Die tägliche Datenflut hat viele negative Folgen. Zwei Konsequenzen stechen jedoch als besonders nachteilig und gefährlich heraus: Erstens überfordert sie viele Menschen mit einer Unmenge für sie unnötiger Daten, aus denen sie relevante Informationen erst mühsam und zeitaufwändig herausfiltern müssen. Und zweitens birgt sie enorme Sicherheitsrisiken, weil häufig vertrauliche oder sicherheitsrelevante Informationen mangels gezielter Zugangssteuerung an unbefugte Personen gelangen. Beide Klippen können mit dem Need-to-know-Prinzip elegant umschifft werden. Dabei sorgt ein cleveres Berechtigungsmanagement dafür, dass nur genau die Daten und Informationen zugänglich sind, für die das jeweilige Nutzerprofil autorisiert ist.
Bildquelle: (C) Gerd Altmann / Pixabay
Die wichtigsten Voraussetzungen für das Need-to-Know-Prinzip im Überblick:
Compliance liefert die Vorgaben: Die Definition der Nutzerprofile ist typischerweise die Aufgabe der Compliance-Abteilung. Hier wird für jeden Mitarbeiter, oder gegebenenfalls auch Partner oder Zulieferer, festgelegt, zu welchen Informations-Pools er Zugang erhält - und zu welchen nicht.
Zugriffsrechte im Directory Management: Diese Vorgaben werden dann im Directory Management in Form rollenbasierter Zugriffsrechte umgesetzt. Die Nutzerrollen können nicht nur personenbezogen, sondern auch übergreifend für Teams oder Abteilungen vorgenommen werden.
Flexibles Identity Management: Da sich die Rollen häufig verändern, ist ein flexibles, automatisiertes Identity Management Voraussetzung dafür, die Berechtigungen stets up-to-date zu halten. Ohne diese Automatismen sind laufende Änderungen und Innovationen sonst nicht mehr zu bewältigen.
Berechtigungen auf Datenbank-Ebene: Die Zugriffsrechte auf die Daten erfolgen auf Field-Level, also konkret auf Felder in relationalen Datenbanken. Bei objektorientierten NoSQL- oder Cloud-Databases ist dies schwieriger zu regeln, da sie nicht mit Tabellenfunktionen arbeiten.
Continuous Delivery Concepts: In verteilten Umgebungen müssen die Berechtigungsprofile der verschiedenen Instanzen plattform-agnostisch verwaltet und jederzeit synchron gehalten werden. Voraussetzung dafür ist eine gespiegelte Deployment-Strategie, die automatisiert aktualisiert wird.
"Das Need-to-know-Prinzip verbindet Datensicherheit mit der Ökonomie des Wissens. Es entlastet Anwender, Administratoren und Compliance-Abteilungen gleichermaßen", erklärt Andrea Wörrlein, Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. "Nutzer bekommen nur den Zugang zu für sie relevanten Informationen, wodurch sie gezielter und effizienter arbeiten können. Compliance-Abteilungen können schon im Vorfeld die Zugangsberechtigungen zu sicherheitskritischen Daten definieren und unberechtigte Zugriffe unterbinden, und Administratoren fällt es leichter, diese Vorgaben schnell und effizient umzusetzen."
Die Autorin:
Andrea Wörrlein ist Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. VNC ist ein globales Software-Unternehmen, das Open-Source-basierte Anwendungen für die Kommunikation und Kollaboration in großen Unternehmen entwickelt.
Enterprise-Search-Lösungen erleichtern die Informationsbeschaffung in Unternehmen und Behörden immens. Large Language Models (LLMs) und Generative KI heben neuerdings die Arbeitseffizienz und die Qualität der Suchergebnisse noch einmal auf ein neues Level. So werden aus traditionellen Unternehmenssuchen echte Plattformen für das Wissensmanagement....
Die Generative KI und Large Language Models (LLMs) bieten mit ihren enormen Fähigkeiten bei der Sprachverarbeitung und -generierung großes Potenzial für das Wissensmanagement. Aufgrund der gigantischen Datenmengen, mit denen sie trainiert wurden, sind die Ergebnisse sowohl beim Verstehen von Eingaben als auch bei der Ausgabe von Antworten beeindruckend. Der Nutzer hat den Eindruck, er kommuniziere ...
Aktuell schaltet die Digitalisierung den Turbo an. Neue KI-gestützte Technologien verändern die Spielregeln in der Wirtschafts- und Arbeitswelt radikal. Nur wer hier alte Gewohnheiten loslässt, tradierte Geschäftsprozesse ändert und Disruption als Chance begreift, kann in einer diskontinuierlichen Welt bestehen. Wie aber funktioniert das? ...
Wissen gibt es im Überfluss - auch und gerade in Unternehmen. Die Herausforderung besteht darin, aus dem vorhandenen Wissensbestand diejenigen Wissensbausteine zu extrahieren, die situations- und bedarfsbedingt relevant sind. Doch genau an dieser Stelle scheitert die organisationsweite Suche noch viel zu häufig. Zum einen, weil ein Großteil des Wissens schlicht und ergreifend gar nicht dokumentiert...
In der heutigen digitalen Ära, in der der Wettbewerb intensiver und der technologische Fortschritt schneller als je zuvor voranschreitet, ist ein effektives Wissensmanagement von entscheidender Bedeutung. Unternehmen stehen vor der Herausforderung, die wachsende Flut an Informationen zu bewältigen und diese in einen strategischen Vorteil umzuwandeln. Drei wesentliche Faktoren spielen dabei eine zent...
Die Angriffsmethoden der Cyberkriminellen werden immer raffinierter. Gleichzeitig stellt die hohe Anzahl an entdeckten Schwachstellen in IT-Systemen ein enormes Sicherheitsrisiko dar. Angesichts dieser Bedrohungslage gewinnt der Security-by-Design-Ansatz an Bedeutung. Keinesfalls dürfen Unternehmen diesen Gedanken jedoch auf die Entwicklung einzelner IT-Systeme reduzieren - die Architektur der Infra...
In einer sich rasant verändernden Arbeitswelt stehen sowohl Arbeitgeber als auch Arbeitnehmer vor neuen Herausforderungen. Traditionelle Arbeitsmodelle und -strukturen weichen zunehmend innovativen Ansätzen, die häufig unter dem Begriff "New Work" zusammengefasst werden. Dementsprechend steht New Work für einen Paradigmenwechsel in der Art und Weise, wie wir uns organisieren und (zusammen-)arbeiten. Dur...
Einrichtungen der öffentlichen Hand geraten immer häufiger ins Visier von Cyber-Kriminellen, doch viele Kommunen sind darauf nur schlecht vorbereitet. Oft brauchen sie Monate, um nach einem Angriff wieder voll einsatzbereit zu sein. Was also können sie tun, um ihre Cyber-Resilienz wirksam zu verbessern?...
Andrea Wörrlein ist Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. VNC ist ein globales Software-Unternehmen, das Open-Source-basierte Anwendungen für die Kommunikation und Kollaboration in großen Unternehmen entwickelt.