-
Die
vorliegende Erfindung betrifft eine Vorrichtung mit einem Speicher
zur Ablage von Daten mit Mitteln zur Einschränkung des Zugriffsrechts auf die
Daten für
einen Nutzer.
-
Bei
bekannten Vorrichtungen zur Verwaltung und/oder Bearbeitung von
Daten, insbesondere einer Datenbank, hat es sich als Nachteil erwiesen,
dass die Vergabe der damit verbundenen Zugriffsrechte zu strikt
auf einzelne bzw. wenige Nutzer, insbesondere Administratoren, zugeschnitten
ist. Dadurch ist der Administrator schon bei kleinsten Änderungen
hinsichtlich der Zugriffsrechte erforderlich. Dies stört den Betriebsablauf
erheblich, so dass Bedarf u.a. nach einer Delegierung des mit der
Vergabe von Zugriffsrechten verbundenen Aufwands beispielsweise
für einen
Administrator besteht.
-
Vor
dem Hintergrund der oben beschriebenen Nachteile ist es daher Aufgabe
der vorliegenden Erfindung, ein System sowie ein Verfahren mit einer vereinfachten
und verbesserten Rechteverwaltung bzw. -Vergabe zu schaffen.
-
Diese
Aufgabe wird durch eine gattungsgemäße Vorrichtung mit den Merkmalen
des Anspruchs 1 sowie mit dem Verfahren gemäß nebengeordnetem Anspruch
gelöst.
Vorteilhafte Ausgestaltungen ergeben sich aus den Unteransprüchen.
-
Die
erfindungsgemäße Vorrichtung
weist einen Speicher zur Ablage von Daten auf. Beispielsweise handelt
es sich um einen Arbeitsspeicher oder um einen Datenspeicher, beispielsweise
in Form einer Festplatte. Bei den Daten handelt es sich beispielsweise
um Daten, die in die Vorrichtung eingegeben wird und die beispielsweise
an geschäftliche Vorgänge gekoppelt
sind. Ferner kann es sich auch um Korrespondenz und Schriftsätze handeln,
die in digitaler Form vorliegen und jedem einzelnen Vorgang zugeordnet
werden kann und wieder abrufbar hinterlegt ist.
-
Ferner
sind Mittel zur Einschränkung
des Zugriffsrechts auf die Daten für einen Nutzer vorgesehen.
Dabei kann es sich um eine Einrichtung mit zugehöriger Datenbank handeln, die
dafür sorgt,
dass auf der Vorrichtung nicht jeder alles darf, sondern dass man
für einzelne
Objekte (Dateien, Ordner, Drucker, Rechner) Berechtigungen erteilen
kann, so dass ein kontrollierter Zugang zu diesen Objekten möglich ist.
Beispielsweise gestaltet sich der Vorgang zum Zweck des Zugangs,
die sogenannte "Authentifizierung", wie folgt: nach
Angabe des Benutzernamens des Users wird ein Passwort eingegeben. Der
Mechanismus im System, der darüber
entscheidet, ob eine Authentifizierung erfolgreich war (Zugang erteilt)
oder nicht (Zugang gesperrt), wird in der Datenbank gespeichert,
welche eine bestimmte Menge an Benutzern kennt, und auch deren Passwörter. Neben
dieser Art der Authentifizierung sind weitere technische Einrichtungen
bekannt, mit denen die Authentifizierung erreicht wird, beispielsweise
biometrische Systeme, Karten- oder Schlüsselsystem usw. Neben den einzelnen
Nutzern kann es auch sogenannte Benutzergruppen, durch diese Zusammenfassung
in Gruppen mit spezifischen Rechten wird die Administration von
größeren Vorrichtungen
mit mehreren Usern erleichtert. Neben dem Zugriff auf Objekte und
Ressourcen sind beispielsweise darüber hinaus noch gewisse Rechte
vorgesehen, die sich nicht auf konkrete Objekte beziehen, sondern
die in gewisser Weise eine Berechtigung zur Durchführung bestimmter
Aktionen darstellen. Diese Rechte werden auch "Privilegien" genannt, und man kann sie Benutzern
oder Gruppen einzeln zuweisen.
