Published On: 8. April 2022

Need-to-Know vs. Gießkannenprinzip: Warum die Wahl des Berechtigungskonzepts Sicherheit und Effizienz entscheidet

Wer darf auf welche Daten zugreifen? Diese Frage klingt simpel, ist in der Praxis aber eine der größten Herausforderungen für IT-Verantwortliche. Denn Berechtigungsmanagement ist keine einmalige Aufgabe: Mitarbeitende wechseln Abteilungen, neue Kolleginnen und Kollegen starten, andere scheiden aus. Jede Veränderung zieht Anpassungen in Fileservern, SharePoint, Active Directory und Drittsystemen nach sich.

Wie Unternehmen dabei vorgehen, hat weitreichende Konsequenzen für Datensicherheit, Compliance und den Arbeitsaufwand der IT-Administration.

Das Gießkannenprinzip: schnell, aber riskant

In vielen Unternehmen hat sich aus der Not heraus eine Praxis etabliert, die sich treffend als Gießkannenprinzip beschreiben lässt: Berechtigungen werden großzügig und pauschal vergeben, häufig auf Abteilungsebene oder orientiert an Vergleichspersonen mit ähnlichem Aufgabenprofil.

Das klingt pragmatisch. Und kurzfristig spart es tatsächlich Zeit. Doch die Konsequenzen sind gravierend:

  • Individuelle Altlasten werden übernommen. Wenn eine neue Mitarbeiterin die Berechtigungen einer Vergleichsperson erhält, bekommt sie automatisch auch deren individuelle Sonderrechte, die historisch gewachsen und längst nicht mehr nachvollziehbar sind.
  • Aufgabenwechsel bleiben unberücksichtigt. Wechselt jemand intern den Bereich, werden neue Berechtigungen ergänzt, aber selten werden alte konsequent entzogen. Das Ergebnis: Berechtigungsstrukturen, die über Jahre immer unübersichtlicher werden.
  • Schatten-IT entsteht aus Frustration. Werden Zugriffe zu restriktiv oder zu unstrukturiert vergeben, weichen Mitarbeitende auf unsichere Wege aus, etwa das Teilen sensibler Dateien über private Cloud-Dienste oder USB-Sticks.
  • Sicherheitslücken sind schwer zu erkennen. Welche Berechtigungen sind noch notwendig, welche überflüssig? Diese Frage lässt sich bei manuell gewachsenen Strukturen kaum zuverlässig beantworten. Das macht eine Bereinigung aufwändig und riskant. Im Zweifel bleibt alles, wie es ist.

Das Need-to-Know-Prinzip: der richtige Ansatz

Das Need-to-Know-Prinzip stellt genau die Fragen, die für ein solides Berechtigungsmanagement grundlegend sind: Wer braucht Zugriff auf welche Daten, um seine Aufgaben zu erfüllen? Und wer braucht diesen Zugriff ausdrücklich nicht?

Das Prinzip geht davon aus, dass Berechtigungen so minimal wie möglich vergeben werden sollten. Zugriff erhält, wer ihn für seine Arbeit tatsächlich benötigt, und zwar nur auf die Ressourcen, die dafür notwendig sind.

Das klingt selbstverständlich. In der Praxis erfordert es aber klare Prozesse, da sonst der manuelle Aufwand enorm steigt. Für jede personelle Veränderung müssten IT-Verantwortliche feingranular prüfen, welche Berechtigungen zu entziehen, zu ergänzen oder anzupassen sind. Ohne die richtigen Strukturen ist das kaum leistbar.

Gleichzeitig ist das Need-to-Know-Prinzip nicht nur eine Frage der Effizienz, sondern auch eine rechtliche: Die DSGVO verlangt, dass personenbezogene Daten nur von denjenigen eingesehen werden können, die einen legitimen Grund dazu haben. Unternehmen, die das Gießkannenprinzip nutzen, haben hier ein strukturelles Compliance-Problem.

Warum manuelles Berechtigungsmanagement an seine Grenzen stößt

Die IT-Administration ist in den meisten Unternehmen operativ stark ausgelastet. Berechtigungsmanagement ist eine Daueraufgabe, die neben dem Tagesgeschäft mitläuft. Das führt dazu, dass Anpassungen verzögert erfolgen, Überprüfungen ausbleiben und Verantwortliche im Zweifel lieber nichts entziehen, als versehentlich jemanden auszusperren.

Hinzu kommt: Die eigentliche fachliche Entscheidung darüber, wer auf welche Daten zugreifen darf, liegt bei den Datenverantwortlichen in den Fachbereichen, nicht bei der IT. Die IT setzt um, was ihr mitgeteilt wird. Wenn diese Kommunikation stockt oder fehlt, entstehen Lücken.

Das Ergebnis sind Berechtigungsstrukturen, die weder sicher noch transparent sind und bei einem Audit schnell zum Problem werden.

Fazit: Automatisierung als Grundlage für nachhaltiges Berechtigungsmanagement

Um das Need-to-Know-Prinzip in der Praxis konsequent umzusetzen, braucht es mehr als guten Willen. Es braucht eine Struktur, die Berechtigungen nachvollziehbar macht, Veränderungen automatisch berücksichtigt und die fachliche Verantwortung dorthin bringt, wo sie hingehört: zu den Datenverantwortlichen in den Fachbereichen.

Genau hier setzt der BAYOOSOFT Access Manager an. Über ein profilbasiertes Berechtigungsmodell lassen sich Organisationsstrukturen direkt im System abbilden. Wechselt eine Mitarbeiterin die Abteilung, genügt eine Profilanpassung: Überflüssige Berechtigungen entfallen automatisch, neue Zugriffe werden entsprechend des neuen Profils vergeben. Vergleichspersonen werden nicht herangezogen, individuelle Altlasten bleiben außen vor.

Datenverantwortliche verwalten ihre Ressourcen selbstständig und ohne technisches Hintergrundwissen, während ein lückenloses Reporting jederzeit zeigt, wer auf welche Daten zugreifen kann und wann Änderungen vorgenommen wurden. Das schafft die Revisionssicherheit, die für Audits und DSGVO-Konformität notwendig ist.

Das Berechtigungsmanagement wird so von einer operativen Last zu einem transparenten, kontrollierten Prozess.

So unterstützen wir Sie

Ihre Lösung rund um Fileserver, SharePoint, Active Directory und Drittsysteme – Vom Standardisieren der Benutzer- und Berechtigungsverwaltung bis hin zur Unterstützung bei der Versorgung mit IT-Diensten: Optimieren Sie mit dem BAYOOSOFT Access Manager ganze Prozessketten und reduzieren Sie nachhaltig die operativen Aufwände, während Sie gleichzeitig die Informationssicherheit steigern.

BAYOOSOFT Access Manager

Ihr Unternehmen ist auf der Suche nach einem starken Partner für Management Software Lösungen?

Nehmen Sie jetzt Kontakt zu uns auf und wir stellen Ihnen unverbindlich unsere Produkte vor.

Klingt spannend? Teilen Sie diesen Beitrag doch mit Ihrem Netzwerk.

Ihr Unternehmen ist auf der Suche nach einem starken Partner für Management Software Lösungen?

Nehmen Sie jetzt Kontakt zu uns auf und wir stellen Ihnen unverbindlich unsere Produkte vor.