Die tägliche Datenflut hat viele negative Folgen. Zwei Konsequenzen stechen jedoch als besonders nachteilig und gefährlich heraus: Erstens überfordert sie viele Menschen mit einer Unmenge für sie unnötiger Daten, aus denen sie relevante Informationen erst mühsam und zeitaufwändig herausfiltern müssen. Und zweitens birgt sie enorme Sicherheitsrisiken, weil häufig vertrauliche oder sicherheitsrelevante Informationen mangels gezielter Zugangssteuerung an unbefugte Personen gelangen. Beide Klippen können mit dem Need-to-know-Prinzip elegant umschifft werden. Dabei sorgt ein cleveres Berechtigungsmanagement dafür, dass nur genau die Daten und Informationen zugänglich sind, für die das jeweilige Nutzerprofil autorisiert ist.
Bildquelle: (C) Gerd Altmann / Pixabay
Die wichtigsten Voraussetzungen für das Need-to-Know-Prinzip im Überblick:
Compliance liefert die Vorgaben: Die Definition der Nutzerprofile ist typischerweise die Aufgabe der Compliance-Abteilung. Hier wird für jeden Mitarbeiter, oder gegebenenfalls auch Partner oder Zulieferer, festgelegt, zu welchen Informations-Pools er Zugang erhält - und zu welchen nicht.
Zugriffsrechte im Directory Management: Diese Vorgaben werden dann im Directory Management in Form rollenbasierter Zugriffsrechte umgesetzt. Die Nutzerrollen können nicht nur personenbezogen, sondern auch übergreifend für Teams oder Abteilungen vorgenommen werden.
Flexibles Identity Management: Da sich die Rollen häufig verändern, ist ein flexibles, automatisiertes Identity Management Voraussetzung dafür, die Berechtigungen stets up-to-date zu halten. Ohne diese Automatismen sind laufende Änderungen und Innovationen sonst nicht mehr zu bewältigen.
Berechtigungen auf Datenbank-Ebene: Die Zugriffsrechte auf die Daten erfolgen auf Field-Level, also konkret auf Felder in relationalen Datenbanken. Bei objektorientierten NoSQL- oder Cloud-Databases ist dies schwieriger zu regeln, da sie nicht mit Tabellenfunktionen arbeiten.
Continuous Delivery Concepts: In verteilten Umgebungen müssen die Berechtigungsprofile der verschiedenen Instanzen plattform-agnostisch verwaltet und jederzeit synchron gehalten werden. Voraussetzung dafür ist eine gespiegelte Deployment-Strategie, die automatisiert aktualisiert wird.
"Das Need-to-know-Prinzip verbindet Datensicherheit mit der Ökonomie des Wissens. Es entlastet Anwender, Administratoren und Compliance-Abteilungen gleichermaßen", erklärt Andrea Wörrlein, Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. "Nutzer bekommen nur den Zugang zu für sie relevanten Informationen, wodurch sie gezielter und effizienter arbeiten können. Compliance-Abteilungen können schon im Vorfeld die Zugangsberechtigungen zu sicherheitskritischen Daten definieren und unberechtigte Zugriffe unterbinden, und Administratoren fällt es leichter, diese Vorgaben schnell und effizient umzusetzen."
Die Autorin:
Andrea Wörrlein ist Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. VNC ist ein globales Software-Unternehmen, das Open-Source-basierte Anwendungen für die Kommunikation und Kollaboration in großen Unternehmen entwickelt.
Wie digitale Tools dazu beitragen, dass Wissensarbeitende nicht in der Verwaltung der Arbeit mit der Arbeit ("work about work") untergehen, sondern sie zu neuen Ufern unendlicher Schaffensfreude und Kreativität aufbrechen lässt. ...
An der Digitalisierung kommt keine Organisation mehr vorbei. Und auch Wissensmanagement ist mittlerweile alternativlos geworden. Andernfalls drohen weitreichende Konsequenzen: Dem War for Talents lässt sich ohne entsprechende Maßnahmen ebenso wenig standhalten wie dem immer stärker werdenden Wettbewerb. Diese Erkenntnis hat sich mittlerweile fast flächendeckend durchgesetzt. Doch obwohl die Gefahr...
Viele Unternehmen haben die Relevanz von Cybersecurity erkannt. Denn grundsätzlich kann heute jedes Unternehmen zum Ziel eines Cyberangriffs werden - etwa durch Ransomware, die im Rahmen eines Erpressungsversuchs Unternehmensdaten verschlüsselt. Gerade diese Form von Cyberangriffen wird in der Regel breit gestreut: Statt ein spezifisches Unternehmen ins Visier zu nehmen, warten die Angreifer einfach ab, ...
"Wir müssen unsere Mitarbeiter individueller fördern, damit sie kurz-, mittel- und langfristig die gewünschte Leistung erbringen können". Das haben viele Organisationen erkannt. Und es spiegelt sich inzwischen zum Teil auch in ihren Vergütungssystemen wider. "Zwischen den Angehörigen von Profit- und Non-Profit-Organisationen bestehen noch viele wechselseitige Vorurteile und Vorbeha...
Immer häufiger erkennen Unternehmen, dass Consumer Apps wie WhatsApp, Telegram und Signal weder die erforderlichen DSGVO-Standards abdecken noch spezifische Messenger-Funktionen für die berufliche Kommunikation abbilden können. Auf der Suche nach einer Business Messenger-Lösung, treffen Unternehmen sowohl auf Open-Source- als auch auf Out-of-the-box-Lösungen - wie es eben auf dem Software-as-a-S...
Die Einführung eines Enterprise-Resource-Planning-Systems (ERP) ist ein langfristiges und ressourcenaufwändiges Projekt. Neben den bekannten Vorteilen eines modernen ERP-Systems, wie der Möglichkeit zur Prozessoptimierung und der Zentralisierung verschiedener Geschäftsfelder, ist der offensichtlichste Grund für die Einführung von S/4HANA (S/4) das Supportende der alten SAP-Systeme bis spätesten...
Vielen Büroarbeitern reicht es: Sie haben das Homeoffice satt. Zuhause am Schreibtisch im Schlafzimmer kauern und die Kinder ermahnen, still zu sein, damit Mama in Ruhe telefonieren oder Papa konzentriert ein Protokoll lesen kann, zermürbt. Doch was ist die Alternative? Zurück ins Büro pendeln und seien es auch nur drei Tage in der Woche, überzeugt auf Dauer nicht. Schließlich schont jeder nicht gefa...
Deutschland ist bekannt für seine starken Arbeitnehmerrechte: Kündigungsschutz, Mindesturlaub und festgelegte Ruhezeiten sind nur einige der Beispiele, die den Arbeitnehmern rechtlich den Rücken stärken. Auch die informationelle Selbstbestimmung und Privatsphäre der Beschäftigten sind geschützt - besonders durch die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz. Diese schr...