Finanzkriminalität proaktiv begegnen und Risiken minimieren
2022/4 | Fachbeitrag | Digitalisierung

Personalisierter, autorisierter Zugang zu Informationen - mit dem Need-to-know-Prinzip

Die tägliche Datenflut hat viele negative Folgen. Zwei Konsequenzen stechen jedoch als besonders nachteilig und gefährlich heraus: Erstens überfordert sie viele Menschen mit einer Unmenge für sie unnötiger Daten, aus denen sie relevante Informationen erst mühsam und zeitaufwändig herausfiltern müssen. Und zweitens birgt sie enorme Sicherheitsrisiken, weil häufig vertrauliche oder sicherheitsrelevante Informationen mangels gezielter Zugangssteuerung an unbefugte Personen gelangen. Beide Klippen können mit dem Need-to-know-Prinzip elegant umschifft werden. Dabei sorgt ein cleveres Berechtigungsmanagement dafür, dass nur genau die Daten und Informationen zugänglich sind, für die das jeweilige Nutzerprofil autorisiert ist.

Bildquelle: (C) Gerd Altmann / Pixabay

Die wichtigsten Voraussetzungen für das Need-to-Know-Prinzip im Überblick:

  1. Compliance liefert die Vorgaben: Die Definition der Nutzerprofile ist typischerweise die Aufgabe der Compliance-Abteilung. Hier wird für jeden Mitarbeiter, oder gegebenenfalls auch Partner oder Zulieferer, festgelegt, zu welchen Informations-Pools er Zugang erhält - und zu welchen nicht.
  2. Zugriffsrechte im Directory Management: Diese Vorgaben werden dann im Directory Management in Form rollenbasierter Zugriffsrechte umgesetzt. Die Nutzerrollen können nicht nur personenbezogen, sondern auch übergreifend für Teams oder Abteilungen vorgenommen werden.
  3. Flexibles Identity Management: Da sich die Rollen häufig verändern, ist ein flexibles, automatisiertes Identity Management Voraussetzung dafür, die Berechtigungen stets up-to-date zu halten. Ohne diese Automatismen sind laufende Änderungen und Innovationen sonst nicht mehr zu bewältigen.
  4. Berechtigungen auf Datenbank-Ebene: Die Zugriffsrechte auf die Daten erfolgen auf Field-Level, also konkret auf Felder in relationalen Datenbanken. Bei objektorientierten NoSQL- oder Cloud-Databases ist dies schwieriger zu regeln, da sie nicht mit Tabellenfunktionen arbeiten.
  5. Continuous Delivery Concepts: In verteilten Umgebungen müssen die Berechtigungsprofile der verschiedenen Instanzen plattform-agnostisch verwaltet und jederzeit synchron gehalten werden. Voraussetzung dafür ist eine gespiegelte Deployment-Strategie, die automatisiert aktualisiert wird.

"Das Need-to-know-Prinzip verbindet Datensicherheit mit der Ökonomie des Wissens. Es entlastet Anwender, Administratoren und Compliance-Abteilungen gleichermaßen", erklärt Andrea Wörrlein, Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. "Nutzer bekommen nur den Zugang zu für sie relevanten Informationen, wodurch sie gezielter und effizienter arbeiten können. Compliance-Abteilungen können schon im Vorfeld die Zugangsberechtigungen zu sicherheitskritischen Daten definieren und unberechtigte Zugriffe unterbinden, und Administratoren fällt es leichter, diese Vorgaben schnell und effizient umzusetzen."


Die Autorin:

Andrea Wörrlein ist Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. VNC ist ein globales Software-Unternehmen, das Open-Source-basierte Anwendungen für die Kommunikation und Kollaboration in großen Unternehmen entwickelt.

Bildquelle: (C) VNC

Web: vnclagoon.com

Diese Artikel könnten Sie auch interessieren

Herausforderung Lieferkettensorgfaltspflichtengesetz – aber für wen eigentlich?

