Zum Hauptinhalt springen

Sicherheits-Konzept

Drei-Säulen-Modell

  1. Authentifizierung — wer sind Sie? (Login, SSO, OAuth)
  2. Autorisierung — was dürfen Sie? (CASL-Modell)
  3. Audit — was haben Sie getan? (Audit-Trail-Architektur)

Standard-Rollen-Hierarchie

StufeRollen-TypBeispiele
Read-OnlyHospitant / PraktikantView-Berechtigungen pro Modul
OperatorSachbearbeitungCreate/Update für eigenen Bereich
ManagerBereichsleiter+ Genehmigungen + Approvals
Power-UserAdmin-Sachbearbeiter+ Custom-Konfiguration
AdminSystem-AdminBerechtigungen, Cron, Settings
Super-AdminMandanten-Inhaber+ Audit-Lösung, Mandanten-Setup

Vier-Augen-Prinzip — wann?

AktionWer macht?Wer prüft?
Berechtigungs-ÄnderungAdminHR-L oder GF
Mahnungs-Bulk-LaufBuchh-SBBuchh-L
Konten-Rahmen-ÄnderungBuchh-LSteuerberater + GF
Lohn-AuszahlungHR-SBHR-L oder Buchh-L
Großauftrag-VergabeVertriebGF
Bulk-Lösch-AktionAdminGF

Sicherheits-Anti-Pattern

Was NICHT machen

  • ❌ Admin-Rolle als Default für „neue Mitarbeiter"
  • ❌ Passwort-Reset via Mail an unverifiziertes Postfach
  • ❌ Custom-Rolle anlegen statt vorhandene erweitern
  • ❌ Audit-Logs „aufräumen" (gesetzeswidrig)
  • ❌ Mandanten-Setup mitten im Geschäftsjahr ändern
  • ❌ Personal-Daten in Kommentar-Feld (DSGVO)

Was JA

  • ✅ Sparsam mit Admin-Rollen (3-5 Personen max)
  • ✅ Halbjährlich Rollen-Audit
  • ✅ Vier-Augen bei kritischen Aktionen
  • ✅ Test-Account pro Rolle für Konfigurations-Tests
  • ✅ Notfall-Plan (was wenn alle Admins nicht verfügbar?)

DSGVO im Detail

Datenschutz-Rollen

  • Datenschutzbeauftragter (DSB) — externer oder interner Verantwortlicher
  • HR-Leitung — operative Personal-Datenpflege
  • GF — letzte Verantwortung

Erlaubte Verarbeitung

  • Vertragsdurchführung (Mitarbeiter-Lohn, Auftragsdaten)
  • Gesetzliche Pflichten (Steuerdaten, Sozialversicherung)
  • Berechtigtes Interesse (Audit für Forensik)
  • Einwilligung (Marketing-Kontakte)

Auskunfts-Anfrage workflow

  1. Mitarbeiter / Kunde stellt Anfrage
  2. HR-L / Buchh-L extrahiert alle Daten zur Person
  3. Audit-Log filtern auf User-ID
  4. PDF-Export, an Anfrager
  5. Frist: 1 Monat

IT-Sicherheits-Basics

BereichPflichtEmpfehlung
PasswörterMin. 12 Zeichen, ablaufendPasswort-Manager
2FAbei Admin-Rollenüberall wo möglich
VPN/Netzwerkbei externen Zugriffennur Whitelisted-IPs
Backupstäglichextern + verschlüsselt
Updatessofort bei Securitywöchentlich Routine

Bei Sicherheits-Vorfall

Verwandte Doku