2022/4 | Fachbeitrag | Digitalisierung

Personalisierter, autorisierter Zugang zu Informationen - mit dem Need-to-know-Prinzip

Die tägliche Datenflut hat viele negative Folgen. Zwei Konsequenzen stechen jedoch als besonders nachteilig und gefährlich heraus: Erstens überfordert sie viele Menschen mit einer Unmenge für sie unnötiger Daten, aus denen sie relevante Informationen erst mühsam und zeitaufwändig herausfiltern müssen. Und zweitens birgt sie enorme Sicherheitsrisiken, weil häufig vertrauliche oder sicherheitsrelevante Informationen mangels gezielter Zugangssteuerung an unbefugte Personen gelangen. Beide Klippen können mit dem Need-to-know-Prinzip elegant umschifft werden. Dabei sorgt ein cleveres Berechtigungsmanagement dafür, dass nur genau die Daten und Informationen zugänglich sind, für die das jeweilige Nutzerprofil autorisiert ist.

Bildquelle: (C) Gerd Altmann / Pixabay

Die wichtigsten Voraussetzungen für das Need-to-Know-Prinzip im Überblick:

  1. Compliance liefert die Vorgaben: Die Definition der Nutzerprofile ist typischerweise die Aufgabe der Compliance-Abteilung. Hier wird für jeden Mitarbeiter, oder gegebenenfalls auch Partner oder Zulieferer, festgelegt, zu welchen Informations-Pools er Zugang erhält - und zu welchen nicht.
  2. Zugriffsrechte im Directory Management: Diese Vorgaben werden dann im Directory Management in Form rollenbasierter Zugriffsrechte umgesetzt. Die Nutzerrollen können nicht nur personenbezogen, sondern auch übergreifend für Teams oder Abteilungen vorgenommen werden.
  3. Flexibles Identity Management: Da sich die Rollen häufig verändern, ist ein flexibles, automatisiertes Identity Management Voraussetzung dafür, die Berechtigungen stets up-to-date zu halten. Ohne diese Automatismen sind laufende Änderungen und Innovationen sonst nicht mehr zu bewältigen.
  4. Berechtigungen auf Datenbank-Ebene: Die Zugriffsrechte auf die Daten erfolgen auf Field-Level, also konkret auf Felder in relationalen Datenbanken. Bei objektorientierten NoSQL- oder Cloud-Databases ist dies schwieriger zu regeln, da sie nicht mit Tabellenfunktionen arbeiten.
  5. Continuous Delivery Concepts: In verteilten Umgebungen müssen die Berechtigungsprofile der verschiedenen Instanzen plattform-agnostisch verwaltet und jederzeit synchron gehalten werden. Voraussetzung dafür ist eine gespiegelte Deployment-Strategie, die automatisiert aktualisiert wird.

"Das Need-to-know-Prinzip verbindet Datensicherheit mit der Ökonomie des Wissens. Es entlastet Anwender, Administratoren und Compliance-Abteilungen gleichermaßen", erklärt Andrea Wörrlein, Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. "Nutzer bekommen nur den Zugang zu für sie relevanten Informationen, wodurch sie gezielter und effizienter arbeiten können. Compliance-Abteilungen können schon im Vorfeld die Zugangsberechtigungen zu sicherheitskritischen Daten definieren und unberechtigte Zugriffe unterbinden, und Administratoren fällt es leichter, diese Vorgaben schnell und effizient umzusetzen."


Die Autorin:

Andrea Wörrlein ist Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. VNC ist ein globales Software-Unternehmen, das Open-Source-basierte Anwendungen für die Kommunikation und Kollaboration in großen Unternehmen entwickelt.

Bildquelle: (C) VNC

Web: vnclagoon.com

Diese Artikel könnten Sie auch interessieren

RAG katapultiert die Qualität von GenAI auf ein neues Level

WISSENplus
Obwohl Tools wie ChatGPT sehr beliebt und weit verbreitet sind, können die Antworten der generativen KI-Modelle falsch oder veraltet sein. Für den Einsatz im Unternehmensumfeld ist RAG die Lösung für dieses Problem. Die Technologie versorgt das KI-Modell mit aktuellen Informationen und unternehmensinternen Daten. Mit diesem Ansatz sind die generierten Antworten nicht nur aktuell, sondern auch kont...

Weiterlesen

Die nächste Generation des Lernens

WISSENplus
Künstliche Intelligenz wird bereits in vielen Bereichen genutzt, in der Bildung und Weiterbildung jedoch nur vereinzelt, und dann vor allem zum Übersetzen oder Erstellen von Inhalten. Die Technologie kann aber noch viel mehr und könnte das Lernen geradezu revolutionieren....

Weiterlesen

Low-Code wird zur Chefsache und Upskilling kritischer Erfolgsfaktor

WISSENplus
Ob Applikationen mit High-Code oder Low-Code erstellt werden, hat das C-Level bisher nur wenig interessiert - jetzt ändert es sich allerdings: Das enorme Potenzial der Anwendungsentwicklung mit Low-Code hat sich bis in die Chefetagen herumgesprochen, die nun stärker in die Entscheidungsfindung eingebunden sind und in Low-Code sogar die Zukunft der Softwareentwicklung sehen. Dies belegt die Mendix-St...

Weiterlesen

Generationenübergreifend ein attraktiver Arbeitgeber sein

WISSENplus
In den meisten Betrieben arbeiten vier Generationen mit teils unterschiedlichen Werten und Bedürfnissen zusammen. Entsprechend herausfordernd ist es für Unternehmen, für alle Mitarbeitenden ein attraktiver Arbeitgeber zu sein und zu bleiben - speziell, wenn diese viele Joboptionen haben. ...

Weiterlesen

Bildung mit Mehrwert: 10 Handlungsfelder für den Wandel

WISSENplus
Im Räderwerk der ökonomischen und gesellschaftlichen Schicksalsuhr stellt der Ausbildungssektor keine Ausnahme dar. Bildungseinrichtungen müssen auf den Umbruch reagieren und Schulentwicklung ist ein probates Mittel dafür. Sie umfasst den systematischen, zielgerichteten und selbstreflexiven Entwicklungsprozess zur Professionalisierung und kontinuierlichen Verbesserung der Qualität von Ausbildung ...

Weiterlesen

How-to-Anleitung: Chatbots im Personalbereich einsetzen

WISSENplus
KI treibt in einer zunehmenden Vielfalt von Unternehmensbereichen erstaunliche Qualitäts- und Effizienzsteigerungen voran. Gerade auch Chatbots erweisen sich dabei oft als eine immer stärker infrage kommende Option in der Optimierung und Automatisierung von Prozessen. Der Einsatz dieser digitalen Assistenten bietet auch im HR-Bereich zahlreiche Vorteile: Als "Ansprechpartner", die 24/7 die...

Weiterlesen

Microsoft Security: Kostenvorteile gekonnt ausschöpfen

Viele Unternehmen stehen derzeit vor der Herausforderung, ihre Security-Infrastruktur zu modernisieren. Denn die Bedrohungslage im Cyberraum ist so angespannt wie nie zuvor, so der aktuelle BSI-Lagebericht. Cyberkriminelle greifen überall dort an, wo sie mit wenig Aufwand lukrative Beute erzielen können. Dabei setzen sie modernste Technologie ein und wenden immer raffiniertere Methoden an. Beim soge...

Weiterlesen