rechte- und rollenkonzept

Das Rechte- und Rollenkonzept

In unserer täglichen Beratungspraxis ist einer der größeren Diskussionspunkte das Rechte- und Rollenkonzept. Dessen Sinnhaftigkeit wird häufig nicht gesehen. Im Extremfall wird uns sogar unterstellt, wir wollten nun auch noch das letzte vollkommen überflüssige Konzept verkaufen. Dabei ist das Rechte- und Rollenkonzept unserer Meinung nach sogar eines der wichtigeren Konzepte im Unternehmen.

Die DSGVO fordert an zahlreichen Stellen Dinge, wie etwa Vertraulichkeit, Integrität, Datensparsamkeit, Rechenschaftspflicht oder Zweckbindung. Alle diese Forderungen der DSGVO können ohne ein Rechte- und Rollenkonzept kaum erfüllt werden. Aber der Reihe nach…

IT-Sicherheit braucht Rechtevergabe

Hier sind vermutlich noch die meisten bei uns: Ohne eine sinnvolle Rechtevergabe funktioniert IT nicht gut und vor allem nicht sicher. Es ist notwendig, dass gesteuert wird, welche Mitarbeiter*innen welche Daten sehen dürfen und welche Daten nicht. Vermutlich sind wir uns auch noch einig, wenn wir sagen, dass es ebenso notwendig ist, zu steuern, wer welche Daten bearbeiten darf und wer welche Daten löschen darf. Nahezu jedes zentral betriebene IT-System (Cloud-Lösungen, Client-Server-Lösungen, Host-Lösungen etc.) benötigt daher mindestens ein Berechtigungssystem.

Und selbst für die Zugangs- und Zugriffskontrolle direkt an den Workstations werden Berechtigungen benötigt. Schließlich soll nicht jede*r jeden Rechner konfigurieren oder Software (de-)installieren dürfen. Und für Änderungen an Sicherheitseinstellungen gilt das ohnehin.

Raum- und Gebäudesicherheit braucht Rechtevergabe

Was für Rechner gilt, gilt unseres Erachtens auch für Räume: Nicht jede*r darf überall ungehindert rein. Zutrittsberechtigungen kann man mit entsprechendem Personaleinsatz kontrollieren. Oder sie werden über technische Lösungen sichergestellt. Die einfachste technische Lösung ist hier vermutlich der Schlüssel, der zum Öffnen von Türen benötigt wird. Noch universeller und einfacher zu steuern sind aber zentral gesteuerte und administrierte Zutrittskontrollsysteme, die zum Beispiel mit Chipkarten oder Token funktionieren können.

Akten, Dokumente, Unterlagen brauchen …. eben!

Etwas komplizierter wird es, wenn wir den Zugang zu oder Zugriff auf papierhafte Dokumente steuern wollen. Letztlich sollten wir uns aber auch hier alle einig sein, dass nicht jede*r im Unternehmen Zugriff auf alle Dokumente haben sollte (beziehungsweise haben darf). Auch hier können wieder Schließsysteme zum Einsatz kommen.

Bei elektronischen Dokumenten sind wir dann wieder im Bereich der IT-Sicherheit.

Berechtigungen, wo man nur hinschaut

Letztlich ist es in so ziemlich jedem Bereich eines Unternehmens sinnvoll, den Zugang zu und den Zugriff auf Daten über Berechtigungen zu steuern. In vielen Unternehmen läuft das ungefähr so: Ein*e neue*r Kolleg*in kommt und die Abteilungsleitung fordert die Zugangsberechtigungen bei der IT an: “Bitte so, wie bei Kolleg*in X”. Dann macht die IT eine Kopie der Berechtigungen für sämtliche Systeme und die*der neue Kolleg*in kann anfangen zu arbeiten. Problematisch wird es, wenn zwar die Aufgaben ähnlich sind, aber die Zuständigkeit beispielsweise für den Bereich “H bis P” ist, die*der Kolleg*in von der*dem die Berechtigungen kopiert werden aber für “A bis G” zuständig ist. Da kann dann schon mal was schieflaufen. Oder der*die Mitarbeiter*in von der*dem kopiert wird, hat zusätzliche Aufgaben, welche von der*dem neuen Kolleg*in nicht wahrgenommen werden sollen.

