Ein Berechtigungskonzept ist ein dokumentiertes Regelwerk, das definiert, welche Personen innerhalb einer Organisation oder eines IT-Systems Zugriff auf welche Daten haben und welche Aktionen sie ausführen dürfen. Es bildet die strategische Grundlage für die Informationssicherheit und stellt sicher, dass vertrauliche Informationen geschützt bleiben, während gleichzeitig die Arbeitsfähigkeit der Mitarbeitenden gewährleistet wird.
Das Konzept übersetzt abstrakte Sicherheitsrichtlinien und gesetzliche Vorgaben (wie die DSGVO) in technische Konfigurationen. Es regelt nicht nur den Zugriff („Wer darf lesen?“), sondern auch funktionale Rechte („Wer darf löschen, freigeben oder administrieren?“). Ohne ein schlüssiges Berechtigungskonzept entstehen Sicherheitslücken und unkontrollierbare Datenflüsse.
Die Kernprinzipien der Berechtigungsvergabe
Ein professionelles Berechtigungskonzept folgt etablierten Sicherheitsstandards, um Risiken zu minimieren.
Das Prinzip der minimalen Rechte (Least Privilege)
Dieser Grundsatz, auch „Need-to-Know“-Prinzip genannt, besagt, dass ein Benutzer immer mit den geringstmöglichen Rechten ausgestattet sein sollte. Er erhält nur Zugriff auf das, was er für seine tägliche Arbeit braucht. Dies minimiert den Schaden, falls ein Benutzerkonto kompromittiert wird oder ein Mitarbeitender versehentlich Daten manipuliert.
Funktionstrennung (Segregation of Duties)
Kritische Prozesse sollten nicht von einer einzigen Person allein durchgeführt werden können, um Betrug oder Fehler zu verhindern. Das Berechtigungskonzept stellt technisch sicher, dass beispielsweise die Person, die eine Rechnung anlegt, nicht dieselbe Person ist, die sie zur Zahlung freigeben kann (Vier-Augen-Prinzip).
Authentifizierung vs. Autorisierung
Das Konzept unterscheidet strikt zwischen zwei Stufen:
- Authentifizierung: Die Prüfung der Identität (Ist der Nutzer wirklich, wer er vorgibt zu sein? Z. B. durch Passwort).
- Autorisierung: Die Prüfung der Rechte (Was darf dieser identifizierte Nutzer tun?). Das Berechtigungskonzept regelt ausschließlich die zweite Stufe.
Technische Umsetzung: RBAC statt Einzelvergabe
In modernen IT-Umgebungen, insbesondere in ERP- oder Dokumentenmanagement-Systemen, ist die direkte Zuweisung von Rechten an einzelne Benutzerkonten (Direct Assignment) nicht praktikabel und fehleranfällig.
Stattdessen hat sich das Role-Based Access Control (RBAC) etabliert:
- Schritt 1: Es werden Rollen definiert, die einer Funktion im Unternehmen entsprechen (z. B. „Einkäufer“, „Administrator“, „Teamleiter Marketing“).
- Schritt 2: Diesen Rollen werden die technischen Berechtigungen zugewiesen (z. B. „Ordner Rechnungen lesen“, „Dokumente hochladen“).
- Schritt 3: Den Mitarbeitenden werden eine oder mehrere Rollen zugeordnet.
Wechselt ein Mitarbeitender die Abteilung, muss lediglich die Rolle getauscht werden. Die komplexen Einzelrechte im Hintergrund bleiben sauber definiert.
Der Lebenszyklus von Berechtigungen
Ein Berechtigungskonzept ist kein statisches Dokument. Es muss die Dynamik des Unternehmens abbilden, oft zusammengefasst im „Joiner, Mover, Leaver“-Prozess:
- Eintritt (Joiner): Welche Standardrechte erhält ein neuer Mitarbeiter sofort?
- Wechsel (Mover): Wenn Aufgabenbereiche wechseln, müssen alte Rechte entzogen und neue vergeben werden. Oft entstehen hier „Rechte-Sammler“, die über Jahre zu viele Zugriffe anhäufen (Privilege Creep).
- Austritt (Leaver): Es muss sichergestellt sein, dass beim Verlassen des Unternehmens alle Zugänge sofort gesperrt werden.
Fazit
Das Berechtigungskonzept ist das Immunsystem der Unternehmens-IT. Es balanciert die Anforderungen der Sicherheit mit der Notwendigkeit effizienter Arbeitsprozesse. Ein gut gepflegtes Konzept ist zudem essenziell für Audits und Zertifizierungen (z. B. ISO 27001), da es die Nachvollziehbarkeit von Zugriffen garantiert.