Berechtigungen prozessorientiert neu gedacht
Traditionelle Berechtigungssysteme, wie sie in Windows-Umgebungen verwendet werden, beruhen auf statischen Konzepten. Unternehmen im digitalen Zeitalter benötigen jedoch eine flexible und dynamische Verwaltung von Zugriffsrechten.
1. Ziel: Von starren Berechtigungskonzepten zu dynamischen Lösungen
Traditionelle Berechtigungssysteme, wie sie in Windows-Umgebungen verwendet werden, beruhen auf statischen Konzepten. Dabei werden den Mitarbeitenden über Rollen feste Rechte zugewiesen, die unabhängig von ihrer aktuellen Aufgabe oder ihrem Prozesskontext bestehen bleiben. Unternehmen im digitalen Zeitalter benötigen jedoch eine flexible und dynamische Verwaltung von Zugriffsrechten. Sensible Daten und Dokumente dürfen ausschließlich autorisierten Akteuren zugänglich sein. Die Rechte müssen sich hierbei an aktuelle Aufgaben und Zuständigkeiten anpassen. Statische Modelle stoßen hier an ihre Grenzen, da sie Veränderungen oft nur mit erheblichem administrativen Aufwand oder Verzögerungen umsetzen können. Das hier vorgestellte prozessorientierte Berechtigungskonzept überwindet die Grenzen statischer Modelle, indem es Rechte zur Laufzeit automatisch an Aufgaben, Rollen und Zuständigkeiten anpasst.
2. Begriffe im Überblick
Damit das vorgestellte Berechtigungskonzept klar nachvollzogen werden kann, ist ein gemeinsames Verständnis zentraler Begriffe erforderlich. Begriffe wie z. B. Akteur, Rolle, Prozess oder Zuständigkeitsbereich werden im weiteren Verlauf mehrfach verwendet und stehen in engen Beziehungen zueinander. Dieses Kapitel erläutert daher die grundlegenden Konzepte, auf denen das dynamische, prozessorientierte Berechtigungsmodell aufbaut, und schafft eine einheitliche Terminologie als Basis für die folgenden Kapitel.
Begriffe
Akteur
Eine handelnde Instanz, die Aktionen im System ausführt – entweder eine natürliche Person oder ein IT-System.
Beispiel: Ein Mitarbeitender bucht eine Rechnung; ein CRM-System liest Kundendaten aus einem ERP-System.
Organisationseinheit (OE)
Eine strukturelle Einheit innerhalb einer Organisation oder übergreifend von Organisationen , z. B. Abteilung, Team, Standort, Arbeitsgemeinschaft oder Projekt. Sie bildet die Grundlage für Verantwortlichkeiten, Rollen und Zugriffssteuerung.
Rolle in einer Organisationseinheit (RO)
Verknüpft einen Akteur mit einer konkreten Organisationseinheit und definiert dort seine Aufgaben darüber die erforderlichen Rechte.
Beispiel: „Einkauf in der Niederlassung München“ oder „Projektleitung im Bauprojekt Kindergarten“.
Prozess
Eine strukturierte Abfolge von Tätigkeiten, die Eingaben in Ergebnisse überführt und Ressourcen, Informationen und Kompetenzen nutzt.
Er dient als Ordnungsrahmen für Abläufe innerhalb der Organisation oder auch organisationsübergreifend.
Prozessmodell
Die strukturierte Abbildung der Prozesse, ihrer Abhängigkeiten und Einflussfaktoren. Es enthält häufig eine grafische Darstellung der Abläufe und legt fest, welche Prozessrollen beteiligt sind.
Prozessrolle
Ein abstrakter Platzhalter für einen Akteur innerhalb eines Prozesses. Sie beschreibt, welche Tätigkeiten im Prozess ausgeführt werden dürfen bzw. müssen. Eine Prozessrolle ist über die RO einem konkreten Akteur zugeordnet.
Beispiel: “Entscheidung Eingangsrechnung” ist die Prozessrolle, welche im Prozess entscheidet, ob die Rechnung eines Lieferanten richtig verarbeitet und geprüft wurde.
Recht
Eine konkrete Befugnis, die festlegt, welche Aktionen ein Akteur ausführen darf. Rechte werden ausschließlich über Rollen innerhalb einer Organisationseinheit vergeben.
Beispiele: lesen, bearbeiten, löschen
Qualifikation
Die formale, nachweisbare Eignung einer Person, die belegt, dass sie die fachlichen Mindestanforderungen zur Ausübung einer bestimmten Rolle erfüllt.
Beispiel: Ein Staplerschein berechtigt dazu, eine Rolle im Lagerbereich zu übernehmen, die das Bedienen eines Staplers beinhaltet.
