Skip to content

Wer darf was sehen? Das Berechtigungs-Konzept einfach erklärt

Kurzfassung

Prilog entscheidet bei jedem Zugriff neu und nach immer derselben Regel, ob jemand etwas sehen oder tun darf. Das Grundprinzip: Was nicht ausdrücklich erlaubt ist, ist verboten. Darüber liegen feine Schutzstufen, eng begrenzte Ausnahmen und ein lückenloses Protokoll. Niemand bekommt „nebenbei" mehr Rechte — auch Administratoren nicht.

Dieser Eintrag erklärt das Konzept ohne Technik-Vorwissen — mit einem Bild, das jede:r kennt: ein Gebäude mit Räumen, Schlüsseln, einem Türsteher und einem Logbuch.

Das Bild: ein Gebäude mit einem Türsteher

Stellen Sie sich Prilog wie ein Gebäude mit vielen Räumen vor. Jeder Raum ist ein Bereich mit Daten — ein Klassen-Space, ein Dokument, ein Beschwerdefall, Ihr eigenes Fach.

                 ┌─────────────────────────────────────┐
   Sie  ───────► │  TÜRSTEHER  (entscheidet bei jedem    │ ──► Raum (Daten)
                 │  Schritt nach fester Reihenfolge)     │
                 └─────────────────────────────────────┘
                        │            │            │
                  hat Schlüssel?  Hausverbot?  Logbuch-Eintrag
                  (Basis-Recht)    (DENY)       (Audit)
  • Der Türsteher ist die zentrale Prüfung (can()). Er lässt niemanden „weil schon immer so" durch, sondern fragt jedes Mal dieselben Dinge in derselben Reihenfolge.
  • Das Logbuch am Eingang hält fest, wer wann an welche sensible Tür wollte — egal ob erfolgreich oder abgewiesen.

Die fünf Bausteine — jeweils mit einem Bild

BausteinBildBedeutung
Basis-RechtIhr HausschlüsselGehören Sie regulär dazu? (Mitglied im Space, Eigentümer des Fachs, zuständige Fallrolle …)
SchutzstufeEin Aufkleber an der TürWie geheim ist der Raum? normal · intern · vertraulich · streng
Ausnahme ALLOWEin TagesausweisEine einzelne, befristete, begründete Erlaubnis für genau eine Tür
Ausnahme DENYEin HausverbotEine ausdrückliche Sperre — sticht alles andere
ProtokollDas LogbuchJeder sensible Zugriff wird mitgeschrieben (nur wer/wann/was — keine Inhalte)

Wichtig: Die Schutzstufe kann nur zusperren, nie aufsperren

Ein „vertraulich"-Aufkleber macht eine Tür enger (weniger Leute dürfen rein). Er öffnet niemals eine Tür, die ohne ihn zu wäre. Eine höhere Stufe = mehr Schutz, nie mehr Zugriff.

So entscheidet der Türsteher — immer in dieser Reihenfolge

Der Türsteher arbeitet eine feste Liste ab. Die erste klare Antwort gewinnt — danach hört er auf zu fragen:

  1. Gibt es ein Hausverbot (DENY)? → Dann ist Schluss. Sofort abgewiesen.
  2. Ist die Tür besonders geschützt und Sie gehören nicht zur befugten Gruppe? → Nur mit gültigem Tagesausweis (ALLOW) rein, sonst abgewiesen.
  3. Haben Sie einen Tagesausweis (ALLOW)? → rein.
  4. Sind Sie Administrator — und erlaubt diese Tür das ausdrücklich? → rein. (Bei sensiblen Türen ist das bewusst ausgeschaltet, siehe unten.)
  5. Ist es Ihr eigener Spind (Sie sind Eigentümer)? → rein.
  6. Haben Sie den normalen Hausschlüssel (Basis-Recht)? → rein.
  7. Sonst: Tür bleibt zu.

Die drei goldenen Regeln

1. Im Zweifel: zu

Findet der Türsteher keinen ausdrücklichen Grund, der für Sie spricht, bleibt die Tür geschlossen. Sicherheit ist die Voreinstellung, nicht die Ausnahme.

2. Hausverbot gewinnt immer

Ein DENY schlägt alles — auch einen Tagesausweis, auch den Eigentümer, auch den Administrator. So lassen sich z. B. Beschuldigte aus einem Fall heraushalten oder Akten unter „Aktensperre" legen.

3. Ihr eigenes Fach gehört Ihnen — fremde Räume nicht

Als Eigentümer kommen Sie immer an Ihr eigenes persönliches Fach, selbst wenn es als „vertraulich" markiert ist (es sind ja Ihre Daten). Das gilt nur für echte persönliche Fächer und nie für fremde Räume.

