Die tägliche Datenflut hat viele negative Folgen. Zwei Konsequenzen stechen jedoch als besonders nachteilig und gefährlich heraus: Erstens überfordert sie viele Menschen mit einer Unmenge für sie unnötiger Daten, aus denen sie relevante Informationen erst mühsam und zeitaufwändig herausfiltern müssen. Und zweitens birgt sie enorme Sicherheitsrisiken, weil häufig vertrauliche oder sicherheitsrelevante Informationen mangels gezielter Zugangssteuerung an unbefugte Personen gelangen. Beide Klippen können mit dem Need-to-know-Prinzip elegant umschifft werden. Dabei sorgt ein cleveres Berechtigungsmanagement dafür, dass nur genau die Daten und Informationen zugänglich sind, für die das jeweilige Nutzerprofil autorisiert ist.
Bildquelle: (C) Gerd Altmann / Pixabay
Die wichtigsten Voraussetzungen für das Need-to-Know-Prinzip im Überblick:
Compliance liefert die Vorgaben: Die Definition der Nutzerprofile ist typischerweise die Aufgabe der Compliance-Abteilung. Hier wird für jeden Mitarbeiter, oder gegebenenfalls auch Partner oder Zulieferer, festgelegt, zu welchen Informations-Pools er Zugang erhält - und zu welchen nicht.
Zugriffsrechte im Directory Management: Diese Vorgaben werden dann im Directory Management in Form rollenbasierter Zugriffsrechte umgesetzt. Die Nutzerrollen können nicht nur personenbezogen, sondern auch übergreifend für Teams oder Abteilungen vorgenommen werden.
Flexibles Identity Management: Da sich die Rollen häufig verändern, ist ein flexibles, automatisiertes Identity Management Voraussetzung dafür, die Berechtigungen stets up-to-date zu halten. Ohne diese Automatismen sind laufende Änderungen und Innovationen sonst nicht mehr zu bewältigen.
Berechtigungen auf Datenbank-Ebene: Die Zugriffsrechte auf die Daten erfolgen auf Field-Level, also konkret auf Felder in relationalen Datenbanken. Bei objektorientierten NoSQL- oder Cloud-Databases ist dies schwieriger zu regeln, da sie nicht mit Tabellenfunktionen arbeiten.
Continuous Delivery Concepts: In verteilten Umgebungen müssen die Berechtigungsprofile der verschiedenen Instanzen plattform-agnostisch verwaltet und jederzeit synchron gehalten werden. Voraussetzung dafür ist eine gespiegelte Deployment-Strategie, die automatisiert aktualisiert wird.
"Das Need-to-know-Prinzip verbindet Datensicherheit mit der Ökonomie des Wissens. Es entlastet Anwender, Administratoren und Compliance-Abteilungen gleichermaßen", erklärt Andrea Wörrlein, Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. "Nutzer bekommen nur den Zugang zu für sie relevanten Informationen, wodurch sie gezielter und effizienter arbeiten können. Compliance-Abteilungen können schon im Vorfeld die Zugangsberechtigungen zu sicherheitskritischen Daten definieren und unberechtigte Zugriffe unterbinden, und Administratoren fällt es leichter, diese Vorgaben schnell und effizient umzusetzen."
Die Autorin:
Andrea Wörrlein ist Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. VNC ist ein globales Software-Unternehmen, das Open-Source-basierte Anwendungen für die Kommunikation und Kollaboration in großen Unternehmen entwickelt.
Eine renommierte, deutsche Fluglinie stand vor einer spannenden Aufgabe: Es galt, ein Informationssicherheits-Managementsystem (ISMS) einzuführen, das sowohl den Vorgaben des übergeordneten Konzerns als auch den gesetzlichen Anforderungen der EU für die Luftfahrtbranche entspricht. Ziel war es dabei insbesondere, das Risikomanagement der Informationssicherheit mit dem der Flugsicherheit zu verknüpf...
Generative KI, Agentic AI und Physical AI bringen frischen Wind in die Industrie. Während klassische KI längst für Predictive Maintenance und Qualitätskontrolle eingesetzt wird, eröffnen diese Technologien ganz neue Möglichkeiten entlang des gesamten Fertigungsprozesses - von der Konstruktion über den laufenden Betrieb bis hin zur Mensch-Roboter-Interaktion. Doch welche Einsatzszenarien sind fü...
In der heutigen digitalisierten Wirtschaft unterstützt Technologie nicht nur das Geschäft - sie ist das Geschäft. Die Aufgaben des Chief Information Officers (CIO) haben sich daher vom Management von Systemen und Infrastrukturen hin zur Gestaltung von Strategien und zur Förderung der Transformation von Unternehmen entwickelt. Jedes Unternehmen ist heute auf digitale Fähigkeiten angewiesen, um zu a...
Viele Intranet-Projekte scheitern an zu großem Anspruch bei unklarer Planung. Ein klar strukturierter 16-Wochen-Fahrplan hilft dabei, die richtigen Schritte in der richtigen Reihenfolge zu gehen - von der Anforderungsaufnahme über den Aufbau redaktioneller Strukturen bis zum Go-live. Ein Praxisbeispiel aus der Medienbranche macht deutlich, wie technische Umsetzung und organisatorischer Wandel zusamme...
Transformation beginnt stets bei den Menschen und einer auf Transformation ausgerichteten Unternehmenskultur. Das zeigt das Beispiel eines Unternehmens, das sich von einer hierarchisch strukturierten Organisation zu einem matrixstrukturierten Unternehmen transformieren will, in dem die Mitarbeitenden eigenverantwortlich und selbstbestimmt agieren....
KI ist mittlerweile in den meisten Unternehmen angekommen. Doch obwohl sie Tools schnell einführen, bleiben klare Regeln, Sicherheitskonzepte und Verantwortlichkeiten oft auf der Strecke. So kommt es, dass hiesige Organisationen auch 2026 noch weit weg vom Status "AI Ready" sind....
Neue Technologien bringen stets zusätzliche Risiken mit sich, die verstärkte Investitionen in die IT-Sicherheit erfordern. Das ist bei KI nicht anders. Allerdings birgt sie gleichzeitig auch enormes Potenzial für neue, ausgefeilte Abwehrmechanismen mit hohem Automatisierungsgrad....
Die disruptive Einführung generativer Künstlicher Intelligenz - allen voran durch Dienste wie ChatGPT - hat die IT- und Cybersicherheitslandschaft in den vergangenen zwei Jahren grundlegend verändert. Was zunächst als experimentelles Tool begann, ist heute ein strategischer Bestandteil moderner Sicherheitsarchitekturen. Gleichzeitig hat die stetig wachsende digitale Komplexität in Unternehmen ein...
Das Magazin für Digitalisierung, Vernetzung & Collaboration
Cookie Einstellungen
Wir verwenden Cookies, um Ihre Erfahrung zu verbessern. Wählen Sie aus, welche Cookies Sie zulassen möchten. Sie können Ihre Auswahl jederzeit in unserer Datenschutzerklärung ändern.
Andrea Wörrlein ist Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. VNC ist ein globales Software-Unternehmen, das Open-Source-basierte Anwendungen für die Kommunikation und Kollaboration in großen Unternehmen entwickelt.