Kompetenz
Nachgewiesene Fähigkeit einer Person, die Aufgaben einer Rolle fachlich sicher und situationsgerecht auszuführen.
Beispiel: Sicheres Bedienen eines Staplers im laufenden Betrieb.
Informationsobjekt
Ein identifizierbares, inhaltlich zusammenhängendes Datenobjekt mit fachlicher Bedeutung.
Beispiele: Ein Rechnungsbeleg, ein Kundendatensatz, ein Vertragsdokument oder ein Benutzerkonto.
Merkmal
Eine auswertbare Eigenschaft eines Informationsobjektes, über die Zugriffe dynamisch gesteuert werden.
Beispiel: Organisationseinheit = „Niederlassung München“ oder Geschäftspartner = „Kunde X“.
Merkmale bestimmen, ob ein Akteur ein Informationsobjekt sehen oder bearbeiten darf.
Thema
Der fachliche Kontext, unter dem Informationsobjekte organisiert werden
Beispiele: „Eingangsrechnung“, „Vertrag“ oder „Protokoll“.
Akte
Eine virtuelle Sammelmappe, die Informationsobjekte zu einem Thema bündelt und als strukturierter Zugriffspunkt dient.
Beispiele: Projektakte, Standortakte, Personalakte.
Eine Akte stellt eine gefilterte Sicht auf relevante Informationsobjekte dar.
Zuständigkeitsbereich
Begrenzt die Anwendung von Rechten auf bestimmte organisatorische, geografische, zeitliche oder inhaltliche Bereiche.
Weiter gibt es folgende Aspekte eines Zuständigkeitsbereiches:
Temporär
Rechte oder Zuständigkeiten, die nur zu bestimmten Zeitpunkten oder in bestimmten Zeiträumen gelten.
Beispiel: Rechte gelten nur im laufenden Geschäftsjahr.
Thema
Rechte oder Zuständigkeiten, die nur für bestimmte Arten von Daten oder Informationen gelten.
Beispiel: Rechte gelten nur für Eingangsrechnungen.
Geografische Region
Rechte oder Zuständigkeiten, die nur für einen bestimmten örtlich abgegrenzten Bereich, also Ort oder Region, gelten.
Beispiel: Rechte gelten nur in Niederbayern.
Organisationseinheit (OE)
Rechte oder Zuständigkeiten, die nur für bestimmte Projekte oder OEs gelten.
Beispiel: Nur Zugriff auf das Projekt „Kindergarten Speyer“.
Regelbasierte Einschränkungen
Rechte oder Zuständigkeiten, die nur für weitergehende Bedingungen/Regeln gelten.
Beispiel: Kreditoren mit Namen A-M und einem Umsatz größer als 50.000 Euro.
Diese Aspekte können auch kombiniert werden (beispielsweise nur für Projekt XY im laufenden Geschäftsjahr)
3. Grundlegende Funktionsweise ausgehend von dem Akteur
Auf Grundlage der zuvor definierten Begriffe wird in diesem Kapitel beschrieben, wie Rechte dynamisch entstehen und sich verändern, sobald sich Aufgaben, Rollen oder Zuständigkeiten eines Akteurs ändern. Qualifikation und Kompetenz eines Akteurs werden einbezogen, um zu entscheiden, welche Rollen der Akteur überhaupt ausüben darf. Dabei können organisatorische, fachliche oder regulatorische Anforderungen zu Grunde gelegt werden. Die Bewertung und Berücksichtigung von Qualifikation und Kompetenz durch die Organisation stellen sicher, dass nur Akteure mit der erforderlichen Eignung und Befähigung in eine Rolle gelangen können. Erst nach erfolgreicher Zuordnung einer Rolle greift das Berechtigungssystem zur Ermittlung der konkreten Rechte.
Das vorgestellte Berechtigungssystem basiert vollständig auf Rollen in Organisationseinheiten (RO). Jeder Akteur kann eine oder mehrere RO innehaben. Jede RO ist wiederum mit einem oder mehreren Zuständigkeitsbereichen verknüpft. Innerhalb dieser Bereiche legt die RO fest, welche Rechte ein Akteur erhält.
