Berechtigungskonzept
Das Berechtigungskonzept regelt, wer in Prosoft auf welche Funktionen und Daten zugreifen darf und wie sich Benutzer authentifizieren. Es folgt dem Grundsatz, dass jeder Benutzer nur die für seine Aufgabe erforderlichen Rechte erhält (Need-to-Know-Prinzip). Die konkrete Vergabe der Rechte sowie die organisatorischen Abläufe rund um Benutzerkonten liegen im Verantwortungsbereich des Kunden.
Benutzer und Benutzergruppen
Das Berechtigungssystem basiert auf Benutzergruppen. Jeder Benutzer ist einer oder mehreren Benutzergruppen zugeordnet. Berechtigungen werden auf der Benutzergruppe definiert, nicht auf dem einzelnen Benutzer. Dadurch lassen sich Rechte konsistent über Rollen vergeben und bei Personalwechsel einfach übertragen.
Modulberechtigungen
Berechtigungen werden je Modul vergeben. Für jedes Modul kann einer Benutzergruppe einer der folgenden Zugriffsmodi zugeordnet werden:
| Zugriffsmodus | Beschreibung |
|---|---|
| Kein Zugriff | Das Modul ist für die Benutzergruppe nicht zugänglich |
| Lesend | Die Daten des Moduls können eingesehen, aber nicht verändert werden |
| Schreibend | Die Daten des Moduls können eingesehen und verändert werden |
Über die vergebenen Berechtigungen kann ein Bericht erstellt werden, der ausweist, welche Benutzergruppe über welche Modulrechte verfügt.
Need-to-Know-Prinzip
Benutzer erhalten ausschließlich die Berechtigungen, die sie für ihre Tätigkeit benötigen. Die Vergabe erfolgt restriktiv über Benutzergruppen: Eine Gruppe bündelt die Rechte einer Rolle, der Benutzer wird der passenden Gruppe zugeordnet. Die Festlegung, welche Rolle welche Module benötigt, trifft der Kunde im Rahmen seiner Organisation.
Privilegierte Rechte
Bestimmte Konten verfügen über erweiterte Rechte und sind besonders zu behandeln:
| Rechtetyp | Beschreibung |
|---|---|
| Super-User | Hat uneingeschränkten Zugriff auf alle Module und Funktionen. Nur Super-User dürfen das Super-User-Kennzeichen anderer Benutzer ändern, Kennwörter anderer Super-User zurücksetzen sowie vordefinierte Benutzer bearbeiten. |
| Vordefinierte Benutzer | Systemseitig angelegte Konten (z. B. der technische Systembenutzer). Sie sind besonders geschützt und können nur von Super-Usern bearbeitet werden; eine Anmeldung als Systembenutzer ist nicht möglich. |
Wichtig: Das Super-User-Kennzeichen sollte sparsam vergeben werden. Die Überwachung privilegierter Konten erfolgt organisatorisch durch den Kunden — empfohlen wird eine regelmäßige Überprüfung, welche Benutzer über Super-User-Rechte verfügen.
Authentifizierung
Kennwörter
- Kennwörter werden niemals im Klartext gespeichert, sondern als gesalzener PBKDF2-Hash. Aus dem gespeicherten Wert lässt sich das Kennwort nicht zurückrechnen.
- Die Kennwortrichtlinie ist konfigurierbar (Systemkonfiguration, Bereich Sicherheit). Einstellbar sind die Mindestlänge sowie die Pflicht zu Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen. Bei Anlage und Änderung eines Kennworts wird die Richtlinie geprüft; ein neues Kennwort muss sich zudem vom bisherigen unterscheiden.
- Über das Kennzeichen „Kennwort bei nächster Anmeldung ändern" kann erzwungen werden, dass ein Benutzer sein Kennwort beim nächsten Login neu vergibt — etwa nachdem ein Administrator es zurückgesetzt hat.
Anmeldesperre
- Fehlerhafte Anmeldeversuche werden gezählt. Nach einer konfigurierbaren Anzahl von Fehlversuchen wird das Konto für eine konfigurierbare Dauer vorübergehend gesperrt. Eine bestehende Sperre weist die Anmeldung auch bei korrektem Kennwort ab.
