Du hast Fragen? +49 5474 936 - 0 info@softwarepartner.net
Haufe X360: Benutzerrechte sinnvoll einrichten
Der Datenschutz stellt in vielen Unternehmen immer noch ein Problem dar, trotz der inzwischen fest etablierten DSGVO. Der Grund dafür liegt häufig im unbedachten Umgang mit Zugriffsrechten und den dahinterliegenden Daten.
Viele Unternehmen schaffen es einfach nicht, die Zugriffsrechte ihrer Mitarbeiter und Mitarbeiterinnen vernünftig zu verwalten. Schauen wir uns beispielhaft die Finanzbranche an, von der wir hohe Standards erwarten sollten. Die Zahlen von 2021 liegen dank Datenrisiko-Report von Varonis Systems vor. Und diese sehen alarmierend aus: Jeder Angestellte dort hat offenbar Zugriff auf etwa 11 Millionen Dateien. Bei größeren Unternehmen sind es sogar 20 Millionen. Nicht alle diese Daten sind kritisch. Aber: In 64 Prozent der untersuchten Betriebe konnten alle Mitarbeiter und Mitarbeiterinnen auf mehr als 1.000 Ordner mit sensiblen Daten zugreifen. Die Zahlen sind plakativ gewählt, das stimmt. Aber wie sieht es in deinem Betrieb aus? Sind die Zugriffs- und Benutzerrechte wirklich sinnvoll verteilt und eingeschränkt?
Bedachte Verteilung der Benutzerrechte ist eine Frage der Sicherheit
Werden Zugriffsrechte willkürlich und wie mit der Gießkanne an die Mitarbeiter und Mitarbeiterinnen verteilt, ist das Unternehmen einem erhöhten Risiko hinsichtlich Datenschutzverletzungen, Insider-Bedrohungen und sogar Ransomware-Angriffen ausgesetzt. Kommen noch zeitlich unbegrenzte Passwörter hinzu, steigt außerdem das Risiko von Brute-Force-Angriffen (das Hacken eines Passworts durch computergestütztes Ausprobieren). Erschreckend, dass 59 Prozent der von Varonis befragten Unternehmen mit unbefristeten Nutzer-Passwörtern auffallen! Auch die sogenannten Karteileichen, also die nicht deaktivierten Konten Nutzerkonten von ehemaligen Mitarbeitern und Mitarbeiterinnen, gewähren kriminellen Zugang zum System. Solche Karteileichen sind in der Untersuchung bei 64 Prozent der Banken und Finanzdienstleister aufgefallen.
Hinsichtlich der DSGVO ist die Sache klar: Ungenutzte Daten erhöhen das Risiko für Verstöße gegen die Vorschriften. Cloud-ERP sind definitiv nicht die Ursache des Problems. Denn Haufe X360 und andere Cloud-ERP Lösungen lassen eine diffizile Handhabung der Benutzerrechte und Zugriffsrechte zu. Sie verringern also die Risiken. Voraussetzung ist, dass der Anwender die Zugriffsrechte sinnvoll vergibt.
Vorteile von eingeschränktem Zugriff in der Cloud
Eingeschränkter Zugriff bedeutet, dass deine Mitarbeiter und Mitarbeiterinnen immer, von überall aus und mit jedem nur denkbaren Endgerät genau die Dokumente und Daten finden, die sie suchen. Auf andere Daten und Funktionen haben sie einfach keinen Zugriff. Und bei einem halbwegs durchdachten Ordnungssystem ist damit auch schnell klar, welche Daten wo und in welchem Zusammenhang hinterlegt sind. Eingeschränkte Zugriffsrechte sparen Energien und Arbeitszeit, denn de facto wühlt sich niemand mehr durch Ordner, die mit der eigenen Arbeit schlicht nichts zu tun haben. Dasselbe gilt für die Funktionen der ERP-Software: Werden in deinem ERP-System die Schaltflächen, die ein Mitarbeiter nicht benötigt, ausgeblendet, fällt die Orientierung in der Anwendung dank einer klaren Struktur deutlich leichter.
Teams arbeiten noch pragmatischer: Sie können eigene Informationen im System hinterlegen und diese mit den Benutzerrechten für die jeweiligen Kollegen versehen. Es ist nicht nötig, eine zentrale Verwaltung für alle Daten einzuschalten. Die eingeschränkten Zugriffs- und Benutzerrechte sorgen also auch für Transparenz hinsichtlich der Zuständigkeiten. Insbesondere bei der Einarbeitung von neuen Mitarbeitern und Mitarbeiterinnen sowie bei der Installation neuer Projekte ergeben sich große Vorteile.
Benutzerrechte mit Konzept vergeben
Wenn du Benutzerrechte vergibst, unterteilt in Leseberechtigungen und Bearbeitungsberechtigungen, gehst du idealerweise systematisch vor. Jeder Mitarbeiter und jede Mitarbeiterin erhält nur die Rechte und Zugriffe, die für die Durchführung der eigenen Arbeiten nötig sind. Jedes sinnlos vergebene Zugriffsrecht ist ein überflüssiges Sicherheitsrisiko und sollte vermieden werden.
Zugriffsrechte und Benutzerrechte sind keine Monumente für die Ewigkeit. Sie können geändert werden. Scheidet ein Kollege aus einem Team aus oder wandeln sich die Aufgaben, sollten auch jedes Mal die Rechte angepasst werden. Neue müssen hinzukommen, andere müssen aberkannt werden. Das hat nichts mit Geheimniskrämerei zu tun, sondern verhindert auf lange Sicht das Zustandekommen von Karteileichen. Denn, was für veränderte Zuständigkeiten innerhalb des Unternehmens gilt, muss natürlich auch dann gelten, wenn Mitarbeiter und Mitarbeiterinnen ganz aus dem Unternehmen ausscheiden.
So funktioniert es bei Haufe X360
Natürlich wäre es furchtbar lästig, in Unternehmen mit mehr als 10 Mitarbeitern und Mitarbeiterinnen jeden einzelnen Datensatz und jede ERP-Funktion für den einzelnen Arbeitnehmer separat freizuschalten, zu blockieren oder jeweils benutzerdefinierte Nutzungsrechte einzuräumen. Das geht selbstverständlich einfacher. In Haufe X360 ist es deshalb möglich, verschiedene Benutzerrollen anzulegen. Einem Anwender kann eine oder können auch mehrere von diesen zugeordnet werden.
Über diese verschiedenen Nutzerrollen und weitere Funktionen lassen sich sinnvolle Strukturen schaffen. Unsere Kollegen Max und Dirk zeigen im folgenden Video, wie genau es funktioniert:
An dieser Stelle würden wir dir gerne ein Video unseres YouTube-Kanals zeigen.
Dieser Inhalt eines Drittanbieters wird aufgrund deiner fehlenden Zustimmung zu Drittanbieter-Inhalten nicht angezeigt.
Du möchtest dir Haufe X360 oder die Oracle NetSuite genauer anschauen?
Kein Problem! Wir zeigen dir die Cloud-ERP-Systeme gerne in einem Videocall. Du kannst dir einfach einen passenden Termin in einem der Kalender auswählen.
An dieser Stelle würden wir dir gerne einen Kalender mit möglichen Gesprächsterminen anzeigen. Zur Anzeige ist es notwendig, Drittanbieter-Inhalte unseres Partners Calendly zu akzeptieren.
An dieser Stelle würden wir dir gerne einen Kalender mit möglichen Gesprächsterminen anzeigen. Zur Anzeige ist es notwendig, Drittanbieter-Inhalte unseres Partners Calendly zu akzeptieren.