Zum Inhalt

Essenziell: Das „need to know“ Prinzip

Ein Thema, welches oftmals auch emotional mit Benutzerinnen und Benutzern diskutiert wird, ist das Einschränken von Benutzerrechten.

Denn wenn die Notwendigkeit der Einschränkung nicht plausibel und mit Fingerspitzengefühl kommuniziert wird, können die betroffenen Benutzerinnen und Benutzern den Eindruck erlangen, dass ihnen misstraut wird und ihnen etwas weggenommen werden soll.

Doch in der Tat ist das Einschränken der Zugriffsrechte auf das erforderliche Maß – also auf jene Daten und Anwendungen die der Benutzer zur Ausübung seiner Tätigkeit benötigt (NEED to know) – auch eine Schutzfunktion. Für die Organisation und auch den betroffenen Benutzer/die Benutzerin.

Lenken wir doch die Aufmerksamkeit weg vom Wegnehmen von Zugriffsrechten und dem gefühlten Misstrauen gegenüber Benutzerinnen und Benutzern. Und Fokussieren uns auf den Schutz der Organisation und der Benutzerinnen und Benutzern vor böswilligen Angreifern und rechtliche Verfolgung.

Was haben also Benutzerinnen und Benutzern davon?

  1. Kommt es zu einem Vorfall (zBsp. unautorisierte Veröffentlichung oder Veränderung) mit Daten, auf die Benutzerinnen und Benutzern Zugriff haben, ohne diese für die tägliche Arbeit zu benötigen, stehen die Benutzerinnen und Benutzern gleichsam mit allen Zugriffsberechtigten im Generalverdacht mit dem Vorfall zu tun zu haben.
    Daher: Kein Zugriff – kein möglicher Verdacht.
  2. Im Extremfall haben alle Nutzer auf jegliche Daten im Unternehmen Zugriff (ja, sowas gibt’s). Unterläuft nun einem Benutzer ein Fehler (zBsp. Klick auf einen Ransomware Link), sind ALLE Daten des gesamten Unternehmens betroffen und die Organisation ist gelähmt oder sogar dem Untergang geweiht.
    Schränken wir die Zugriffsrechte ein, so ist „nur“ ein Teilbereich der Organisation betroffen und die Auswirkungen somit um ein Vielfaches geringer – auch der Druck dem sich der auslösende Benutzer ausgesetzt sieht.
    Daher: Kein Zugriff – kein Missgeschick
  3. Ein Zugriff auf bestimmte Daten – zum Beispiel Personalakten – ohne dass dieser zur Ausübung der beruflichen Tätigkeit erforderlich ist, kann gegen Gesetze verstoßen. Hat ein Benutzer erst gar keinen Zugriff aus solche Daten, kommt weder die Versuchung auf, die Daten einzusehen, noch der Verdacht, es wäre Einsicht genommen worden.
    Daher: Kein Zugriff – Schutz vor Neugier und Anschuldigung

Diese Argumentationskette lässt sich weiter fortsetzen, abhängig von der Situation der betroffenen Organisation.3103

Wichtig für die erfolgreiche Umsetzung einer Zugriffsrichtlinie ist neben der akkuraten Erhebung, wer denn tatsächlich auf welche Daten zugreifen muss, die klare und eindeutige Kommunikation mit den betroffenen Benutzern. Und so ist meine persönliche Erfahrung aus zahllosen Projekten rund um Zugriffsrechte die, dass eine sensible und offene Kommunikation mit den Benutzerinnen und Benutzern im Vorfeld der zu setzenden Maßnahmen essentiell für den Ablauf der Umsetzung ist.

Unterstützung gefällig? Sensibilisierungsworkshop oder Unterstützung bei der Umsetzung?
Am besten gleich hier das Kontaktformular nutzen, oder uns anrufen: +43 512 580447
Als erstes über Neuerungen informiert werden? Dann hier am Seitenende gleich zum Infomail eintragen!

Kontaktieren Sie uns zu diesem Thema!

Am Laufenden bleiben – und für Infomail registrieren!

 

Published inAllgemein

YouTube aktivieren?

Auf dieser Seite gibt es mind. ein YouTube Video. Cookies für diese Website wurden abgelehnt. Dadurch können keine YouTube Videos mehr angezeigt werden, weil YouTube ohne Cookies und Tracking Mechanismen nicht funktioniert. Willst du YouTube dennoch freischalten?