E. Schritt 138: Zugangsrechte und Zugangspflichten festlegen.
Zugangsrechte dürfen niemals ein Statussymbol sein oder werden:
Die Sekretärin benötigt die modernste Technik, nicht der Chef.
Generelle Ziele, die auch sowohl stetige, permanente und finale
Ziele sind, d.h. immer(!!!) offene Ziele bleiben.
- Personen schützen.
- Sachen schützen.
- Objekte schützen.
- Daten schützen.
- Nur bestimmte Verwendungen und Nutzungen ermöglichen und zulassen.
- Kooperation ermöglichen.
- Schaden abwenden.
- Fehlverhalten vermeiden.
- Fehlverhalten verhindern.
- Bestandsschutz.
- Kriminelles verhindern.
- Den Eintritt von Risiken verhindern.
- Kontrollen ermöglichen, sicherstellen, erzwingen.
- Schwachstellen konsequent beseitigen.
- Schaden begrenzen.
- Die Rechte durchsetzen und wahren.
- Sicher und wirksam Unbefugte abwehren.
- Sabotage abwehren und verhindern.
- Spionage abwehren und verhindern.
Die Ziele sind Vermeidungsziele, d.h. erreicht, wenn "nichts
passiert".
Die Zugangsrechte und -pflichten können geregelt werden (müssen)
für z.B.
- Zugang zu Personen,
- Zugang zu Grundstücken, Gebäuden, Räumen,
- Zugang zu Einrichtungen, Vorrichtungen, Maschinen, Geräten,
- Zugang zu Hilfsmitteln, Datenträgern, Eingabe- und
Ausgabegeräten, Anzeigegeräte,
- Zugang zu Informationen,
- Zugang zu offenen Fragen, Anliegen, Problemen, Lösungen,
Antworten,
- Zugang zu Archiven, Wissen, Patenten, Beschreibungen,
Anleitungen, Vorlagen,
- Zugang zu Ergebnissen, Zwischenergebnissen,
- Zugang zu Gremien, Treffen, Besprechungen,
- Zugang zu Schlüsselpersonen wie Experten, Entscheidern,
Vorgesetzten, Aufsichtspersonen, Kontrollpersonen.
Die Zugangsrechte und -pflichten können ermöglicht, erleichtert,
durchgesetzt, erzwungen, überwacht und angepasst werden z.B. durch:
- Gestaltung der Räume,
- formale Organisation, wie Hierarchie, Anforderungen an die
Zugehörigkeit, Mitgliedschaft, Sonderrechte,
- Eignungstests, Prüfungen, Überprüfungen,
Mitgliedsbedingungen, Ausschlussbedingungen,
- Auswahlverfahren, Zulassungsverfahren,
Genehmigungsverfahren,
- Technische Vorkehrungen wie z.B. Codes, Kennkarten,
Anmeldeverfahren, Passwörter,
- Regeln und Spielregeln wie z.B. Ehrenkodex, Vorschriften,
Gesetze, Haftungsregeln, Verhalten bei Gefährdungen und in
Gefahren, Meldepflichten,
- Persönliche, öffentliche Verpflichtungen wie z.B. durch
Schwur, Anerkennung der Verfassung, Vereidigung, Verleihungen
von Titeln, Ernennungen,
- Persönliche Verpflichtungen der Anerkennungen und Einhaltung
von Regeln und Spielregeln, wie z.B. durch Uniformen, Umgang mit
Einrichtungen, Ausrüstungen, Waffen, Vorrechten, Sonderrechten,
Abzeichen,
- Kontrollen von z.B. Ausweisen, Umgang mit den erteilten
Rechten und auferlegten Pflichten, Berechtigung der (weiteren)
Eignung und Zuverlässigkeit,
- Sanktionen und Konsequenzen bei Fehlverhalten.
