Die tägliche Datenflut hat viele negative Folgen. Zwei Konsequenzen stechen jedoch als besonders nachteilig und gefährlich heraus: Erstens überfordert sie viele Menschen mit einer Unmenge für sie unnötiger Daten, aus denen sie relevante Informationen erst mühsam und zeitaufwändig herausfiltern müssen. Und zweitens birgt sie enorme Sicherheitsrisiken, weil häufig vertrauliche oder sicherheitsrelevante Informationen mangels gezielter Zugangssteuerung an unbefugte Personen gelangen. Beide Klippen können mit dem Need-to-know-Prinzip elegant umschifft werden. Dabei sorgt ein cleveres Berechtigungsmanagement dafür, dass nur genau die Daten und Informationen zugänglich sind, für die das jeweilige Nutzerprofil autorisiert ist.
Bildquelle: (C) Gerd Altmann / Pixabay
Die wichtigsten Voraussetzungen für das Need-to-Know-Prinzip im Überblick:
Compliance liefert die Vorgaben: Die Definition der Nutzerprofile ist typischerweise die Aufgabe der Compliance-Abteilung. Hier wird für jeden Mitarbeiter, oder gegebenenfalls auch Partner oder Zulieferer, festgelegt, zu welchen Informations-Pools er Zugang erhält - und zu welchen nicht.
Zugriffsrechte im Directory Management: Diese Vorgaben werden dann im Directory Management in Form rollenbasierter Zugriffsrechte umgesetzt. Die Nutzerrollen können nicht nur personenbezogen, sondern auch übergreifend für Teams oder Abteilungen vorgenommen werden.
Flexibles Identity Management: Da sich die Rollen häufig verändern, ist ein flexibles, automatisiertes Identity Management Voraussetzung dafür, die Berechtigungen stets up-to-date zu halten. Ohne diese Automatismen sind laufende Änderungen und Innovationen sonst nicht mehr zu bewältigen.
Berechtigungen auf Datenbank-Ebene: Die Zugriffsrechte auf die Daten erfolgen auf Field-Level, also konkret auf Felder in relationalen Datenbanken. Bei objektorientierten NoSQL- oder Cloud-Databases ist dies schwieriger zu regeln, da sie nicht mit Tabellenfunktionen arbeiten.
Continuous Delivery Concepts: In verteilten Umgebungen müssen die Berechtigungsprofile der verschiedenen Instanzen plattform-agnostisch verwaltet und jederzeit synchron gehalten werden. Voraussetzung dafür ist eine gespiegelte Deployment-Strategie, die automatisiert aktualisiert wird.
"Das Need-to-know-Prinzip verbindet Datensicherheit mit der Ökonomie des Wissens. Es entlastet Anwender, Administratoren und Compliance-Abteilungen gleichermaßen", erklärt Andrea Wörrlein, Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. "Nutzer bekommen nur den Zugang zu für sie relevanten Informationen, wodurch sie gezielter und effizienter arbeiten können. Compliance-Abteilungen können schon im Vorfeld die Zugangsberechtigungen zu sicherheitskritischen Daten definieren und unberechtigte Zugriffe unterbinden, und Administratoren fällt es leichter, diese Vorgaben schnell und effizient umzusetzen."
Die Autorin:
Andrea Wörrlein ist Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. VNC ist ein globales Software-Unternehmen, das Open-Source-basierte Anwendungen für die Kommunikation und Kollaboration in großen Unternehmen entwickelt.
Eine renommierte, deutsche Fluglinie stand vor einer spannenden Aufgabe: Es galt, ein Informationssicherheits-Managementsystem (ISMS) einzuführen, das sowohl den Vorgaben des übergeordneten Konzerns als auch den gesetzlichen Anforderungen der EU für die Luftfahrtbranche entspricht. Ziel war es dabei insbesondere, das Risikomanagement der Informationssicherheit mit dem der Flugsicherheit zu verknüpf...
Generative KI nimmt Mitarbeitern viele zeitraubende Tätigkeiten ab und macht sie effizienter. Kein Wunder, dass sie die praktischen Helfer im Arbeitsalltag nutzen wollen und oft loslegen, ohne auf offiziell vom Unternehmen eingeführte Tools zu warten. Dadurch entstehen allerdings erhebliche Risiken: Es drohen nicht nur Datenschutzverletzungen und der Abfluss sensibler Firmendaten, sondern auch unfai...
Künstliche Intelligenz (KI), ursprünglich als Treiber von Innovation und Effizienz gefeiert, wird zunehmend zur Waffe in den Händen von Cyberkriminellen. In einer digital vernetzten Welt nutzen Täter KI, um ihre Methoden zu perfektionieren, Angriffe zu automatisieren und neue Schwachstellen auszunutzen. Die Folge: Eine neue Dimension der Cyberkriminalität, die Privatpersonen, Unternehmen und Regie...
Unternehmen müssen sich ständig verändernden Rahmenbedingungen anpassen. Das passiert oft nebenher und als alltäglicher Prozess. Mitunter ergibt es Sinn, größere Veränderungen durch einen strukturierten Transformationsprozess in Angriff zu nehmen. Ein Prozess, den Unternehmer oft scheuen, denn Veränderung bedeutet Unruhe und nicht selten auch vermehrte Konflikte - ein Zustand, den man gerne mei...
Künstliche Intelligenz (KI) hat das Potenzial, die Medizin grundlegend zu transformieren. Von der Präzisionsdiagnostik über personalisierte Therapieansätze bis hin zur Optimierung administrativer Prozesse - KI verspricht eine effizientere und patientenzentriertere Gesundheitsversorgung. Doch neben diesen Möglichkeiten gibt es auch klare Grenzen: Regulatorische Hürden, ethische Fragestellungen und...
Führung hat ein Problem: Sie denkt zu viel über andere nach - und zu wenig über sich selbst. In unzähligen Meetings wird über Leistung, Wandel und Motivation gesprochen. Über KPIs, Kultur und Konflikte. Aber wann, bitte, wurde in Ihrer Organisation zuletzt darüber gesprochen, wie es den Führungskräften wirklich geht? Nicht strategisch. Nicht operativ. Sondern menschlich? Die Wahrheit ist unbeq...
"Upps, ein Streifenwagen!" Das hat sich vermutlich jeder Autofahrer schon mal gedacht und dabei sicherheitshalber auf den Tacho geblickt. Selbst wenn wir uns regelkonform verhalten, zeigt sich in solchen Momenten sehr deutlich der Unterschied zwischen beobachteter und unbeobachteter Freiheit.
- Ein Kommentar von Alain Blaes - ...
Es gibt endlich eine Lösung für den Fachkräftemangel -und sie heißt KI. Dabei geht es nicht darum, neue KI Modelle zu entwickeln, sondern diese passgenau einzusetzen. Moderne GenAI-Modelle erlauben es, wertvolles Mitarbeiter-Wissen auf einfache Art zu konservieren, und das ohne wirklichen Mehraufwand für die Mitarbeitenden. Allerdings hindern Missverständnisse über die Möglichkeiten und die Int...
Andrea Wörrlein ist Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. VNC ist ein globales Software-Unternehmen, das Open-Source-basierte Anwendungen für die Kommunikation und Kollaboration in großen Unternehmen entwickelt.