2022/4 | Fachbeitrag | Digitalisierung

Personalisierter, autorisierter Zugang zu Informationen - mit dem Need-to-know-Prinzip

Die tägliche Datenflut hat viele negative Folgen. Zwei Konsequenzen stechen jedoch als besonders nachteilig und gefährlich heraus: Erstens überfordert sie viele Menschen mit einer Unmenge für sie unnötiger Daten, aus denen sie relevante Informationen erst mühsam und zeitaufwändig herausfiltern müssen. Und zweitens birgt sie enorme Sicherheitsrisiken, weil häufig vertrauliche oder sicherheitsrelevante Informationen mangels gezielter Zugangssteuerung an unbefugte Personen gelangen. Beide Klippen können mit dem Need-to-know-Prinzip elegant umschifft werden. Dabei sorgt ein cleveres Berechtigungsmanagement dafür, dass nur genau die Daten und Informationen zugänglich sind, für die das jeweilige Nutzerprofil autorisiert ist.

Bildquelle: (C) Gerd Altmann / Pixabay

Die wichtigsten Voraussetzungen für das Need-to-Know-Prinzip im Überblick:

  1. Compliance liefert die Vorgaben: Die Definition der Nutzerprofile ist typischerweise die Aufgabe der Compliance-Abteilung. Hier wird für jeden Mitarbeiter, oder gegebenenfalls auch Partner oder Zulieferer, festgelegt, zu welchen Informations-Pools er Zugang erhält - und zu welchen nicht.
  2. Zugriffsrechte im Directory Management: Diese Vorgaben werden dann im Directory Management in Form rollenbasierter Zugriffsrechte umgesetzt. Die Nutzerrollen können nicht nur personenbezogen, sondern auch übergreifend für Teams oder Abteilungen vorgenommen werden.
  3. Flexibles Identity Management: Da sich die Rollen häufig verändern, ist ein flexibles, automatisiertes Identity Management Voraussetzung dafür, die Berechtigungen stets up-to-date zu halten. Ohne diese Automatismen sind laufende Änderungen und Innovationen sonst nicht mehr zu bewältigen.
  4. Berechtigungen auf Datenbank-Ebene: Die Zugriffsrechte auf die Daten erfolgen auf Field-Level, also konkret auf Felder in relationalen Datenbanken. Bei objektorientierten NoSQL- oder Cloud-Databases ist dies schwieriger zu regeln, da sie nicht mit Tabellenfunktionen arbeiten.
  5. Continuous Delivery Concepts: In verteilten Umgebungen müssen die Berechtigungsprofile der verschiedenen Instanzen plattform-agnostisch verwaltet und jederzeit synchron gehalten werden. Voraussetzung dafür ist eine gespiegelte Deployment-Strategie, die automatisiert aktualisiert wird.

"Das Need-to-know-Prinzip verbindet Datensicherheit mit der Ökonomie des Wissens. Es entlastet Anwender, Administratoren und Compliance-Abteilungen gleichermaßen", erklärt Andrea Wörrlein, Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. "Nutzer bekommen nur den Zugang zu für sie relevanten Informationen, wodurch sie gezielter und effizienter arbeiten können. Compliance-Abteilungen können schon im Vorfeld die Zugangsberechtigungen zu sicherheitskritischen Daten definieren und unberechtigte Zugriffe unterbinden, und Administratoren fällt es leichter, diese Vorgaben schnell und effizient umzusetzen."


Die Autorin:

Andrea Wörrlein ist Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. VNC ist ein globales Software-Unternehmen, das Open-Source-basierte Anwendungen für die Kommunikation und Kollaboration in großen Unternehmen entwickelt.

Bildquelle: (C) VNC

Web: vnclagoon.com

Diese Artikel könnten Sie auch interessieren

KI zwischen Innovation und Regulierung

WISSENplus
In der Diskussion um die Nutzung von generativer KI wird immer wieder ein Zielkonflikt zwischen Innovation und Regulierung thematisiert, die sich angeblich gegenseitig behindern. Aber ist das tatsächlich so? Auf den ersten Blick mag das stimmen, aber letztlich ist die rechtskonforme Entwicklung von KI vor allem eine Frage des richtigen Managements. Compliance-Bedenken dürfen daher keine Ausrede dafÃ...

Weiterlesen

Wissenstransfer in der öffentlichen Verwaltung

WISSENplus
Weiterhin steigt in vielen Behörden die Zahl der Beschäftigten, die in Ruhestand gehen. Viele nehmen wichtiges Erfahrungswissen zu Spezialgebieten mit. Zusätzlich nimmt aber auch der Anteil derer zu, die lange vor dem Ruhestand den Job wechseln, in Elternzeit gehen etc. Immer häufiger müssen daher neue Beschäftigte eingearbeitet und auch Quereinsteigern erstmal Grundlagen vermittelt werden. Ein strukt...

Weiterlesen

KI im Projektmanagement: Der Mensch als Erfolgsfaktor!

WISSENplus
Neue Technologien, allen voran die vielbesagte - zugleich beschworene und gefürchtete - KI scheinen dem Menschen in vielen Bereichen den Platz streitig zu machen. Doch etwas darf dabei nicht übersehen werden: Soft Skills bleiben fest in unserer Hand! Immer noch entscheiden zwischenmenschliche Fähigkeiten über Nichterfolg oder Erfolg. Denn: Unternehmen und Projekte bestehen nicht nur aus Zahlen, Te...

Weiterlesen

Vorsicht, Fake News! Wie Generative KI die Verbreitung von Desinformationen fördert

WISSENplus
Von Brüssel bis Washington DC finden in diesem Jahr Wahlen statt, welche die politische Landschaft weiter Teile der Welt für die nächsten Jahre bestimmen werden. Die Wahlentscheidungen werden auch Auswirkungen auf die gesamte Weltwirtschaft und jedes einzelne Unternehmen haben. Dabei sind sie mit einer in dieser Dimension neuen Herausforderung konfrontiert: Generative KI ...

Weiterlesen

6 Fragen, die sich Unternehmen zum GenAI-Einsatz stellen sollten

Die meisten Unternehmen haben den Mehrwert von generativer KI inzwischen erkannt und wollen entsprechende Dienste einführen, um ihre Mitarbeiter zu entlasten und Abläufe effizienter zu gestalten. Oft nutzen die Mitarbeiter sogar schon einige Tools - was ebenso wie eine überhastete Einführung mit Risiken insbesondere für Datenschutz und Datensicherheit verbunden ist. Um diese Risiken zu vermeiden, ...

Weiterlesen

Informationssicherheit in der Luftfahrt

WISSENplus
Eine renommierte, deutsche Fluglinie stand vor einer spannenden Aufgabe: Es galt, ein Informationssicherheits-Managementsystem (ISMS) einzuführen, das sowohl den Vorgaben des übergeordneten Konzerns als auch den gesetzlichen Anforderungen der EU für die Luftfahrtbranche entspricht. Ziel war es dabei insbesondere, das Risikomanagement der Informationssicherheit mit dem der Flugsicherheit zu verknüpf...

Weiterlesen

KI konkret: Sechs Business Cases entlang des Produktlebenszyklus

Von der Produktentwicklung bis zum Customer Service: Künstliche Intelligenz (KI) transformiert zunehmend Unternehmensprozesse und eröffnet neue Möglichkeiten der Wertschöpfung. Dabei ist es entscheidend, KI-Technologien gezielt und praxisorientiert einzusetzen. Verschiedene KI-Ansätze - von analytischen und prädiktiven Methoden bis hin zu den neuen generativen KI-Modellen (GenAI) - bieten unters...

Weiterlesen