Ändert sich eine RO – etwa durch eine neue Aufgabe, eine organisatorische Umstrukturierung oder einen veränderten Zuständigkeitsbereich –, passt das System die Rechte automatisch zur Laufzeit an. Dadurch besitzt ein Akteur stets nur die Rechte, die für seine aktuellen Aufgaben erforderlich sind.
| Art der Rechte | Beschreibung | Mögliche Rechtetypen |
| Prozessbezogene Rechte | Entstehen aus konkreten Tätigkeiten in definierten Prozessen. Sie sind an aktive Handlungen und Prozessrollen gebunden. | Lese- und Schreibrechte |
| Nicht prozessbezogene Rechte | Entstehen allein aus der Zugehörigkeit zu einer Organisationseinheit. Sie sind nicht an Tätigkeiten in Prozessen gebunden. | Leserechte |
3.1 Prozessbezogene Rechte
Nimmt ein Akteur eine RO ein, übernimmt er damit automatisch eine oder mehrere Prozessrollen. Die Prozessrollen sind im Prozessmodell definiert und den Tätigkeiten im Prozess zugeordnet. Die Zuordnung der Prozessrollen zu einer RO wird explizit festgelegt. Wenn ein Akteur eine RO einnimmt, erhält er (im Rahmen des jeweiligen Zuständigkeitsbereichs) die zugeordneten Prozessrollen und damit alle Rechte, die innerhalb der Geschäftsprozesse für die Ausübung dieser Prozessrollen erforderlich sind. Die notwendigen Lese- und Schreibrechte für die Erfüllung der prozessbezogenen RO werden nicht individuell vergeben, sondern systematisch aus dem Prozessmodell abgeleitet. Dieses Modell bestimmt, welche Prozessrolle mit welcher RO verknüpft ist und welche Rechte sich daraus ergeben. Damit wird sichergestellt, dass Schreibrechte ausschließlich innerhalb definierter Prozesse bestehen und keine nicht prozessbezogenen Schreibrechte vergeben werden.
Beispiel:
Im fiktiven Unternehmen „MusterBauAG“ ist der Mitarbeiter Frank in der Kreditorenbuchhaltung tätig und hat die RO „Buchhaltung“ für den Kreditorenbereich mit den Anfangsbuchstaben A–M inne. Dieser RO ist die Prozessrolle “Buchung Eingangsrechnung” zugeordnet.
Da Frank diese Rolle im System aktiv übernimmt, erhält er automatisch die erforderlichen Lese- und Schreibrechte, die ihm das Buchen von Eingangsrechnungen für die Kreditoren A–M ermöglichen. Die Vergabe von Rechten erfolgt hierbei nicht individuell, sondern systemgestützt und rollenbasiert auf Basis der Definitionen im Prozessmodell.
So ist beispielsweise vorgesehen, dass die Prozessrolle “Buchung Eingangsrechnung“ über Schreibrechte auf Rechnungsdaten verfügt, da diese Rechte zwingend notwendig sind, um den zugehörigen Prozessschritt ordnungsgemäß ausführen zu können. Zusätzlich verfügt die RO auch über Leserechte für die Rechnungsbelege.
3.2 Nicht prozessbezogene Rechte
Nicht prozessbezogene Rechte setzen keine aktive Handlung voraus, sondern ergeben sich ausschließlich aus der Zugehörigkeit zu einer Organisationseinheit. Eine RO, die solche Rechte beinhaltet, kann beispielsweise “Mitglied in Unternehmen XY/ Projekt ABC” sein. Nicht prozessbezogene Rechte sind daher nicht an spezifische Tätigkeiten innerhalb eines Geschäftsprozesses gebunden, sondern dienen primär der Bereitstellung von Informationen.
Beispiel:
Alle Mitarbeitenden der MusterBau AG haben Zugriff auf das interne Telefonverzeichnis. Dieses enthält Basisinformationen (Name, Abteilung, Durchwahl, E-Mail) und dient der internen Kommunikation.
Der Zugriff steht allen Beschäftigten offen, unabhängig von ihrer Rolle im Geschäftsprozess.
4. Akte, ihre Wirkungsweise und das Zusammenspiel mit der Rollen- und Rechtekonfiguration
Im System werden Zugriffsrechte über Prozessrollen vergeben. Damit diese Rechte wirksam werden, müssen sie sich auf konkrete Informationsobjekte beziehen, z. B. auf einen einzelnen Rechnungsbeleg, ein Vertragsdokument oder eine Kundenakte. Diese Informationsobjekte werden nicht einfach lose verwaltet, sondern systematisch über Akten organisiert.
Wir erinnern uns: Eine Akte ist eine virtuelle Sammelmappe, die inhaltlich zusammengehörige Informationsobjekte, wie beispielsweise zu einem Projekt, bündelt. Sie stellt den fachlichen Kontext her (z. B. „Rechnungen“, „Verträge“ oder „Kundenanfragen“) und verknüpft ihn mit den technischen Zugriffsrechten.
Kurz gesagt: Die Akte verbindet das „Was“ (Inhalt) mit dem „Wer darf was sehen oder tun?“ (Rollen und Rechte).
Eine Akte erfüllt demnach zwei zentrale Funktionen:
- Thematische Zuordnung
In der Akte ist festgelegt, welche Themen sie umfasst – etwa „Rechnungen“, „Verträge“ oder „Kundenanfragen“. Diese Themen werden als Merkmale der Informationsobjekte interpretiert. - Filterung anhand von Merkmalen:
Die Akte wirkt wie ein Filter: Nur Informationsobjekte, deren Merkmale bestimmten Kriterien entsprechen, erscheinen darin. Ein Informationsobjekt kann – je nach Merkmalsausprägung – auch in mehreren Akten erscheinen.
