Ein Berechtigungskonzept ist ein genau definiertes Regelwerk. In diesem sind die Zugriffsrechte auf die Daten und Funktionen eines IT-Systems festgeschrieben. Weiterhin werden im Allgemeinen auch die einzelnen Prozesse beschrieben, die zur Umsetzung des Berechtigungskonzeptes notwendig sind. Dies betrifft zum Beispiel das Anlegen und Löschen von Benutzern und die Vorgaben für die Passworterstellung.

Whitepaper ERP-Anbieterauswahl: Holen Sie das Maximum aus Ihren ERP-Workshops

Kostenloses Whitepaper

Es gibt unzählige ERP-Anbieter. Lesen Sie, worauf Sie bei der Auswahl unbedingt achten müssen.
Jetzt kostenlos anfordern

Die Bedeutung eines Berechtigungskonzeptes

Viele Unternehmen schützen ihre IT-Systeme bereits sehr gut gegen unberechtigte Zugriffe von außen. Firewalls und Intrusion-Detection-Systeme tragen ihren Teil zu einer sicheren IT-Landschaft bei. Dagegen werden die Gefahren für die Datensicherheit aus dem Inneren des Unternehmens oftmals unterschätzt. An dieser Stelle fügt sich das Berechtigungskonzept in die Sicherheitsarchitektur des Unternehmens ein. Denn im Idealfall sollten nur die Mitarbeiter Zugriff auf bestimmte Daten erhalten, die diese für ihre Arbeit benötigen.

Grundsätzlich ist ein Berechtigungskonzept das Resultat individueller Planung. Sind die festgelegten Regeln zu strikt, kann dies zu einer Einschränkung der Produktivität führen. Sind die Vorgaben des Konzeptes jedoch nicht strikt genug, kann das zu Problemen mit der Datensicherheit führen.

Grundkonzept und Rolle

In einem Grundkonzept wird festgehalten, auf welche Ressourcen von welchen Nutzern zugegriffen werden darf. Zugleich findet sich hier auch die Art des Zugriffes wieder. So kann bestimmten Nutzern beispielsweise das Lesen eines Datensatzes erlaubt sein, nicht jedoch, diesen zu verändern. Aufgrund der Vielzahl von möglichen Kombinationen aus Nutzern, Ressourcen und Rechten kann eine solche Art der Konzeptionierung sehr schnell unübersichtlich werden.

Um die Übersichtlichkeit und eine einfache Verwaltung der Zugriffsrechte zu gewährleisten, werden nun Rollen definiert. Diese bilden eine genau festgeschriebene Gruppe von Berechtigungen, die einem Benutzer zugeordnet werden können. Im Ergebnis erhält der Benutzer dann nur noch Zugang zu den Daten, die er für die Erfüllung seiner Tätigkeiten benötigt.

Die Bedeutung des Berechtigungskonzepts aus Sicht der DSGVO

Bisher galt bei der Ausgestaltung eines Berechtigungskonzeptes häufig folgender Grundsatz: Personen sollen nur auf Daten zugreifen können, die für ihre Einsichtnahme bestimmt sind. Im Umkehrschluss dürfen sie keinen Zugriff auf Daten haben, die nicht für sie bestimmt sind. Mit Umsetzung der DSGVO ändert sich dies. Ein entsprechendes Konzept muss nun um dem Grundsatz der Zweckgebundenheit erweitert werden. Dies bedeutet, dass ein Mitarbeiter lediglich auf die Daten zugreifen darf, die er für die Ausführung seiner Tätigkeit und zu dem Zweck der ursprünglichen Datenerfassung unbedingt benötigt.

Hinzu kommt die Dokumentationspflicht. Jedes Unternehmen muss künftig nicht nur das Berechtigungskonzept festhalten, sondern auch dessen konkrete Umsetzung nachweisbar dokumentieren.

Als konkretes Anwendungsbeispiel sollten z.B. keine Dateien mit personenbezogenen Daten als Anhang per E-Mail verschickt werden. Stattdessen sollten diese Dateien in durch das Berechtigungskonzept geschützte Ordner auf dem Server abgelegt werden. Im Anschluss kann dann der Freigabelink an die entsprechenden Kollegen per Mail verschickt werden.

