Rechteverwaltung

Überblick

Kurz gesagt man kann spezifische Zugriffsrechte für Dokumente einstellen. Diese steuern dann von Wem (Benutzer, Gruppen), auf welche Art (gelesen, editiert, gedruckt, kopiert, …), Wann (Datum, Dauer, …) und Wo (Position, IP Adresse, …) diese genutzt werden können. Diese fein granulierten Zugriffsrechte, mit den spezifisch festgelegten Rechten für jedes Dokument, regeln die Nutzung sowohl innerhalb als auch außerhalb des Unternehmens. Bei Seclore FileSecure gilt, nur was ausdrücklich erlaubt ist, kann auch genutzt werden.

Eine Übersichr über die Berechtigungsstruktur:

Wer?

Benutzer

Allen IRM-System ist gemeinsam, dass die Benutzer- und Dokumentenrechte auf dem zentralen IRM-Server, auch Policy- oder Lizenzserver genannt, verwaltet und gespeichert werden. Diese Rechte basieren in der Regel auf vordefinierten Profilen und Rollen und werden aus den bestehenden Geschäftsprozesse abgeleitet. Sie können dann an den Mitarbeiter, eine Gruppe oder ein Team gebunden werden.
Je nach IRM-System wird auf verschiedene vorhandene Benutzerrepositories (AD, LDAP oder RDBMS) zurück gegriffen, oder es wird eine eigene Verwaltung genutzt. Damit unterscheiden sich die einzelnen IRM-Systeme in der Benutzerverwaltung und in den Rechte für die einzelnen Benutzer, eine Gruppe oder Rolle eingestellt werden können.
Erste Systeme können auch auf OpenID zurückgreifen, was die Flexibilität bei der Kommunikation mit Externen oder bei einmaligen Aktionen erleichtert.

Rollen/Gruppen

Bei einigen Systemen erfolgt die Rechtevergabe ausschließlich über Rollen, was bei ständig wiederkehrenden Aufgaben und einer großen Anzahl von Benutzern in einer festen Umgebung, eine Vereinfachung der Rechtevergabe darstellt. Ansonsten bieten die Systeme die Freiheit, die Rechtevergabe sowohl an Gruppen/Rollen als auch direkt an einen Benutzer zu binden, was die Flexibilität des Systems erhöht.

Wie?

Hier ein Überblick über die Möglichkeiten von Seclore FileSecure zur gezielten Vergabe von Zugriffsrechten auf Dokumentenebene. Die Nutzungsrechte können natürlich miteinander kombiniert werden:

Öffnen/Lesen

Erlaubt das Öffnen der Datei durch den Nutzer. Der Nutzer kann in diesem Fall nur die Datei betrachten aber keine weiteren Aktionen vornehmen.

Bearbeiten

Erlaubt die Bearbeitung der Datei durch den Nutzer. Der Nutzer kann in diesem Fall die Datei betrachten und bearbeiten (speichern). Allerdings ist das Drucken und Kopieren in diesem Fall untersagt.

Drucken

Erlaubt das Ausdrucken der Datei durch den Nutzer. Der Nutzer kann in diesem Fall die Datei betrachten und drucken aber keine weiteren Aktionen vornehmen.

Screenshots

Damit wird dem Benutzer erlaubt Bildschirmkopien (screen capture) zu erstellen. Wichtig dabei, soll ein versiegeltes Dokument in RemoteDesktop-Sitzungen und in WebPresäntationen gezeigt werden, so muss das Recht zur Bildschirmkopie erteilt sein. Auch ScreenSharing Tools wie Teamviewer, WebEx, usw. werden ansonsten blockiert.

Daten Kopieren

Dieses Recht erlaubt es Teile mit copy-and-paste oder ganze Dokumente in andere Dokumente einzufügen. Damit ist nicht das Recht gegeben, das ganze Dokument zu kopieren und diese Kopie dann unter anderem Namen oder an einem anderen Ort ohne Versieglung zu speichern. Ein Kopieren von Inhalten in die Anwendung ist auch ohne dieses Recht möglich.

Offline

Offline Rechte werden zusätzlich zu den anderen Rechten vergeben. Die Offline Rechte eines Nutzers sind gleich mit den Online Rechten.
Um Offline Rechte zu Erlangen muss der Nutzer zumindest einmal mit dem Policy Server verbunden gewesen sein. Der Nutzer kann die im zugewiesenen Rechte auch dann (zeitlich beschränkt) nutzen wenn er nicht mit dem Policy Server verbunden ist.

Vollzugriff

Der Vollzugriff ermöglicht Bearbeitern den vollständigen Zugriff und maximale Berechtigungen. Dies beinhaltet allerdings nicht das Recht Aktivitätsberichte des Dokuments zu betrachten.

Weiterleiten

Gibt dem Nutzer das Recht zur Weiterverteilung. Der Nutzer kann in diesem Fall die Datei an andere Personen weiterleiten.
Dabei kann der Nutzer nicht mehr Rechte vergeben als er selbst erhalten hat.

Wann?

Ein Dokument kann in seiner Verfügbarkeit eingeschränkt werden. Dabei können feste Zeiten eingegeben werden wie Start- und/oder Enddatum, Tageszeiten oder die Dauer der Sichtbarkeit nach dem Veröffentlichen oder dem ersten Öffnen.

Wo?

Zudem kann festgelegt werden in welchem Netzwerkbereich (IP-Adresse/Subnetz) die versiegelten Dokumente zugänglich sind, auf wie vielen Maschinen die Dokumente von einem Benutzer nacheinander oder gleichzeitig geöffnet werden können, oder dass das Dokument nur auf der Maschine geöffnet werden kann, auf der der Benutzer es das erste Mal geöffnet hat.

Fazit

Die Berechtigungen können jederzeit geändert werden und an neue Gegebenheiten angepasst werden, auch wenn das Dokument oder eine Kopie des Dokuments sich außerhalb des Unternehmensnetzwerks befindet. Rollen können anhand der Prozesse verwaltet oder entsprechend der Firmenstrukturen, wie z.B. Entwicklung, Vertrieb oder Einkauf, abgebildet werden. Anhand von Klassifikationen, wie z.B. „Vorstandskommunikation” oder „Streng geheim”, sind weitere Einstellungen möglich. Die Rechtevergabe kann bei einigen Systemen auch delegiert werden, so dass die Aufgaben der Rechtevergabe über die Firmenhierarchie besser verteilt werden.

Franz Koch