-
Gemäß einer
weiteren, vorteilhaften Ausgestaltung sehen die Mittel zur Einschränkung des
Zugriffsrechts eine zeitliche Steuerung vor. Dadurch wird eine temporäre Vergabe
bzw. ein Entzug von Zugangsrechten erreicht. Beispielsweise können Zugriffsrechte
ganz oder teilweise auf Objekte oder Ressourcen nach einem vorgegebenen
Zeitablauf wieder beschränkt
werden, ohne dass dabei der Zugang an sich beispielsweise durch
Zeitablauf des Kennworts gesperrt ist. Dadurch kann ist die Verwaltung
der Zugriffsrechte vergleichsweise sehr flexibel und einfach, da
zur Änderung
der Rechte eines Nutzers oder gegebenenfalls zur Entfernung des
Nutzers aus einer spezifischen Benutzergruppe niemand mit entsprechenden
Rechten, wie beispielsweise ein Administrator, benötigt wird.
-
Bei
einer weiteren vorteilhaften Ausgestaltung der erfindungsgemäßen Vorrichtung
sind die Mittel zur Einschränkung
des Zugriffsrechts derart gestaltet, dass einem Nutzer, einem sogenannten Superadministrator
uneingeschränkter
Zugriff auf die Daten gewährt
ist. Das heißt
beispielsweise, dass dieser Superadministrator selbst Zugriffsrechte
auf die vom System abgelegten Anwendungsdaten hat. Dies dient vorteilhaft
zur Überwachung
der mit dem System verwalteten Abläufe, beispielsweise in der Evaluierungsphase
der Vorrichtung.
-
Bei
einer weiteren vorteilhaften Ausgestaltung der erfindungsgemäßen Vorrichtung
sind Mittel zur Darstellung vorgesehen, die wenigstens eine Zuordnung
zwischen Nutzer und Zugriffsrecht darstellen. Beispielsweise ist
für jedermann
ersichtlich, welche Person, d.h. welcher bei der Authentifizierung angegebene
Benutzername gerade die Superadministratorrechte besitzt. Dadurch
wird für
jeglichen Nutzer einerseits die Transparenz des Systems gesteigert,
andererseits wird so dafür
gesorgt, dass durch die fehlende Anonymität es nicht zu Missbrauch der
verliehenen Rechte kommt. Um den Schutz vor Missbrauch weiter zu
erhöhen,
können wie
oben bereits beschrieben, die mit der Stellung des Superadministrators
verbundenen Rechte zeitlich beschränkt sein.
-
Gemäß einer
weiteren vorteilhaften Ausgestaltung sind die Mittel zur Einschränkung des
Zugriffsrechts derart gestaltet, dass keinem Nutzer uneingeschränkter Zugriff
gewährt
ist, d.h. der hinsicht lich seine Rechte beschränkt ist, also keinen Zugriff auf
sämtliche
Teile der Daten, Ressourcen und/oder Objekte gewährt wird. Dadurch wird die
Datensicherheit der Vorrichtung beispielsweise im laufenden Betrieb
gesteigert. Ferner können
für einzelne
funktionale Bereiche der Vorrichtung einzelne separate Administratoren
mit Zusatzrechten vorgesehen sein. Beispielsweise kann ein Administrator
die Berechtigung besitzen, Formulare, welche mittels der Vorrichtung
bearbeitet werden, zu modifizieren, anzulegen und zu löschen, während die
Daten, mit denen das Formular gefüllt werden soll, wie beispielsweise Adressen,
für diesen
Administrator unzugänglich sind.
