Ich sitze hier und starre auf die Logs unserer internen Tools und frage mich, ob ich vielleicht zu paranoid bin. Letzte Woche habe ich bemerkt, dass ein Kollege aus der Buchhaltung regelmäßig auf ein Verzeichnis mit Konstruktionszeichnungen zugreift, das mit seiner Rolle eigentlich nichts zu tun hat. Als ich ihn darauf angesprochen habe, meinte er nur, er hätte einen “berechtigten Zugriff” für eine Kostenprognose. Es fühlt sich falsch an, aber ich habe keine konkrete Policy, auf die ich mich berufen kann. Wie geht ihr mit solchen Grauzonen um, ohne gleich den Alarmismus-Modus einzuschalten?
Vielleicht hilft es erst mal zu klären wie der Begriff berechtigter Zugriff in der Praxis definiert ist und wer das dokumentiert. Das Logging von Zugriffen kann hier helfen und Abweichungen ruhig festzuhalten.
Es klingt nach der Idee der geringsten Privilegien und nach einer nachvollziehbaren Begründung wer wann was sehen darf. Wenn der Kollege eine Kostenprognose anführt ist das schon merkwürdig.
Vielleicht ist es nur ein temporärer Zugriff oder Small Talk im System, aber ohne klare Policy bleibt es unscharf.
Was wenn die zentrale Frage gar nicht ist wer Zugriff hat sondern wie transparent der Prozess ist und wer am Ende kontrolliert?
Ich würde mit einer einfachen Checkliste starten wer wirklich Zugriff braucht und wie lange der Zugriff gilt, danach Handschriftliche Genehmigungen dokumentieren und regelmäßige Reviews einbauen.
Eine mögliche neue Richtung ist eine regelmäßige Überprüfung der sensiblen Verzeichnisse in der man alle auffälligen Zugriffe zusammenbringt und eine kurze Begründung erfragt statt gleich Alarm zu schlagen.
