Die tägliche Datenflut hat viele negative Folgen. Zwei Konsequenzen stechen jedoch als besonders nachteilig und gefährlich heraus: Erstens überfordert sie viele Menschen mit einer Unmenge für sie unnötiger Daten, aus denen sie relevante Informationen erst mühsam und zeitaufwändig herausfiltern müssen. Und zweitens birgt sie enorme Sicherheitsrisiken, weil häufig vertrauliche oder sicherheitsrelevante Informationen mangels gezielter Zugangssteuerung an unbefugte Personen gelangen. Beide Klippen können mit dem Need-to-know-Prinzip elegant umschifft werden. Dabei sorgt ein cleveres Berechtigungsmanagement dafür, dass nur genau die Daten und Informationen zugänglich sind, für die das jeweilige Nutzerprofil autorisiert ist.
Bildquelle: (C) Gerd Altmann / Pixabay
Die wichtigsten Voraussetzungen für das Need-to-Know-Prinzip im Überblick:
Compliance liefert die Vorgaben: Die Definition der Nutzerprofile ist typischerweise die Aufgabe der Compliance-Abteilung. Hier wird für jeden Mitarbeiter, oder gegebenenfalls auch Partner oder Zulieferer, festgelegt, zu welchen Informations-Pools er Zugang erhält - und zu welchen nicht.
Zugriffsrechte im Directory Management: Diese Vorgaben werden dann im Directory Management in Form rollenbasierter Zugriffsrechte umgesetzt. Die Nutzerrollen können nicht nur personenbezogen, sondern auch übergreifend für Teams oder Abteilungen vorgenommen werden.
Flexibles Identity Management: Da sich die Rollen häufig verändern, ist ein flexibles, automatisiertes Identity Management Voraussetzung dafür, die Berechtigungen stets up-to-date zu halten. Ohne diese Automatismen sind laufende Änderungen und Innovationen sonst nicht mehr zu bewältigen.
Berechtigungen auf Datenbank-Ebene: Die Zugriffsrechte auf die Daten erfolgen auf Field-Level, also konkret auf Felder in relationalen Datenbanken. Bei objektorientierten NoSQL- oder Cloud-Databases ist dies schwieriger zu regeln, da sie nicht mit Tabellenfunktionen arbeiten.
Continuous Delivery Concepts: In verteilten Umgebungen müssen die Berechtigungsprofile der verschiedenen Instanzen plattform-agnostisch verwaltet und jederzeit synchron gehalten werden. Voraussetzung dafür ist eine gespiegelte Deployment-Strategie, die automatisiert aktualisiert wird.
"Das Need-to-know-Prinzip verbindet Datensicherheit mit der Ökonomie des Wissens. Es entlastet Anwender, Administratoren und Compliance-Abteilungen gleichermaßen", erklärt Andrea Wörrlein, Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. "Nutzer bekommen nur den Zugang zu für sie relevanten Informationen, wodurch sie gezielter und effizienter arbeiten können. Compliance-Abteilungen können schon im Vorfeld die Zugangsberechtigungen zu sicherheitskritischen Daten definieren und unberechtigte Zugriffe unterbinden, und Administratoren fällt es leichter, diese Vorgaben schnell und effizient umzusetzen."
Die Autorin:
Andrea Wörrlein ist Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. VNC ist ein globales Software-Unternehmen, das Open-Source-basierte Anwendungen für die Kommunikation und Kollaboration in großen Unternehmen entwickelt.
In Zeiten enger werdender Fachkräftemärkte sehen sich mehr und mehr Unternehmen mit zwei Problemen konfrontiert: Mit immer größeren Schwierigkeiten, offene Stellen nachzubesetzen und mit steigender Fluktuation. Drei von vier Kündigungen erfolgen heute von Seiten der Mitarbeiter, Tendenz steigend....
Künstliche Intelligenz basiert auf programmierten Abläufen und wird zugleich durch maschinelles Lernen erzeugt. Je größer die Anzahl an Datenmengen, desto besser lernt der Computer damit, selbst bei komplexen Aufgaben zunehmend eigenverantwortlich und anpassungsfähig zu agieren. Auch für Retailer bietet künstliche Intelligenz zahlreiche Optionen, die Branche zu revolutionieren. Rund um Themen w...
Fernarbeit ist bei LogMeIn nicht erst seit Corona an der Tagesordnung. Die Sicherheitskultur des SaaS-Anbieters ist entsprechend hoch, das Konzept ist auch auf Mitarbeiter im Home Office oder auf Reisen ausgelegt. Es lässt sich auf jedes Unternehmen, ob klein, mittelständisch oder Konzern übertragen, denn aktuell benötigt es neben einer sicheren IT-Infrastruktur und Zugriffsrechten auch die passende Si...
Bisher waren digitale Recruitingprozesse in Deutschland weitgehend auf Online-Bewerbersysteme beschränkt, d.h. auf den Prozess der Stellenausschreibung und die Verwaltung der Unterlagen und des Recruitingprozesses in Form von Workflows oder aber Online-Tests. Virtuelle Interviews waren hingegen eher unüblich. Eine aktuelle Studie der Unternehmensberatung Kienbaum zeigt jedoch, dass während der Cor...
Sowohl das Onboarding als auch die Austrittsgespräche finden heute remote statt: Die Besprechung von Beförderungen, Gratifikationen oder Vorteilsprogrammen für Mitarbeitende per Videocall, und auch zu Feedbackgesprächen trifft man sich vor der Kamera - das Arbeitsleben der HR-Manager*innen und Personalabteilungen hat sich grundlegend geändert. Und nichts ist so herausfordernd, wie Personal aus Distanz...
Lahmgelegte Systeme und kritische Datenlecks: Pro Tag registriert das Bundesamt für Sicherheit (BSI) 320.000 neue Schadprogramme, wie sein im September 2020 veröffentlichter Lagebericht zur IT-Sicherheit in Deutschland offenbart. Die beunruhigenden Zahlen zeigen nicht nur, dass Cyber-Kriminalität eine zunehmende Bedrohung darstellt, sondern auch, wie wichtig es ist, (potenzielle) Sicherheitslücken...
Agile Ansätze und Methoden sollen Unternehmen dabei unterstützen, kontinuierlich wertvolle Software auszuliefern und dabei flexibel auf Veränderungen zu reagieren. Da die Ziele von Unternehmern häufig ambitioniert ausgelegt sind, erfreuen sich skalierte agile Frameworks zunehmender Beliebtheit. In einer empirischen Untersuchung hat die FOM Hochschule für Oekonomie und Management untersucht, wie k...
Die Corona-Pandemie hat das Arbeiten von zu Hause praktisch über Nacht für viele Berufsfelder zum Standard gemacht. Messenger-Dienste und Videokonferenz-Tools wie Zoom und Microsoft Teams haben dadurch einen enormen Boom erfahren. Ohne sie hätten die meisten Firmen ihren Betrieb nicht am Laufen halten können, aber auch in Zukunft sind diese Collaboration-Tools aus der post-pandemischen Arbeitswelt...
Andrea Wörrlein ist Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. VNC ist ein globales Software-Unternehmen, das Open-Source-basierte Anwendungen für die Kommunikation und Kollaboration in großen Unternehmen entwickelt.