Weiterführende Literatur:

Rechtlicher Hinweis:

Die kostenlosen und frei zugänglichen Inhalte dieser Webseite wurden mit größtmöglicher Sorgfalt erstellt. Wir weisen jedoch ausdrücklich darauf hin, dass wir keine Gewähr oder sonstige Verantwortung für die Richtigkeit, Aktualität oder Vollständigkeit der auf dieser Webseite bereitgestellten journalistischen Ratgeber und Informationen übernehmen.

Die Inhalte auf dieser Webseite dienen weder als rechtliche Beratung für Ihr Unternehmen, auf die Sie sich bei der Einhaltung der gesetzlichen Regelungen zum Datenschutz – insbesondere der DSGVO – stützen können noch können sie eine individuelle Rechtsberatung ersetzen.

Durch den Aufruf dieser kostenlosen und frei zugänglichen Inhalte kommt darüber hinaus mangels eines entsprechenden Rechtsbindungswillens unsererseits keinerlei Vertragsverhältnis zwischen uns und Ihnen als Nutzer der Webseite zustande.

Whitepaper ERP-Anbieterauswahl: Holen Sie das Maximum aus Ihren ERP-Workshops

Kostenloses Whitepaper

Es gibt unzählige ERP-Anbieter. Lesen Sie, worauf Sie bei der Auswahl unbedingt achten müssen.
Jetzt kostenlos anfordern

FAQ zu Berechtigungskonzept

Was versteht man unter einem Berechtigungskonzept?

Ein Berechtigungskonzept ist ein genau definiertes Regelwerk, in dem festgelegt wird, welche Personen oder Nutzergruppen auf welche Daten und Funktionen eines IT-Systems zugreifen dürfen, und wie diese Zugriffe technisch und organisatorisch umgesetzt werden sollen.

Welche zentralen Prinzipien gelten für ein Berechtigungskonzept?

Zu den grundlegenden Prinzipien zählen etwa das Minimalprinzip (Nutzer*innen erhalten nur diejenigen Rechte, die sie für ihre Tätigkeit unbedingt benötigen) sowie das Prinzip der Funktionstrennung (z. B. darf eine Person nicht sowohl Aufträge freigeben als auch Rechnungen ausstellen), um Missbrauch und Fehler zu verhindern.

Warum ist ein Berechtigungskonzept für Unternehmen wichtig?

Ein gut durchdachtes Berechtigungskonzept schützt sensible Daten und Geschäftsprozesse vor unbefugtem Zugriff oder Manipulation. Zudem unterstützt es die Einhaltung von gesetzlichen Vorgaben wie der Datenschutz‑Grundverordnung (DSGVO) und trägt zur Nachvollziehbarkeit und Auditfähigkeit von Zugriffsrechten bei.

Wie wird ein Berechtigungskonzept typischerweise umgesetzt?

Zunächst werden alle relevanten Systeme und Datenbestände erfasst, anschließend Nutzerrollen und Funktionalitäten definiert und berechtigungsrelevante Prozesse (z. B. Anlage und Löschung von Nutzerkonten) beschrieben. Danach folgt die technische Umsetzung im System, begleitet von Dokumentation, Schulung und regelmäßiger Überprüfung.

Wie hängt ein Berechtigungskonzept mit dem ERP-System eines Unternehmens zusammen?

Im Kontext eines ERP-Systems wird das Berechtigungskonzept zur Steuerungsgrundlage dafür, wer im System Daten einsehen, ändern oder löschen darf – z. B. in Bereichen wie Einkauf, Vertrieb, Finanzbuchhaltung oder Lager. Dadurch wird sichergestellt, dass im ERP-System nur autorisierte Mitarbeitende Zugriff auf relevante Funktionen haben, was die Datenintegrität und Prozesssicherheit erhöht.

Was sind typische Herausforderungen bei der Umsetzung eines Berechtigungskonzepts?

Herausforderungen bestehen oft darin, eine ausgewogene Balance zwischen Sicherheit und Benutzerfreundlichkeit zu finden. Ist das Konzept zu restriktiv, kann dies die Produktivität hemmen; ist es zu locker, steigt das Risiko für Fehler oder Missbrauch. Zudem erfordert die Pflege des Konzepts kontinuierliche Überprüfung und Anpassung bei veränderten Aufgaben oder Technologien.