Eine kritische Rechtekombination

Ein Beispiel macht deutlich, was das im Einzelnen bedeutet: Zunächst erscheint es leicht, festzulegen, welche unterschiedlichen Berechtigungs-Sets Studenten, Mitarbeiter und Dozenten einer Universität bekommen sollten. Sobald aber Studenten einen Aushilfs-Job haben, für den sie auch Rechte eines Mitarbeiters brauchen, wird es schon komplizierter. Wenn diese Studenten gar als Doktoranden an der Hochschule lehren, benötigen sie auch Dozentenrechte. Hat ein Student aber sowohl Studenten- als auch Mitarbeiter- und Dozentenrechte, besteht die Gefahr, dass er in der Dozentenrolle, in der er andere Studenten zu bewerten hat, auch sich selbst eine Note ausstellt und diese dann in der Mitarbeiterrolle in seine Studentenakte einträgt.

Diese Gefahr auszuschließen und den Prozess lückenlos zu definieren erfordert langes, mit viel Erfahrung und Weitblick verbundenes Feilen. Das kann keiner allein und neben seinem Alltagsgeschäft erledigen. Trotzdem wird Vergleichbares oft erwartet. Führungskräfte verlassen sich dabei auf die Wirkung der Policies, welche die IT verpflichten, kritische Rechtekombinationen zu eliminieren. Sie übersehen, dass Policies die Frage, welche einzelnen Rechte nicht miteinander kombiniert werden dürfen, nicht beantworten.