So kann ferner ein Administrator nur zur Erstellung und Modifizierung
von softwaregesteuerten Arbeitsabläufen, sogenannten Workflows,
vorgesehen sein, mittels derer die Abläufe in der Datenbearbeitung
weitgehend automatisiert werden können. Ferner kann die Kompetenz
auf das Anlegen und Abändern
von Datensätzen
beschränkt
sein. Dadurch wird die Verantwortung und Arbeitslast des Administrators vorteilhaft
auf mehrere Administratoren mit Teilkompetenz verteilt.
-
Gemäß einer
weiteren vorteilhaften Gestaltung sind die Mittel zur Einschränkung des
Zugriffsrechts derart gestaltet, dass den Nutzern die selbständige Vererbung
von Zugriffsrechten ermöglicht wird.
Dadurch wird die Rechteverwaltung in besonderem Maße erleichtert,
da zum Übergeben
von Rechten an weitere Nutzer der Administrator nicht benötigt wird.
Beispielsweise kann ein erster Nutzer an einen weiteren Nutzer mit
gegenüber
dem ersten Nutzer eingeschränkten
Rechten, einzelne oder mehrere seiner Rechte vergeben oder weitere
speziell dafür
vorgesehene Rechte „übergeben". Beispielsweise
kann ein erster Nutzer, der Zugriffsrechte auf bestimmte Speicherorte
aufgrund seiner Zugehörigkeit
zu einer spezifischen Substruktur in der Organisationsstruktur seine
Firma hat, diesen Zugriff auf einen weiteren Nutzer, der ohne dies
Rechte ist, übertragen,
um gemeinsam diese Daten bearbeiten zu können. Durch dieses sogenannte „Vier-Augen-Prinzip" kann die Verwaltung
der Rechte besonders vereinfacht werden. Die so vergebenen Rechte können beispielsweise
durch gezielte Aushebung durch den vergebenden Nutzer wieder aufgehoben werden
oder durch Zeitablauf beschränkt
sein.
-
Bei
einer weiteren vorteilhaften Ausgestaltung ist das vererbte Recht
objektbezogen. Dadurch kann die durch einzelne Nutzer vorzunehmende
Vererbung von Rechten besonders gezielt erfolgen. Bei einem Objekt
kann es sich beispielsweise um eine Tabelle bzw. in einem besonderen
Anwendungsfall um eine einzelne Akte oder gar um eine einzelnen Datei
bzw. einen Text handeln, die jeweils im Arbeitsspeicher der Vorrichtung
abgelegt sind. Dies ermöglicht
vorteilhaft, dass beispielsweise ein erster Nutzer, der Zugang zu
einer mittels der Vorrichtung elektronisch verwalteten Akte besitzt
und berechtigt ist, die diesbezüglich
gespeicherten Datensätze
zu bearbeiten, einen weiteren Nutzer zwecks Teamarbeit berechtigen
kann, ebenfalls an der Akte zu arbeiten. Die Administration von
Rechten wird so besonders hinsichtlich Zeit- und Personenaufwand
reduziert.
-
Eine
weitere vorteilhafte Ausführungsform sieht
vor, dass die Zugriffsrechte der einzelnen Nutzer mit einer Unternehmenstruktur
korrespondiert. Dadurch kann die Rechteverwaltung vereinfacht werden.
Beispielsweise können
die Nutzer, die einer funktionalen Einheit in der Unternehmensstruktur
angehören
oder mit entsprechend gleichen Kompetenzen ausgestattet sind, zu
einer Benutzergruppe zusammengefasst werden. Da die Rechte nicht
an einzelne Nutzer vergeben werden müssen, sondern lediglich der
entsprechende Nutzer in die Gruppe aufgenommen werden braucht, reduziert
sich der mit der Rechteverwaltung verbundene administrative Aufwand.