Azubis – das Berechtigungsgrauen

Besonders schlimm ist es bei Auszubildenden. Bei jedem Abteilungswechsel werden neue Berechtigungen benötigt. Die Wahrscheinlichkeit, dass am Ende der Ausbildung ein faktischer Vollzugriff auf alle Daten des Unternehmens (oder zumindest vieler durchlaufenen Abteilungen) existiert, ist hoch.

Deshalb gehören ins Rechte- und Rollenkonzept eben auch nicht nur Rechte, sondern auch Rollen.

Rollen sind auch sinnvoll

Rollen fassen Berechtigungen zusammen. Während Berechtigungen eher technische Festlegungen treffen, sind Rollen fachliche Zusammenfassungen von Berechtigungen. Anders ausgedrückt: In einer Rolle werden alle Berechtigungen zusammengefasst, die benötigt werden, damit eine Person ihren Job machen kann. Dabei ist es durchaus sinnvoll, nicht alle Berechtigungen einer Person in einer Rolle zusammenzufassen, sondern pro unterschiedlicher Tätigkeit oder fachlicher Aufgabe eine Rolle zu definieren. So kann es zum Beispiel in der Fachabteilung einer Versicherung eine Rolle “Erfasser*in”, eine Rolle “Schadenmanagement”, eine Rolle “Vertragsfreigabe” und noch ganz viele weitere geben. Davon können auch mehrere Rollen einer Person zugeordnet werden, müssen es aber nicht. Und wenn das Unternehmen wächst oder sich umstrukturiert können Rollen relativ einfach und schnell neu zugeordnet werden.

Bitte mit Prozessen

Wenn man es richtig gut machen will, sollte das Rechte- und Rollenkonzept auch die dazugehörigen Prozesse beschreiben. Hierzu gehört ein Antrags- und Genehmigungsprozess, welcher in den Fachabteilungen ablaufen muss. Im nächsten Schritt folgt der Umsetzungsprozess, der meist in der IT liegt, weil die Rechte und Rollen IT-technisch umgesetzt werden müssen. Unter Umständen gehören auch die Ausgabe und der Einzug von mechanischen Schlüsseln dazu. Die Rechte- und Rollenvergabe kann sich also bis ins Gebäudemanagement durchziehen. Je nach Art und Größe des Unternehmens können diese Prozesse mehrere Abteilungen oder Bereiche betreffen.

Was keinesfalls vergessen werden darf, aber bedauerlicherweise sehr häufig vergessen wird, ist die Überprüfung, ob gegebenenfalls auch Rechte (bzw. Rollen) zu entziehen sind. Dieser Prozess sollte standardmäßig immer dann durchlaufen werden, wenn es Änderungen an den Rechten oder Rollen jeglicher Art gibt. Seien es Änderungen an einer Rolle (diese betreffen dann alle Personen, welche diese Rolle innehaben) oder seien es eine oder mehrere Änderungen an der Zuweisung von Rollen zu einer Person. Erhält eine Person zum Beispiel eine zusätzliche Rolle, sollte stets auch geprüft werden, ob sie wirklich alle bisherigen Rollen behalten soll. Dies geht nur mit einem definierten und gelebten Validierungsprozess in Richtung der beauftragenden Fachabteilung.

Wären solche Prozesse stärker verbreitet, würde das oben beschriebene Azubi-Berechtigungsgrauen schnell seinen Schrecken verlieren. Zumal man für Azubis gesonderte Rollen definieren könnte und im Prozess definiert, dass Azubis stets nur eine Rolle haben dürfen. Damit wäre der “Berechtigungssammelei” endgültig ein Riegel vorgeschoben.

Integration in den TOM-Evaluierungsprozess

Wer es dann ganz perfekt machen will, sollte regelmäßige Checks, bezüglich der zugeordneten Rollen und der Einzelberechtigungen der Rollendefinition einführen. Solche Prüfungen sind gemäß Art. 32 Abs. 1 lit. d DSGVO ohnehin verpflichtend, es weiß nur kaum jemand 😉

Fazit

Ein Rechte- und Rollenkonzept ist niemals nutzloser Aufwand, auch wenn es viele denken. Ein gutes Rechte- und Rollenkonzept erleichtert die Erfüllung der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO, die Erfüllung der regelmäßigen TOM-Evaluation und sorgt darüber hinaus für mehr Datensicherheit im Unternehmen.

Sofern Sie noch kein Rechte- und Rollenkonzept im Unternehmen haben, sollten Sie schnellstens anfangen. Wir unterstützen Sie gerne dabei.


Diesen Beitrag teilen