Während die Zugangsrechte und -pflichten der offensichtlich
Betroffenen und Beteiligten häufig geregelt werden, werden vielfach
die faktisch bestehenden Zugangsmöglichkeiten von Dritten übersehen,
z.B. von
- Besuchern, Delegationen, Gästen, Kollegen und Kolleginnen
aus anderen Fachgebieten, Bereichen, Zuständigkeiten,
Vorgesetzten, Mitarbeitenden,
- Servicepersonal, z.B. für technische und elektrische
Anlagen, Reinigungspersonal,
- Handwerker, Beauftragte für Reparaturen, Pflege, Wartungen,
- Hilfsorganisationen wie Provider, Anbieter von Clouds,
gemeinsame Daten- und Dokumentenverwaltungen, IT-Services,
Suchmaschinen, so genannte Wikis (Datenbanken,
"Wissensdatenbanken"), Archiven,
- Beratern, Trainern, Coaches, externe Experten,
Wissenschaftlern, Steuerberatern, Wirtschaftsprüfern,
Kontrolleuren, Zertifizierern,
- Personen, die direkt oder indirekt mit den Kontrollen und
Überwachungen beauftragt werden wie Personenschützer,
Objektschützer, Wachpersonal, Überwachungspersonal,
Kontrollpersonal,
- Hilfspersonen wie Studenten, Praktikanten, Hilfskräften,
Aushilfskräften, Mitarbeitende in der Verwaltung,
Administration, Kommunikation und Information, Verpflegung,
- internen und externen Dienstleistenden aller Art wie
Rechtsabteilung, Vertragswesen, Personalwesen, Controlling,
Qualitätsmanagement, Logistik, Beschaffung, Transport,
Abrechnung, Behörden, Wartungsdiensten, Lieferanten, Boten,
Sicherungsdiensten, Notfalleinrichtungen, Hilfseinrichtungen,
Sozialen Einrichtungen, Müllabfuhr,
- Experten wie Programmierer, IT-Systempfleger, Personen im
Datenschutz und in der Datensicherung,
- Entsorger von nicht mehr genötigten, defekten oder
überholten Geräten, Einrichtungen, Vorrichtungen, Datenträger,
Medien.
In den Krimis, Romanen sowie Berichten über tatsächliche
Schadensereignisse und in Gerichtsverfahren wird ausreichend
anschaulich behandelt, wie Dritte zu schädigendem Verhalten
eingesetzt werden bzw. wurden: Die Gefährdungen sind also immer
gegeben. Wachheit, Wachsamkeit und Aufmerksamkeit sind und bleiben
immer erforderlich und entscheiden auch darüber, ob die Regelungen
der Zugangsrechte und -pflichten in der jeweils gegebenen Situation
wirken (können).
Anleitungen für die Zugriffsrechte und -pflichten:
- Ermitteln Sie, wozu Sie Zugang haben müssen.
- Ermitteln Sie, von welchem erforderlichen Zugang Sie
ausgeschlossen sind.
- Ermitteln Sie, wer darüber entscheidet, ob Ihnen Zugang
gewährt oder verwehrt oder nur unter bestimmten Bedingungen
zugelassen wird.
- Ermitteln Sie, wie Sie gegebenenfalls die Informationen
erhalten und die Personen rechtzeitig erreichen, zu denen Ihnen
der Zugang verwehrt ist bzw. bleibt.
- Ermitteln Sie die notwendigen Vereinbarungen, Regeln und
Spielregeln.
- Vereinbaren Sie das Notwendige mit den zuständigen und
verantwortlichen Personen.
- Ermitteln Sie, wem Sie Zugang gewähren müssen.
- Ermitteln Sie, wie der Zugang auf die ausgewählten Personen
begrenzt werden kann.
- Ermitteln Sie, wie offensichtlich wird, wenn die
ausgewählten Personen Dritten einen unerlaubten Zugang gewähren.
- Ermitteln Sie die Schwachstellen, die zugangsberechtigte
Personen hindern, die erlaubten Zugänge zu nutzen.
- Ermitteln Sie die Strategien, die zugangsberechtigte
Personen entwickeln könnten, um auch andere als die erlaubten
Zugänge nutzen bzw. sich verschaffen könnten.
- Ermitteln Sie, wie Sie die erlaubten Zugänge vereinbaren.