- Nach erfolgreicher Anmeldung wird der Fehlversuchszähler zurückgesetzt.
- Jeder fehlgeschlagene Anmeldeversuch wird mit Zeitpunkt, Benutzername und Herkunftsrechner im Sicherheitsprotokoll festgehalten.
Zwei-Faktor-Authentifizierung
Eine Zwei-Faktor-Authentifizierung (2FA/MFA) ist derzeit nicht vorhanden. Die Authentifizierung erfolgt über Benutzername und Kennwort bzw. — an Terminals der Zeiterfassung — über Personalkarten-Nummer oder NFC-Chip.
Sitzungen
Jede Anmeldung erzeugt eine Sitzung, die dem Benutzer und dem aktiven Mandanten zugeordnet ist. Alle Aktionen werden im Kontext dieser Sitzung ausgeführt und dem angemeldeten Benutzer zugeordnet. Sitzungen, die sich über einen festgelegten Zeitraum nicht melden, werden automatisch beendet. Details siehe Protokollierung.
Zugriffsschutz der Daten
Der Schutz der Daten vor unbefugtem Zugriff, Löschung oder mutwilliger Veränderung beruht auf mehreren Ebenen:
- Authentifizierung und Berechtigung stellen sicher, dass nur angemeldete Benutzer und nur im Rahmen ihrer Modulrechte auf Daten zugreifen.
- Keine physische Löschung: Stamm- und Bewegungsdaten werden nicht gelöscht, sondern archiviert bzw. storniert. Auch Benutzerkonten werden nicht gelöscht, sondern archiviert (siehe unten). Dadurch bleibt die Nachvollziehbarkeit erhalten.
- Festschreibung: Gebuchte und festgeschriebene Belege sind unveränderlich; Korrekturen sind nur über Stornierungen möglich (siehe Verarbeitungsregeln).
- Protokollierung: Alle Geschäftsvorgänge und Datenänderungen werden mit Benutzer und Zeitstempel aufgezeichnet (siehe Protokollierung).
Wichtig: Der Schutz der Betriebsumgebung — Transportverschlüsselung (TLS) zwischen Arbeitsplatz und Server, Verschlüsselung und Absicherung des Datenbankservers, Netzwerk- und Firewall-Konfiguration, Betriebssystemhärtung sowie die Datensicherung — liegt in der Verantwortung des Kunden als Betreiber der On-Premise-Installation (siehe Systemanforderungen und Datensicherung).
Benutzer-Lebenszyklus
Die Abläufe rund um Benutzerkonten — Eintritt (New Joiner), Wechsel (Changer), Austritt (Leaver) sowie die regelmäßige Überprüfung vergebener Berechtigungen (Rezertifizierung) — liegen im Verantwortungsbereich des Kunden. Prosoft stellt dafür die technischen Mittel bereit:
| Ablauf | Unterstützung in Prosoft |
|---|---|
| Eintritt | Benutzer anlegen, Benutzergruppen zuordnen, initiales Kennwort mit erzwungener Änderung bei der ersten Anmeldung |
| Wechsel | Benutzergruppen-Zuordnung anpassen; Rechte ändern sich automatisch mit der Gruppe |
| Austritt | Benutzer archivieren — der Zugang ist sofort gesperrt, das Konto und seine Historie bleiben erhalten |
| Rezertifizierung | Berechtigungsbericht je Benutzergruppe als Grundlage für die regelmäßige Überprüfung |
Archivieren statt Löschen
Benutzerkonten werden nicht physisch gelöscht, sondern archiviert. Ein archivierter Benutzer kann sich nicht mehr anmelden, sein Konto kann nicht mehr bearbeitet werden und es kann kein Kennwort mehr gesetzt werden. Das Konto bleibt jedoch mitsamt seiner Historie bestehen, sodass alle von diesem Benutzer ausgelösten Vorgänge dauerhaft nachvollziehbar bleiben. Bei Bedarf kann ein archivierter Benutzer wieder reaktiviert werden.