Beispiel:
Eine Rechnung an die MusterbauAG mit den Merkmalen „Projekt = Rheinbrücke Leverkusen“ und „Geschäftspartner = Müller Beton GmbH“ kann gleichzeitig in zwei Akten erscheinen:
- Akte “Buchhaltung MusterBauAG”
- Akte „Projekt: Rheinbrücke Leverkusen“
Je nach Rolle und Zuständigkeitsbereich sehen unterschiedliche Nutzer dieselbe Rechnung – entweder im Projektkontext oder im Kontext der Buchhaltung. Die Akte bestimmt also den fachlichen Blickwinkel, Rechte regeln den tatsächlichen Zugriff.In der Praxis wird ebenfalls für eine Akte festlegt, welche RO auf diese Akte Zugriff haben. Doch selbst wenn ein Akteur Zugriff auf eine Akte hat, bedeutet das noch nicht, dass er alle darin enthaltenen Informationsobjekte sehen darf. Entscheidend ist das Zusammenspiel aus zwei Ebenen:
- Fachlicher Filter: Nur Informationsobjekte mit den passenden Merkmalen werden in der Akte angezeigt.
- Rechtebezogener Filter: Innerhalb dieser gefilterten Informationsobjekte darf der Akteur nur das sehen, was seinem Zuständigkeitsbereich entspricht (z. B. Projekt, Belegdatum, Geschäftspartner).
Nur wenn beide Filterbedingungen erfüllt sind, ist ein Informationsobjekt für den Akteur sichtbar.
Beispiel:
Die Akte „Buchhaltung“ enthält unter anderem alle Dokumente mit dem Merkmal „Thema = Eingangsrechnung“. Der Zugriff auf diese Akte ist auf Nutzer mit der RO „Buchhaltung“ beschränkt. Frank ist Mitarbeiter in der Buchhaltung und verfügt über die entsprechende Rolle. Daher hat er grundsätzlich Zugriff auf die Akte „Buchhaltung“. In seiner RO ist festgelegt, dass er nur Rechnungen von Kreditoren einsehen darf, deren Firmierung mit einem Buchstaben von A bis M beginnt.
Das bedeutet folgendes:
| Bedingung | Rechnung „Müller Beton GmbH | Rechnung „Primabau GmbH“ |
| Thema gehört zur Akte? | ✅ Thema = Rechnung | ✅ Thema = Rechnung |
| Zugriff über RO? | ✅ Rolle = Buchhaltung | ✅ Rolle = Buchhaltung |
| Zuständigkeitsbereich erfüllt | ✅ Kreditor A–M | ❌ Kreditor P–Z |
| Sichtbar für Frank? | ✅ | ❌ |
5. Repräsentation als mehrdimensionale Matrix
Das hier zugrunde liegende Rechtekonzept kann konzeptionell in Form einer mehrdimensionalen Matrix dargestellt werden. In dieser Struktur werden Akteure, Organisationseinheiten, Rollen, Prozessrollen, Zuständigkeitsbereiche und Rechte systematisch miteinander in Beziehung gesetzt und können strukturiert ausgewertet werden.
Eine ausführliche Beschreibung der formalisierten Matrix-Repräsentation erfolgt in einem separaten Artikel.
6. Zusammenfassung
Das vorgestellte Berechtigungskonzept löst starre Rechtevergaben ab und setzt auf dynamische, prozessorientierte Steuerung. Rechte werden nicht dauerhaft vergeben, sondern ergeben sich automatisch aus der Rolle eines Akteurs innerhalb einer Organisationseinheit – unter Berücksichtigung seines konkreten Zuständigkeitsbereichs.
Dabei wird zwischen prozessbezogenen Rechten (z. B. Schreibrechte im Rahmen einer definierten “Aufgabe”) und nicht prozessbezogenen Leserechten unterschieden. Alle Rechte entstehen ausschließlich über klar definierte Rollen innerhalb der Organisationseinheit.
Informationsobjekte werden über Merkmale strukturiert und in Akten organisiert. Diese fungieren als fachliche Filter, während Rollen und Zuständigkeiten die tatsächliche Sichtbarkeit steuern. Nur wenn sowohl die Akte ein Informationsobjekt umfasst als auch die Rechte des Nutzers dies zulassen, ist ein Zugriff möglich.
Das Konzept schafft Flexibilität, Transparenz und Sicherheit – und ist dabei skalierbar, wartungsarm und direkt an die Unternehmensprozesse gekoppelt.