Ein Berechtigungskonzept umfasst allgemein die Zugriffsregeln einzelner Nutzer oder Benutzergruppen auf die Daten eines Systems und ist somit eines der wichtigsten Konzepte in Unternehmen. Ohne ein sinnvoll aufgebautes Rollen- und Rechtekonzept verlieren Unternehmen schnell den Überblick darüber, wer auf wichtige Informationen Zugriff hat. Beispielsweise sind Betrachter nur Leseberechtigt, Anwender jedoch haben Lese- und Schreibrechte. Die Begrifflichkeiten sind ebenfalls individuell vom Unternehmen und der Lösung abhängig. Dies ist auch hinsichtlich der geltenden DSGVO-Richtlinien nicht zu unterschätzen und bringt langfristige Sicherheitsrisiken mit sich. Daher ist es sicherer, nicht jedem Nutzer generell alle Rechte einzuräumen, sondern eine rollenspezifische Vergabe von Berechtigungen einzuführen. Neben den Zugriffsrechten allein, sprich wer im Unternehmen, darf welche Informationen sehen, ist die Funktion Daten zu bearbeiten und zu löschen mindestens genauso wichtig. Auch dies wird mit einem Rollen- und Rechtekonzept gesteuert.
Unterschied Rollen und Rechte
Zwischen zugeteilten Rollen und Rechten gibt es auch maßgebliche Unterschiede, die beachtet werden sollten. Eine zugeteilte Rolle umfasst die Zusammenfassung mehrerer Berechtigungen. Berechtigungen sind technische Festlegungen, Rollen sind auf der anderen Seite die fachliche Zusammenfassung dieser Berechtigungen. Sinnvollerweise werden einer Person mit einer bestimmten Rolle nicht alle Berechtigungen innerhalb dieser Rolle zusammengefasst. Diese sollten pro Aufgabenbereich definiert und zugeteilt werden.
Vorteile
Ein Berechtigungskonzept im Unternehmen bringt viele Vorteile mit sich. Darunter fallen unter anderem eine transparente und strukturierte Vergabe von Berechtigungen. Diese vereinfachen langfristig die unternehmensinterne Organisation und Kommunikation untereinander. Auch können eine Vielzahl von Einzelberechtigungen durch ein Berechtigungskonzept in Fachrollen zusammengefasst werden. Somit erhält auch jeder Mitarbeiter und jede Mitarbeiterin entsprechend seiner Aufgabe im Unternehmen die notwendigen Zugriffe und Rechte. Die rechtlichen Anforderungen der DSGVO spielen auch hier eine wichtige Rolle. Durch ein durchdachtes und umgesetztes Konzept mit spezifischen Rollen wird die Sicherheit des Unternehmens geschützt.
Risiken
Jede Person im Unternehmen kann nur noch auf die für die jeweilige Arbeit notwendigen Informationen zugreifen. Hört sich prinzipiell gut und richtig an. Dennoch gibt es auch Risiken und Schwächen in Unternehmen, die in Bezug auf ein Rollen- und Rechtekonzept nicht unterschätzt werden sollten. Darunter fallen unter anderem Azubis oder Personen, die häufig die Abteilung wechseln müssen. Bei einem stetig wiederkehrendem Wechsel werden laufend neue Berechtigungen benötigt. Bei einem andauernden Wechsel wird der Azubi nach Beendigung seiner Ausbildung wahrscheinlich mehr Rechte und Zugriffe haben, als er benötigt. Daher sollte bei einem Berechtigungskonzept neben den jeweiligen Rechten auch eine Möglichkeit bestehen, Rollen zu vergeben.