Mitarbeiter und Angestellte sind häufig in zahlreiche Abläufe eingebunden. Um ihre Aufgaben zu erfüllen, benötigen sie Berechtigungen zur Benutzung verschiedenster Ressourcen, z.B. Dokumenten- und IT-Funktionen.
Um das Sicherheitsziel "Vertraulichkeit" zu erreichen, sind jedoch auch Beschränkungen erforderlich. Bestimmte Befugnisse sollen nur berechtigten Personen erteilt werden, Dokumente und Daten dürfen nur von autorisierten Benutzern eingesehen beziehungsweise verändert werden.
Folgende Maßnahmen in DocuWare ermöglichen die Umsetzung solcher komplexen Szenarien:
Steuern Sie den Dokumentenzugriff über Berechtigungen.
DocuWare als Hochsicherheitssystem bietet zusätzliche Sicherheit durch Einschränkungen bei der Berechtigungsvergabe. Mit DocuWare als Hochsicherheitssystem verhindern Sie, dass aus Versehen auf besonders sensible Bereiche in DocuWare zugegriffen werden kann – zum Beispiel über fehlerhafte Gruppen und Rollenzuweisungen.
Sensible Dokumente sind dank der standardmäßgen 256 Bit-Verschlüsselungen auch auf Administrator-Ebene vor unberechtigtem Zugriff geschützt.
Kunden von lokal installierten DocuWare Systemen (On-Premises) beachten bitte:
Bestimmte für DocuWare relevante Daten lassen sich nicht mit DocuWare Berechtigungen oder anderen Sicherheitsmaßnahmen schützen. Dazu gehören die Indexdaten zu den Dokumenten und der extrahierte Volltext, die in den jeweiligen Datenbanken abgelegt werden.
Wie Sie diese Informationen schützen, entnehmen Sie bitte dem White Paper DocuWare On-Premises – Systemarchitektur (im Kapitel Sicherheit und externer Zugriff).
Berechtigungen
Das Rechtekonzept von DocuWare unerscheidet zwischen funktionalen Rechten, Archivrechten und Objektrechten, mit denen Sie den Handlungsspielraum jeden Benutzers präzise steuern.
Funktionale Rechte sind Rechte auf bestimmte Programmfunktionalitäten. Dazu gehört zum Beispiel das Recht, einen Stempel oder einen Briefkorb anzulegen.
Archivrechte sind auf ein Archiv und die darin gespeicherten Dokumente bezogen, wie das Ablegen und Suchen eines Dokuments, die Änderungen von Indexeinträgen oder den Export von Dokumenten oder eines Archivs in das Dateiverzeichnis. Für verschiedene Archive können verschiedene Archivrechte vergeben werden.
Objektrechte: Einige Objekte wie Briefkörbe, Archive oder Formulare können den Benutzern als Administrator oder Benutzer zugeordnet werden. Mit dem Benutzerrecht lässt sich das Objekt verwenden, das Administratorrecht enthält das Recht, das Objekt beziehungsweise die zugehörige Konfiguration zu ändern.
Die verschiedenen Berechtigungen werden zu Profilen zusammengefasst und einzelnen oder Gruppen von Mitarbeitern zugewiesen.
Mehr dazu, wie Sie den Handlungsspielraum und den Dokumentenzugriff mit Berechtigungen steuern können, lesen Sie im Grundlagen-Artikel Berechtigungskonzept.
DocuWare als Hochsicherheitssystem
Um DocuWare On-Premises als Hochsicherheitssystem nutzen zu können, muss einmal die Sicherheitsstufe Hoch für das gesamte DocuWare System aktiviert werden (DocuWare Administration > System). Wenn Sie DocuWare Cloud nutzen, ist die Sicherheitsstufe Hoch standardmäßig aktiviert.
In DocuWare Cloud und in DocuWare On-Premises mit aktivierter Hochsicherheitsstufe kann der Organisationsadministrator die Eigenschaft Hochsicherheit bestimmten Benutzern (DocuWare Konfiguration > Benutzerverwaltung) und Archiven (DocuWare Konfiguration > Archive) zuteilen.
Nur ein Benutzer mit Sicherheitsstufe Hoch ist befugt, auf ein Hochsicherheits-Archiv zugreifen.
Folgende weitere Unterschiede gibt es zu einem System ohne die Eigenschaft Hochsicherheit:
Es ist nicht möglich, die Archivprofile für ein Hochsicherheits-Archiv einer Rolle zuzuweisen. Die Archivprofile für ein Hochsicherheits-Archiv müssen Benutzern direkt zugewiesen werden und diese Benutzer ebenfalls über die Eigenschaft Hochsicherheit verfügen.
Somit ist ausgeschlossen, dass für besonders sensible Bereiche ein Zugriff ungewollt über Gruppen- und Rollenzuweisungen erfolgen kann.Wenn die Eigenschaft Hochsicherheit einem Benutzer zugewiesen ist, kann das Benutzerkennwort nur von diesem Benutzer geändert werden. Der Organisationsadministrator kann das Kennwort für diesen Benutzer nur zurücksetzen, aber nicht ändern.
Für Benutzer mit Sicherheitsstufe Hoch ist es nicht möglich, sich über ein Trusted Login anzumelden, da beim Trusted Login die Sicherheit nicht über DocuWare gewährleistet wird.
Dokumente verschlüsseln
Um sicherzustellen, dass selbst Administratoren nicht unautorisiert sensible Dokumente lesen können, lassen sich in DocuWare Dokumente verschlüsselt speichern. Mit dieser Option können Sie den Zugriff auf Dokumente auch im Dateisystem zuverlässig unterbinden.
Der Schlüssel ist standardmäßig 256 Bit lang.
Beachten Sie bitte speziell für DocuWare On-Premises:
DWX-Dateien sind nicht verschlüsselt. In DWX-Dateien lassen sich Metadaten zum Dokument zusätzlich zu der Speicherung am Archiv-Speicherort sichern.
Verschlüsselte Archive sind für autorisierte Nutzer nur bei Verfügbarkeit des entsprechenden Schlüssels nutzbar. Die Dokument-Schlüssel werden über ein asymmetrisches Verfahren mit einem in der Datenbank gespeicherten Schlüssel entschlüsselt. Da die Dokumente ohne den Schlüssel in der Datenbank nicht entschlüsselt werden können, muss bei verschlüsselter Ablage darauf geachtet werden, dass von den DocuWare-System-Tabellen ein regelmäßiges Backup erstellt wird, um bei Verlust der Datenbank insbesondere die Schlüssel-Tabellen wieder herstellen zu können.
Volltext-Dateien können nicht durch DocuWare verschlüsselt werden. Die Indexdaten in der Datenbank sind ebenfalls nicht verschlüsselt. Enthalten diese Daten sensible Informationen, ist auf die Sicherungsmöglichkeiten des Datenbank-Anbieters zurückzugreifen.