Die tägliche Datenflut hat viele negative Folgen. Zwei Konsequenzen stechen jedoch als besonders nachteilig und gefährlich heraus: Erstens überfordert sie viele Menschen mit einer Unmenge für sie unnötiger Daten, aus denen sie relevante Informationen erst mühsam und zeitaufwändig herausfiltern müssen. Und zweitens birgt sie enorme Sicherheitsrisiken, weil häufig vertrauliche oder sicherheitsrelevante Informationen mangels gezielter Zugangssteuerung an unbefugte Personen gelangen. Beide Klippen können mit dem Need-to-know-Prinzip elegant umschifft werden. Dabei sorgt ein cleveres Berechtigungsmanagement dafür, dass nur genau die Daten und Informationen zugänglich sind, für die das jeweilige Nutzerprofil autorisiert ist.
Bildquelle: (C) Gerd Altmann / Pixabay
Die wichtigsten Voraussetzungen für das Need-to-Know-Prinzip im Überblick:
Compliance liefert die Vorgaben: Die Definition der Nutzerprofile ist typischerweise die Aufgabe der Compliance-Abteilung. Hier wird für jeden Mitarbeiter, oder gegebenenfalls auch Partner oder Zulieferer, festgelegt, zu welchen Informations-Pools er Zugang erhält - und zu welchen nicht.
Zugriffsrechte im Directory Management: Diese Vorgaben werden dann im Directory Management in Form rollenbasierter Zugriffsrechte umgesetzt. Die Nutzerrollen können nicht nur personenbezogen, sondern auch übergreifend für Teams oder Abteilungen vorgenommen werden.
Flexibles Identity Management: Da sich die Rollen häufig verändern, ist ein flexibles, automatisiertes Identity Management Voraussetzung dafür, die Berechtigungen stets up-to-date zu halten. Ohne diese Automatismen sind laufende Änderungen und Innovationen sonst nicht mehr zu bewältigen.
Berechtigungen auf Datenbank-Ebene: Die Zugriffsrechte auf die Daten erfolgen auf Field-Level, also konkret auf Felder in relationalen Datenbanken. Bei objektorientierten NoSQL- oder Cloud-Databases ist dies schwieriger zu regeln, da sie nicht mit Tabellenfunktionen arbeiten.
Continuous Delivery Concepts: In verteilten Umgebungen müssen die Berechtigungsprofile der verschiedenen Instanzen plattform-agnostisch verwaltet und jederzeit synchron gehalten werden. Voraussetzung dafür ist eine gespiegelte Deployment-Strategie, die automatisiert aktualisiert wird.
"Das Need-to-know-Prinzip verbindet Datensicherheit mit der Ökonomie des Wissens. Es entlastet Anwender, Administratoren und Compliance-Abteilungen gleichermaßen", erklärt Andrea Wörrlein, Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. "Nutzer bekommen nur den Zugang zu für sie relevanten Informationen, wodurch sie gezielter und effizienter arbeiten können. Compliance-Abteilungen können schon im Vorfeld die Zugangsberechtigungen zu sicherheitskritischen Daten definieren und unberechtigte Zugriffe unterbinden, und Administratoren fällt es leichter, diese Vorgaben schnell und effizient umzusetzen."
Die Autorin:
Andrea Wörrlein ist Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. VNC ist ein globales Software-Unternehmen, das Open-Source-basierte Anwendungen für die Kommunikation und Kollaboration in großen Unternehmen entwickelt.
Schon längst ist klar: On-Premise und Hardwareinstallationen in den eigenen Unternehmenswänden sind auslaufende Modelle der IT-Welt. Doch noch immer halten viele Unternehmer und CIOs daran fest, ihre Software innerhalb der eigenen IT-Landschaft zu hosten und Hardware zu kaufen. "Angst vor Kontrollverlust in Bezug auf Daten und Sicherheit ist hier nach wie vor der große Punkt, der Unternehmer erfahrungsge...
Die Ausgangslage für Unternehmen zur Abwehr von Cyberattacken könnte besser sein: Cyberangriffe nehmen zu und werden immer komplexer. Sie spielen sich heute in Wellen ab und dehnen sich über verschiedenste Systeme hinweg aus. Traditionelle Sicherheitsmaßnahmen genügen zur Abwehr nicht mehr und ohne eine entsprechende Lösung stehen IT-Teams den Angriffen wehrlos gegenüber. An dieser Stelle greif...
Nach dem ersten Lockdown im März 2020 begann für viele Profit- und Non-Profit-Organisationen die Wildwest-Zeit des mobilen Arbeitens: Beschäftigte nahmen sich einen Laptop, setzten sich zu Hause auf das Sofa oder in die Küche und begannen zu arbeiten. Dienstlicher oder privater Rechner? Schutz der personenbezogenen Daten? IT-Sicherheit im Homeoffice? Beachtung der Richtlinien zur ergonomischen Ges...
Telefonanahmen, Terminvereinbarungen & Co. stehen in vielen Branchen regelmäßig an - sei es in handwerklichen Berufen, bei Ärzten, Anwälten oder anderen Tätigkeiten, die ein Sekretariat erfordern. Bis heute nehmen viele Chefs den Hörer selbst ab - und reißen sich damit aus ihrem Flow und ihrer wertschöpferischen Arbeit. Häufig gehen sie davon aus, ihr Geschäft sei derart individuell, das...
Bei zentralen Zukunftsfragen wie der Digitalisierung und dem Klimawandel ist die Öffentliche Hand gefordert wie selten zuvor. [1] Die Verwaltung soll digitaler werden, nicht zuletzt für eine kundenorientierte Schnittstelle zu den Bürgern - so möchten es die Bundesregierung, Länder und auch Kommunen. [2] In der Praxis jedoch hinkt der Öffentliche Sektor der Privatwirtschaft deutlich hinterher. Wa...
Immer mehr Verbraucher treten digital mit Unternehmen in Kontakt, um einzukaufen, Bankgeschäfte zu tätigen oder zu bezahlen - seit Beginn der Covid-19-Pandemie nahmen die von Konsumenten getätigten Online-Transaktionen um 20 % zu. Die Umfrageergebnisse des neuesten "Global Identity & Fraud Report 2021" von Experian zeigen, dass Verbraucher nach wie vor großen Wert auf Sicherheit legen, wenn sie online g...
Rund fünf Millionen Beamt*innen sind jeden Tag im Auftrag von Bundesländern, Städten, Landkreisen und Kommunen im Einsatz. Das bedeutet, häufig auch an vielen Orten abseits des Büros tätig zu sein. Für ein reibungsloses, mobiles und ortsunabhängiges Arbeiten ist eine einfache Kommunikation ein absolutes Muss. Hierfür braucht es Kommunikationslösungen, die einerseits für alle Nutzer intuitiv bedie...
Krisen, Konflikte und der Druck zur ständigen Veränderung gehören zum New Normal. Die Lust und Fähigkeit zur Veränderung wird zur Schlüsselkompetenz auf allen Unternehmensebenen. Voraussetzung sind Flexibilität und Anpassungsfähigkeit sowie ein agiles Mindset. Allerdings wird dabei häufig die Reflexion der Frage vergessen, welche Haltung notwendig ist, um Veränderungskompetenz zu entwickeln...
Andrea Wörrlein ist Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. VNC ist ein globales Software-Unternehmen, das Open-Source-basierte Anwendungen für die Kommunikation und Kollaboration in großen Unternehmen entwickelt.