Ein Schaubild mit Organigrammen, Checklisten und Ordnern zur Darstellung der Rollenkonzepte und Rechtekonzepte.

Umsetzung eines Rollen- und Rechtekonzepts

16. Juli 2020 | Sicherheit, Management, Prozessmanagement, Unternehmensorganisation, Web

Eine Rechteverwaltung ermöglicht es, einzelne Anwender sowie Gruppen durch Rollen- und Rechtekonzepte mit unterschiedlichen Rechten auszustatten. Das Ziel des Rollen- und Rechtekonzepts ist es, den Zugriff auf Daten oder Informationen auf die berechtigten Personen zu beschränken.

Das Berechtigungskonzept deckt den vielfältigen Bereich der Berechtigungen bei einem IT-System ab. Das Feld erstreckt sich dabei von Passwortrichtlinien, über Rollendefinitionen bis hin zu Prozessbeschreibungen.

Die Umsetzung eines Berechtigungskonzepts ist kein einmaliger Vorgang, sondern vielmehr ein fortlaufender Prozess. Entsprechend wäre eine Umsetzungsstrategie der Plan-Do-Check-Act-Zyklus (PDCA-Zyklus). 

 

Die Planung beginnt

In jedem Unternehmen, egal ob klein mit fünf Mitarbeitern oder groß mit 1000 Mitarbeitern, muss irgendwann genau definiert, wer was einsehen darf.

Entsprechend erfolgt in dieser Stufe die Aufschlüsselung aller Ressourcen (z.B. Daten, Informationen, Systemzugänge, Computerprogramme,…). Hier ist es wichtig, auch bereits anstehende Prozessänderungen zu berücksichtigen, um einen aktuellen Stand widerzuspiegeln. Das Gleiche gilt für die Mitarbeiter.

Es empfiehlt sich auf jeden Fall von „vorn“ zu beginnen und Mitarbeiter neu zu definieren.  

Nachdem die Ist-Situation erfasst ist, beginnt man ein Konzept zu erstellen, welches einerseits auf die Unternehmensprozesse abgestimmt ist und andererseits nachhaltig organisiert werden kann. Es bringt wenig, komplexe Berechtigungskonzepte zu implementieren, wenn der Organisationsaufwand im Hintergrund nahezu explodiert.

 

Was alles geklärt werden muss

  • Welche Ressourcen sind betroffen?
  • Welcher Mitarbeiter darf auf welche Ressourcen zugreifen?
  • Können Gruppen eingerichtet werden, um Mitarbeiterrechte zu bündeln?
  • Wie sind die Berechtigungen pro Mitarbeiter bzw. Gruppe? (lesen/beobachten, schreiben, bearbeiten, kommentieren, löschen, administrieren)
  • Welche Rechte hat der Administrator?
  • Wie werden neue Mitarbeiter hinzugefügt? (z.B. Personalabteilung meldet dies direkt an die IT-Abteilung)
  • Wie werden bestehende Mitarbeiter entfernt?
  • Wer sind die Administratoren, welche Rechte haben diese und wie ist die Vertreterregelung?
  • Ist das Konzept mit den IT-Sicherheitsrichtlinien kompatibel und wie kann das Konzept mit den IT-Sicherheitsrichtlinien verknüpft werden?
  • Wurden Test-Mitarbeiter angelegt, um die neuen Rechte an Systemen zu prüfen?
  • Unterstützt die eingesetzte oder neue Software das gewünschte Berechtigungskonzept?
  • Gibt es Software usw., die das Berechtigungskonzept gut unterstützen?
  • Ist das Berechtigungskonzept skalierbar? (Nicht nur auf die Mitarbeiteranzahl bezogen, sondern auch auf die Erschließung neuer Märkte und Länder)
  • Ist das Berechtigungskonzept effizient organisierbar?
  • Wie gestaltet sich der Prüfprozess des Berechtigungskonzepts zwischen dem Ist- und dem Sollzustand?
  • Ist das Konzept datenschutzkonform? Werden länderspezifische Datenschutzrichtlinien eingehalten (DSGVO, BDSG, CCPA, LGPD,…)? Ein paar Hinweise finden Sie auch im Blog-Beitrag „Wie entwickelt sich das Datenschutz-Verständnis?“.
  • Wie erfolgt die Dokumentation der einzelnen Prozesse?

 

Die Umsetzung des Berechtigungskonzepts beginnt 

Nach der erfolgreichen Erstellung des Berechtigungskonzepts erfolgt die Implementierung in die Unternehmensprozesse. Hierzu gibt es je nach Umfang des Berechtigungskonzepts nur einige Anpassungen vorzunehmen bis hin zur Einführung neuer Software und Anpassung von Prozessen.

Bei kleinen Unternehmen wird häufig ein Stichtag mit der Anpassung der Mitarbeiterberechtigungen gearbeitet. Dies hat den Vorteil, dass durch vorherige Schulungen die Mitarbeiter ab einem festgelegten Tag mit den neuen Berechtigungen arbeiten können.

Bei mittelfristigen Prozessänderungen erfolgt dies stufenweise, wobei ein Projektplan definiert werden sollte. Das Ziel muss es sein, dass jeder Schritt der Umsetzung eines Rollen- und Rechtekonzepts nachvollziehbar bleibt. Neben der klassischen Wasserfall-Methode bieten sich auch agile Methoden (Scrum, Kanban,…) an.

 

Prüfung – Ist alles so umgesetzt wie geplant?

Sobald erste Schritte des Berechtigungskonzepts realisiert wurden, erfolgt die Prüfung, inwieweit es Abweichungen zwischen dem Ist- und dem Soll-Zustand gibt. Dies erfolgt in der dritten Stufe des PDCA-Zyklus. Bei Implementierungen gibt es immer wieder Überraschungen – entweder durch vergessene Informationen oder durch anderweitige Probleme – die behoben werden müssen. Wir empfehlen bei der Prüfung nicht erst auf den finalen Zustand zu warten, sondern vielmehr mit mehreren, zeitnahen Prüfzyklen zu agieren.

Passen Sie die Prozesse oder das Berechtigungskonzept nicht einfach an, sondern dokumentieren Sie, weshalb die ursprüngliche Planung nicht funktionierte und wie die Lösung aussah. Damit reduzieren sich für später die Fragestellungen, weshalb ein Prozess angepasst wurde, obwohl doch eigentlich ein effizienterer Weg vorhanden war.

 

Anpassungen sind eher die Regel als die Ausnahme

Nach der Fertigstellung jedes Prüfzyklus beginnt die Anpassung des Ist-Zustands. Im Falle von umfangreichen Anpassungen empfehlen wir Projektpläne und den Einsatz agiler Methoden wie Scrum.

Nach der Fertigstellung der Prüfzyklen beginnt der Prozess von vorn, indem das Berechtigungskonzept weiter gemäß den Unternehmensanforderungen geplant wird. Dieser Schritt tritt meist durch neue Geschäftsprozesse oder Skalierungen ein. Bei kleinen Unternehmensveränderungen ist eine neue Planung nicht zwingend erforderlich und geht mit einer vereinfachten Form der Optimierung einher.

 

Noch Fragen?

Wenn Sie ein Berechtigungskonzept einführen oder prüfen möchten, falls Sie Beratung zu den oben aufgeführten Themen wünschen, dann melden Sie sich schnell und einfach.

Wir warten auf Ihre Herausforderung!

Titelbild: © André Sandner – andre-sandner.com & stock.adobe.com

  1. Start
  2. /
  3. Web
  4. /
  5. Umsetzung eines Rollen- und Rechtekonzepts