Concepts: In verteilten Umgebungen müssen die Berechtigungsprofile der verschiedenen Instanzen plattform-agnostisch verwaltet und jederzeit synchron gehalten werden. Voraussetzung dafür ist eine gespiegelte Deployment-Strategie, die automatisiert aktualisiert wird.

"Das Need-to-know-Prinzip verbindet Datensicherheit mit der Ökonomie des Wissens. Es entlastet Anwender, Administratoren und Compliance-Abteilungen gleichermaßen", erklärt Andrea Wörrlein, Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. "Nutzer bekommen nur den Zugang zu für sie relevanten Informationen, wodurch sie gezielter und effizienter arbeiten können. Compliance-Abteilungen können schon im Vorfeld die Zugangsberechtigungen zu sicherheitskritischen Daten definieren und unberechtigte Zugriffe unterbinden, und Administratoren fällt es leichter, diese Vorgaben schnell und effizient umzusetzen."


Die Autorin:

Andrea Wörrlein ist Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. VNC ist ein globales Software-Unternehmen, das Open-Source-basierte Anwendungen für die Kommunikation und Kollaboration in großen Unternehmen entwickelt.

Bildquelle: (C) VNC

Web: vnclagoon.com

Diese Artikel könnten Sie auch interessieren

KI – ein Game Changer im HR- und Bildungsbereich?

WISSENplus
Die Weiterbildungsbranche steht an der Schwelle einer beispiellosen Revolution, in der die Künstliche Intelligenz (KI) das individuelle Lernen neu definieren und gestalten wird. Obwohl eine genaue KI-Definition noch fehlt, erleben wir bereits heute, wie generative KI-Systeme beeindruckend mit Menschen interagieren und für sie komplexe Aufgaben mit einer bisher unvorstellbaren Präzision und Geschwin...

Weiterlesen

ISO 27001: In 6 Schritten zur Sicherheitszertifizierung

WISSENplus
Unternehmen, die sich erfolgreich nach ISO 27001 zertifizieren wollen, müssen alle für die Informationssicherheit relevanten Prozesse genau festgelegt haben - beginnend beim Anwendungsbereich des Information Security Management Systems (ISMS) über die Klassifizierung von Informationen bis hin zum Umgang mit Vorfällen, die den Geschäftsbetrieb nachhaltig unterbrechen können. Außerdem gilt es, e...

Weiterlesen

Von der Bedrohungsanalyse zur Security-Strategie

WISSENplus
Die Angriffsmethoden der Cyberkriminellen werden immer raffinierter. Gleichzeitig stellt die hohe Anzahl an entdeckten Schwachstellen in IT-Systemen ein enormes Sicherheitsrisiko dar. Angesichts dieser Bedrohungslage gewinnt der Security-by-Design-Ansatz an Bedeutung. Keinesfalls dürfen Unternehmen diesen Gedanken jedoch auf die Entwicklung einzelner IT-Systeme reduzieren - die Architektur der Infra...

Weiterlesen

KI im Mittelstand: Mythen und Fakten

Der Einsatz von KI-Lösungen ist heute ein allgegenwärtiges Thema. Für deren Einführung müssen Unternehmen einige Voraussetzungen erfüllen. Diese betreffen nicht nur die IT-Landschaft und die Vorbereitung der Organisation. Ein weiterer wesentlicher Aspekt ist es, die eigenen Mitarbeiter von den Vorteilen solcher Lösungen zu überzeugen. Denn gerade in kleinen und mittleren Unternehmen (KMU) haben sic...

Weiterlesen

25 Jahre Wissensmanagement – ein persönlicher Rückblick und Ausblick

Reutlingen, September 1999: Die erste Ausgabe von "Wissensmanagement - Das Magazin für Führungskräfte" lag vor mir auf meinem Schreibtisch. Es war der Abschluss einer intensiven Vorbereitungsphase und der Start in ein aus damaliger Sicht ungewisses Projekt. Welches Standing hatte das Wissensmanagement damals? Was hat sich in den 25 Jahren getan? Und wo geht die Reise heute hin?...

Weiterlesen

Drohender Wissensverlust: So beugen Sie vor!

WISSENplus
Die Arbeitswelt befindet sich in einem stetigen Wandel: Mitarbeitende kommen und gehen, und mit ihnen auch wertvolles Wissen. Der Gallup Engagement Index 2023 zeigt, dass die Zahl der emotional ungebundenen Mitarbeitenden in Deutschland auf dem höchsten Stand seit 2012 ist. Fast die Hälfte - 45 Prozent - der deutschen Arbeitnehmenden ist entweder aktiv auf der Suche nach einem neuen Arbeitsplatz ode...

Weiterlesen

Digital Twins: Was sie leisten können – und welche Rolle KI dabei spielt

WISSENplus
Digitale Zwillinge ermöglichen die virtuelle Simulation von Systemen, Maschinen oder sogar realen Fabriken, ohne dass die Produktionsanlagen gestoppt werden müssen. Mit dem Einsatz digitaler Zwillinge können selbst große Systeme als Ganzes getestet werden. Für Unternehmen bedeuten sie mehr Sicherheit und Zuverlässigkeit: Denn durch die Anwendung eines digitalen Zwillings können Produktionsproze...

Weiterlesen