Ein kürzlich veröffentlichter Leitfaden des Bundesamtes für Wirtschaft und Ausfuhrkontrolle (BAFA) soll nun die Umsetzung des Lieferkettengesetzes zwischen verpflichteten Unternehmen und ihren Zulieferern erleichtern. Das Gesetz selbst, das bereits seit Januar 2023 in Deutschland in Kraft ist, wirft allerdings auch aus IT-Security-Sicht Fragen entlang der Lieferkette auf. Daraus leiten sich neue Herausf...

Weiterlesen

Managed Services im Mittelstand: Das Für und Wider

WISSENplus
Ob Betrieb der IT-Infrastruktur, Applikationsbetreuung oder Cybersecurity: Aufgaben, die der Unternehmens-IT zufallen, gibt es reichlich - Tendenz steigend. Kein Wunder, dass viele Firmen händeringend nach Entlastung für ihre Administratoren suchen. Doch angesichts des Fachkräftemangels ist dies vor allem für mittelständische Betriebe nicht leicht. Gerade für sie könnte es sich daher lohnen, K...

Weiterlesen

Checkliste | Internes (Management-)Wissen schützen: Virtuelle Datenräume für eine sichere und effiziente Kommunikation in Gremien, Vorständen & Co

WISSENplus
Egal ob Hauptversammlung, Vorstandstreffen oder Aufsichtsratssitzung: Die Digitalisierung macht auch vor der Gremienarbeit nicht Halt. Spätestens seit Beginn der Corona-Pandemie verlegen selbst Management-Boards ihre Konferenzen in den virtuellen Raum. Doch gerade die Informationen, mit denen die oberste Führungsriege im Unternehmen hantiert, sind häufig streng vertraulich. Dass gängige Kommunika...

Weiterlesen

Fünf Argumente für die digitale Rechnungsverarbeitung

Rechnungen sind aus unserem Alltag nicht mehr wegzudenken und für das reibungslose Funktionieren unserer Wirtschaft unerlässlich. Dennoch ist es erstaunlich, dass insbesondere kleine und mittlere Unternehmen immer noch häufig auf die traditionelle Papierrechnung zurückgreifen. Bemerkenswert ist, dass trotz moderner Bürotechnik rund 60 bis 70 Prozent des sauberen, weißen Papiers im Müll landen. ...

Weiterlesen

Was macht ein Büro eigentlich zum Smart Office?

Viele Unternehmen denken derzeit darüber nach, wie sie ihre Büros für die neue Arbeitswelt fit machen. Schließlich benötigen die meisten Mitarbeitenden keinen festen Arbeitsplatz mehr, sondern eine flexible Umgebung, die sie bei Bedarf aufsuchen und die sie optimal bei der digitalen Kommunikation und Kollaboration unterstützt. Ein solches Smart Office steigert die Produktivität, ermöglicht Innovati...

Weiterlesen

Von der Bedrohungsanalyse zur Security-Strategie

WISSENplus
Die Angriffsmethoden der Cyberkriminellen werden immer raffinierter. Gleichzeitig stellt die hohe Anzahl an entdeckten Schwachstellen in IT-Systemen ein enormes Sicherheitsrisiko dar. Angesichts dieser Bedrohungslage gewinnt der Security-by-Design-Ansatz an Bedeutung. Keinesfalls dürfen Unternehmen diesen Gedanken jedoch auf die Entwicklung einzelner IT-Systeme reduzieren - die Architektur der Infra...

Weiterlesen

Wissensmanagement braucht IT-Sicherheit

Gehackte Accounts, verschlüsselte Dateien und gestohlene Geschäftsgeheimnisse: Laut einer Befragung des Digitalverbands Bitkom wurden allein im vergangenen Jahr 9 von 10  der deutschen Unternehmen Opfer von Cyberangriffen. Dadurch entstehen der deutschen Wirtschaft Jahr für Jahr über 200 Milliarden Euro Schaden – weil Daten aufwändig wiederbesorgt, Systeme repariert oder neu aufgesetzt wer...

Weiterlesen