- Ermitteln Sie, wie Sie wirksam und ohne Vorankündigung
bisher bestehende Zugänge sofort und absolut wirksam beenden
können.
- Ermitteln Sie, wem Sie einen Zugang in jedem Falle
verwehren.
- Ermitteln Sie die Schwachstellen, an welchen Unbefugte
dennoch Zugang erhalten bzw. sich verschaffen könnten.
- Ermitteln Sie die notwendigen Sicherungsmaßnahmen, die einen
Versuch vereiteln, ergebnislos oder zumindest nachweisbar
machen.
- Ermitteln Sie, wie Sie den ausgeschlossenen Personen die
dennoch benötigten Informationen zur Verfügung stellen.
- Ermitteln Sie, wie Sie den ausgeschlossenen Personen in
Ausnahmefällen einen kontrollierten Zugang zu den gewünschten
Personen gewähren und gestalten können.
- Ermitteln Sie, durch welche Vereinbarungen, Regeln und
Spielregeln die Schlüsselpersonen die Zugangsbeschränkungen
beachten (können und müssen).
- Ermitteln Sie, wie Sie die Art und Weise des Umgangs mit
erlaubten Zugängen kontrollieren und überwachen können.
- Ermitteln Sie, wo zufällige oder regelmäßige Begegnungen den
Austausch von Informationen ohne jegliche Zugangsbeschränkungen
und Kontrollmöglichkeiten erlauben.
Mahnungen, Tipps:
Die Inhalte der Ziele ändern sich permanent. Es gibt keine
endgültigen Kriterien für die Messbarkeit der Zielerreichung.
Beobachtbar und messbar sind immer nur die Handlungen, jedoch nicht
deren Tauglichkeit und Wirksamkeit: Die Ziele sind (jeweils)
erreicht, wenn "nichts passiert", gleichgültig, weshalb.
Versäumnisse und Fehler werden erst offensichtlich, wenn "etwas
passiert". Dann ist eine sofortige Schadensbegrenzung immer
wichtiger als eine "Suche nach den Schuldigen und Verantwortlichen".
Wer unbedingt an eine bestimmte Information oder eine Zielperson
herankommen will, schafft dies auch: Die im Zweifelsfall kreative
oder gar kriminelle Energie lässt früher oder später immer Wege
finden.
Alle Zugangskontrollen erfordern einen Aufwand. Die jeweils
zeitlichen Verzögerungen bzw. Kontrollen und Sicherungsmaßnahmen
können erheblich sein.
In der Regel sind alle Zugangskontrollen auch von der Mithilfe
Dritter und / oder von funktionierenden technischen Vorrichtungen
abhängig.
Die generellen Zugänge werden in der Regel durch organisatorische
oder technische Lösungen ermöglicht, erzwungen, kontrolliert,
erschwert oder verhindert. Die Lösungen können für das Projekt oder
das Projektmanagement ausreichen oder sich als unzweckmäßig
erweisen.
Eine erwartete "Arbeitserleichterung" darf niemals ein
hinreichender Grund sein, um Zugänge für Unbefugte zu nutzen oder zu
ermöglichen.
Zugangsrechte und Zugangspflichten sind gerne genutzte Quellen
der Machtausübung. Sie kann angemessen oder unangemessen erfolgen.
Teilnehmerkreis:
Die Zugangsrechte und Zugangspflichten sind immer mit den für die
Sicherheit, Organisation und den Bestand der Organisation
verantwortlichen Personen zu ermitteln, zu gestalten und
gegebenenfalls projektspezifisch anzupassen. Die Regelungen, Regeln
und Spielregeln sowie technischen und organisatorischen Maßnahmen
sind für jedes Projekt spezifisch festzulegen und durchzusetzen.
Aufgaben des Projektmanagements:
Wiederkehrende Aufgaben des Projektmanagements sind z.B.
- Ermitteln Sie die Informationen, zu denen ein Zugang
ausschließlich mit ausdrücklicher Genehmigung des
Projektmanagements gewährt wird.
