Sicherheits-Konzept
Drei-Säulen-Modell
- Authentifizierung — wer sind Sie? (Login, SSO, OAuth)
- Autorisierung — was dürfen Sie? (CASL-Modell)
- Audit — was haben Sie getan? (Audit-Trail-Architektur)
Standard-Rollen-Hierarchie
| Stufe | Rollen-Typ | Beispiele |
|---|---|---|
| Read-Only | Hospitant / Praktikant | View-Berechtigungen pro Modul |
| Operator | Sachbearbeitung | Create/Update für eigenen Bereich |
| Manager | Bereichsleiter | + Genehmigungen + Approvals |
| Power-User | Admin-Sachbearbeiter | + Custom-Konfiguration |
| Admin | System-Admin | Berechtigungen, Cron, Settings |
| Super-Admin | Mandanten-Inhaber | + Audit-Lösung, Mandanten-Setup |
Vier-Augen-Prinzip — wann?
| Aktion | Wer macht? | Wer prüft? |
|---|---|---|
| Berechtigungs-Änderung | Admin | HR-L oder GF |
| Mahnungs-Bulk-Lauf | Buchh-SB | Buchh-L |
| Konten-Rahmen-Änderung | Buchh-L | Steuerberater + GF |
| Lohn-Auszahlung | HR-SB | HR-L oder Buchh-L |
| Großauftrag-Vergabe | Vertrieb | GF |
| Bulk-Lösch-Aktion | Admin | GF |
Sicherheits-Anti-Pattern
Was NICHT machen
- ❌ Admin-Rolle als Default für „neue Mitarbeiter"
- ❌ Passwort-Reset via Mail an unverifiziertes Postfach
- ❌ Custom-Rolle anlegen statt vorhandene erweitern
- ❌ Audit-Logs „aufräumen" (gesetzeswidrig)
- ❌ Mandanten-Setup mitten im Geschäftsjahr ändern
- ❌ Personal-Daten in Kommentar-Feld (DSGVO)
Was JA
- ✅ Sparsam mit Admin-Rollen (3-5 Personen max)
- ✅ Halbjährlich Rollen-Audit
- ✅ Vier-Augen bei kritischen Aktionen
- ✅ Test-Account pro Rolle für Konfigurations-Tests
- ✅ Notfall-Plan (was wenn alle Admins nicht verfügbar?)
DSGVO im Detail
Datenschutz-Rollen
- Datenschutzbeauftragter (DSB) — externer oder interner Verantwortlicher
- HR-Leitung — operative Personal-Datenpflege
- GF — letzte Verantwortung
Erlaubte Verarbeitung
- Vertragsdurchführung (Mitarbeiter-Lohn, Auftragsdaten)
- Gesetzliche Pflichten (Steuerdaten, Sozialversicherung)
- Berechtigtes Interesse (Audit für Forensik)
- Einwilligung (Marketing-Kontakte)
Auskunfts-Anfrage workflow
- Mitarbeiter / Kunde stellt Anfrage
- HR-L / Buchh-L extrahiert alle Daten zur Person
- Audit-Log filtern auf User-ID
- PDF-Export, an Anfrager
- Frist: 1 Monat
IT-Sicherheits-Basics
| Bereich | Pflicht | Empfehlung |
|---|---|---|
| Passwörter | Min. 12 Zeichen, ablaufend | Passwort-Manager |
| 2FA | bei Admin-Rollen | überall wo möglich |
| VPN/Netzwerk | bei externen Zugriffen | nur Whitelisted-IPs |
| Backups | täglich | extern + verschlüsselt |
| Updates | sofort bei Security | wöchentlich Routine |