Neben dem Zugriff auf Objekte und Ressourcen kann es sich bei dem
gruppenspezifischen Recht um ein oben sogenanntes Privileg handeln,
das in gewisser Weise eine Berechtigung zur Durchführung bestimmter
Aktionen darstellt, beispielsweise zum Anlegen von Objekten, beispielsweise
einer Tabelle, deren Inhalt mit einem Aktenvorgang im Geschäftsablauf
verbunden ist.
-
Bei
einer vorteilhaften Ausgestaltung der erfindungsgemäßen Vorrichtung
sind die Daten von einer Datenbank erzeugt und/oder werden von dieser verwaltet.
Gerade bei Datenbanken ist durch den damit verbundenen, vergleichsweise
großen
Datenbestand eine effiziente Verwaltung von Zugriffsrechten erforderlich.
In Ausgestaltung handelt es sich um eine Datenbank mit SQL-Abfragesprache (Structured Query
Language). Diese hat eine vergleichsweise einfache Syntax und stellt
eine Reihe von Befehlen zur Definition von Datenstrukturen nach
der relationalen Algebra zur Manipulation von Datenbeständen (Anfügen, Bearbeiten
und Löschen
von Datensätzen) und
zur Abfrage von Daten zur Verfügung.
Durch ihre Rolle als Quasi-Standard ist SQL von großer Bedeutung,
da eine weitgehende Unabhängigkeit
von der benutzten Software erzielt werden kann. In einer weiteren
besonderen Ausgestaltung wird die Nutzer- und Rechteverwaltung ebenfalls
mittels SQL realisiert.
-
In
einer weiteren vorteilhaften Ausführungsform der erfindungsgemäßen Vorrichtung
ist die Datenbank partitioniert. Beispielsweise sind die zur Datenbank
gehörenden
Tabellen partitioniert. Dabei handelt es sich um eine Organisationsform
der einzelnen Tabelle, die insbesondere bei räumlich verteilten Datenbanken
von Vorteil ist. Ein Datenbestand wird so auf mehrere örtlich verteilte
Partitionen der einzelnen Tabelle aufgeteilt, die jeweils unter
der Steuerung eines eigenen Datenbank-Management-Programms separat
verwaltet werden können. Aus
Sicht der auf die Datenbank zugreifenden Anwendung sind alle Daten über den
Namen der partitionierten Tabellen les- und schreibbar. Die zu einer partitionierten
Tabelle gehörenden
Indizes lassen sich ebenso partitionieren – nach eigenständigen oder
identischen Kriterien wie die Tabelle selbst. Die Zugriffssteuerung
kann vorteilhaft sämtliche
Nutzer aller Teilbereiche umfassen, um so vorteilhaft die Vergabe
bzw. auch den Austausch von Rechten zu ermöglichen, dass Nutzern der Zugriff
auf andere partitionierte Datenbankbereiche ermöglicht wird, zu denen sie eigentlich,
beispielsweise aufgrund ihrer Position in der Firmenstruktur, keinen
Zugriff hätten.
-
Bei
einer weiteren vorteilhaften Ausführungsform der erfindungsgemäßen Vorrichtung
umfassen die Daten Informationen zu gewerblichen Schutzrechten.
Insbesondere die Daten, die mit gewerblichen Schutzrechten verbunden
sind, können unter
Datensicherheitsaspekten besonders sensibel sein, so dass das erfindungsgemäße System
besonders vorteilhaft auf diesem Bereich eingesetzt werden kann.
Wird beispielsweise ein Schutzrecht von mehreren Firmenbestandteilen
als gemeinsame Anmelder verwaltet, kann der Zugriff spezifisch für dieses
gemeinsame Objekt für
die beiden Firmenbestandteile ermöglicht werden. In einer Ausgestaltung wird
dies besonders einfach durch Rechtevererbung zwischen den Nutzern
selbst erreicht.
-
Die
Erfindung betrifft ferner ein Verfahren wobei die zuvor beschriebene
Vorrichtung mit den sich daraus ergebenden Vorteilen verwendet wird, um
einem User den Zugriff auf Daten zu beschränken und/oder zu gewähren.