- Ermitteln Sie die Art und Weise, wie Sie diese Informationen
von allen anderen Zugängen separieren können: Organisatorisch,
technisch, persönlich.
- Ermitteln Sie die Art und Weise, wie sie den separaten
Zugang gestalten.
- Ermitteln Sie die Regeln und Spielregeln sowie die
Vereinbarungen mit den Personen, denen Sie Zugang gewähren.
- Ermitteln Sie, wie Sie die Art und Weise des Umgangs mit den
gewährten Zugangsrechten kontrollieren können.
- Ermitteln Sie die Art und Weise, wie Sie Personen sofort
wirksam von gewährten Zugängen ausschließen können.
- Ermitteln Sie die Art und Weise, wie Sie die weiterhin
zugangsberechtigten Personen von den Ausschlüssen informieren
und deren Beachtung erzwingen können.
- Ermittlung von Hinweisen auf Informationsquellen, die dem
Projektmanagement verschlossen sind oder vor ihm sogar geheim
gehalten werden.
- Ermitteln Sie die Art und Weise, wie Sie Informationen und
Zugang zu Schlüsselpersonen erhalten (können), zu welchen Ihnen
ein direkter Zugang verwehrt ist und bleibt.
- Ermitteln Sie die Art und Weise des Daten-, Dokumenten und
Informationsmanagements, die niemals mehr Informationen
bereitstellt bzw. zugänglich macht, als jeweils für die
zugangsberechtigten Personen erforderlich ist.
- Ermitteln Sie, an welchen Stellen und Schnittstellen
unbefugte Dritte Zugang zu Informationen und Personen erhalten
können, z.B. auch in Clouds, sozialen Medien,
Kommunikationsmedien.
- Ermitteln Sie die Art und Weise der Erzwingung von
Legitimationen bei einem Zugang, z.B. Passwörter,
Identifizierungskarten, Codes.
- Ermitteln Sie die Art und Weise der Erzwingung von
Begrenzungen von Zugängen, z.B. Fristen, Laufzeiten.
- Ermitteln Sie die Art und Weise der Erzwingung der Prüfungen
von Legitimationen bei Verlängerungen von bestehenden Zugängen.
Mehr zum Thema "Zugangsrechte und Zugangspflichten":
- Vertiefungen, Vernetzungen, Verbindungen, Verortung dieses
Arbeitsschrittes in der Projektmatrix:
03_370_000
Koordination der Prozesse der Regelkommunikation:
70_340_000
Rollen, Funktionen und Verantwortungen:
36_036_000
- Verwandte Themen: (ID in der Projektmatrix bzw. für das
Mentoring)
Führung im Projekt:
41_000_000
IT, Netz, Sicherheit:
36_250_000
Verantwortung für Risiko:
70_036_200
Personalarbeit:
36_540_000
Projektoffice, PMU:
36_440_000
Wissensmanagement:
36_460_000
Services:
36_550_000
Verantwortung für Dienste:
70_036_500
Portale, Cloud:
36_630_000
Netzwerke:
36_640_000
Projektmatrix:
90_000_000
Verträge und Vereinbarungen:
06_670_000
Regelkommunikation:
03_340_000
Dienstleistungen:
03_360_000
Termine: 16_000_000
Dokumentation:
14_000_000
Warnsignale:
06_660_000
Berichtswesen:
13_000_000
Dokumentation:
14_000_000
Verhalten:
50_000_000
Hilfsmittel:
06_610_000
Aktuelle Stände:
17_000_000
Notizen: 19_000_000
Methoden:
60_000_000
Risiko-, Konflikt- und Krisenmanagement:
03_370_000
Projektsteuerung:
32_000_000
Schnittstellen:
99_100_000
- Empfohlene Suchbegriffe:
Datenschutz
Datensicherheit
Regelkommunikation
Geheimhaltung
Verteilerlisten
Verträge und Vereinbarungen
Vertretungsmacht
Formale Rollen in Organisationen
Spielregeln in Organisationen
AGB, Allgemeine
Geschäftsbedingungen
Usancen, Gewohnheitsrechte
Heimliche und unheimliche Regeln
und Spielregeln