Beispiele aus dem Schulalltag

SituationWas passiertWarum
Lehrkraft öffnet ein Dokument ihres Klassen-SpacedarfHausschlüssel: Mitglied des Space (Basis-Recht)
Elternteil will ein als vertraulich markiertes Personaldokument öffnenabgewiesenSchutzstufe sperrt; Eltern gehören nicht zur befugten Gruppe
Schülerin öffnet ihr eigenes Postfach-DokumentdarfEigener Spind (Eigentümer) — auch bei „vertraulich"
Vertretungslehrkraft soll für einen Tag in eine fremde Akte schauendarf, befristetTagesausweis (ALLOW) mit Ablaufdatum, begründet, protokolliert
Beschuldigte:r in einem Beschwerdefall versucht, den eigenen Fall zu öffnenabgewiesenHausverbot (DENY) sticht jede andere Rolle
Administrator ohne fachliche Rolle will einen Hinweisgeber-Fall lesenabgewiesenBei sensiblen Fällen ist der Admin-Generalschlüssel ausgeschaltet

„Sieht der Administrator nicht sowieso alles?" — Nein

Das ist der wichtigste Punkt für das Vertrauen aller Beteiligten:

  • Bei sensiblen Bereichen (z. B. Beschwerde-, Kinderschutz- oder Hinweisgeberfälle, fremde persönliche Fächer) ist der Generalschlüssel des Administrators bewusst deaktiviert. Ein Admin sieht solche Inhalte nur, wenn er dafür eine echte fachliche Rolle hat — nicht allein, weil er Admin ist.
  • Ein Administrator kann organisieren (Module ein-/ausschalten, Konten anlegen), aber er erhält dadurch keinen automatischen Lesezugriff auf vertrauliche Fachdaten.

Ausnahmen sind eng und sichtbar

Es gibt Ausnahmen (Tagesausweis ALLOW, Generalschlüssel für bestimmte Türen). Aber sie sind immer ausdrücklich freigeschaltet, eng begrenzt, begründet und protokolliert — nie ein stiller Standardweg. Was die normale Berechtigung verschließt, kann nur über eine solche sichtbare Einzel-Ausnahme geöffnet werden.

Das Logbuch (Audit-Protokoll)

Jeder Zugriff auf sensible Daten wird im Audit-Protokoll festgehalten — auch abgewiesene Versuche auf besonders geschützte Inhalte.

  • Protokolliert werden nur Metadaten: wer, wann, welche Aktion, welches Objekt, welche Schutzstufe, erlaubt oder abgewiesen. Keine Inhalte (keine Dokumenttexte, keine Nachrichten).
  • Selbst wenn das Schreiben des Protokolls einmal ausfällt, wird der Zugriff nie blockiert — aber das System schlägt im Hintergrund Alarm, damit eine Lücke in der Nachweiskette nicht unbemerkt bleibt.

So finden Sie das Audit-Protokoll

Nur für Administrator:innen

Das Audit-Protokoll ist Administrator:innen vorbehalten. Normale Nutzer:innen sehen den Punkt nicht.

  1. Oben rechts auf Ihr Profil/Zahnrad klicken und Einstellungen öffnen.
  2. Im Bereich Workspace den Punkt Audit-Protokoll wählen.
  3. Sie sehen eine Tabelle aller protokollierten Zugriffe — der neueste oben.

Was Sie dort tun können:

  • Filtern nach: Aktion (z. B. Ansehen, Herunterladen), Benutzer, Objekttyp, Ergebnis (erlaubt / abgewiesen), App und Zeitraum.
  • An der Schutzstufe (farbige Markierung) erkennen, wie sensibel das betroffene Objekt war.
  • Den gefilterten Auszug als CSV-Datei exportieren — z. B. für eine Auswertung oder zur Vorlage bei Ihrem Datenschutzbeauftragten.

Was Sie sehen — und was nicht

Sie sehen wer, wann, welche Aktion, welches Objekt, welche Schutzstufe, erlaubt oder abgewiesen. Sie sehen keine Inhalte (keine Dokumenttexte, keine Nachrichten) — das Protokoll dokumentiert den Zugriff, nicht den Inhalt.

Häufige Fragen

Bekomme ich durch eine neue Rolle automatisch mehr zu sehen? Nein. Rechte werden ausdrücklich vergeben. Eine Rollenzugehörigkeit allein weitet den Zugriff nicht „nebenbei" aus.

Was ist mit dem Chat? Der Chat hat seine eigene Mitgliedschaftslogik (wer im Raum ist, sieht den Raum). Das Berechtigungs-Konzept hier regelt die Daten und Akten, nicht die Chat-Inhalte.

Warum sehe ich einen Fall in der Liste nicht, von dem ich gehört habe? Sehr wahrscheinlich greift eine Schutzstufe: Der Fall ist einer engeren Gruppe vorbehalten (z. B. nur dem Kinderschutz-Team). Das ist Absicht (Need-to-know).


Für Interessierte

Hinter diesem Konzept steht ein verbindlicher, technischer Sicherheitsvertrag mit festen Invarianten, gegen den jede App nachweisbar (mit automatischen Tests und Live-Abnahmen) geprüft wird. Verwandte Handbuch-Themen: Benutzertypen · Datenschutz & DSGVO · Rollen in Spaces.