Defintion: In einem Berechtigungskonzept wird beschrieben, welche Zugriffsregeln für einzelne Benutzer oder Benutzergruppen auf die Daten eines IT-Systems gelten. Außerdem sollten dort die Prozesse geregelt werden, die Benutzerrechte betreffen, wie der Anlegung von Usern oder der regelmäßigen Kontrolle des Ist-Zustands zum Soll-Zustand.
Stichpunkte:
- Rollen
- Berechtigungen
- Zugriffsregelung
- Dokumentation
- Prozessdefinition
- Kontrolle
Das Berechtigungskonzept deckt den vielfältigen Bereich der Berechtigungen bei einem IT-System ab. Das Feld erstreckt sich dabei von Passwortrestriktionen, über Rollendefinitionen bis zu Prozessbeschreibungen. Zur Erstellung eines Berechtigungskonzepts empfiehlt es sich „Vorne“ zu beginnen, also bei der Neudefinition von Nutzern.
Für neue Nutzer muss definiert sein, wie der Prozess aussieht, der zu einer Neuanlage führt, folglich wer die Neuanlage, wie beantragen darf, wer dies genehmigt und wer schlussendlich den neuen Nutzer anlegt. Außerdem muss bestimmt werden, wie ein Kennwort in Länge und Komplexität auszusehen hat, ob Kennwörter nach einer bestimmten Zeit ablaufen und wie viele Kennwörter für die Neuverwendung gesperrt sind.
Im nächsten Schritt werden die Berechtigungen behandelt. So muss zum Einen, analog zur Neuanlage, wieder der Prozess geregelt werden, wie Berechtigungen vergeben werden und zum Anderen beschrieben werden, wie Berechtigungen für das System definiert sind. Dazu gehört die Beschreibung auf welchen Ebenen die Berechtigungen greifen, wie zum Beispiel auf Dialogebene oder Objekten, aber auch ob sich Berechtigungen zu Rollen aggregieren lassen. Die Handhabung von Rollen ist wesentlich einfacher als eine atomare Rechtevergabe, da Rollen an Funktionen gekoppelt werden können und sich so der administrative Aufwand erheblich verringern lässt. Außerdem ist es für einzelne Mitarbeiter einfacher zu begründen, warum diese eine bestimmte Berechtigung benötigen.
Um zu vermeiden, dass Mitarbeiter die Accounts von ihren Kollegen benutzen, muss im Konzept auch ein Prozess etabliert werden, der dafür sorgt, dass in Vertretungsfällen der entsprechende Mitarbeiter die benötigten Rechte besitzt, sei es zum Beispiel, durch eine doppelte Vergabe von Funktionsrollen oder eine zeitweise Übertragung von Berechtigungen.
Zuletzt sollte in einem Berechtigungskonzept festgelegt werden, wie das Dokument auf dem aktuellsten Stand gehalten wird und in welcher Art und Weise eine Kontrolle der festgelegten Inhalte in der Realität auszusehen hat.
