Sind Admin-Rechte in der Produktion nur für DevOps gerechtfertigt? – Frage zur IT-Audit-Konformität in mittelständischem Unternehmen?
Ich arbeite in einem mittelständischen Unternehmen als Product Owner auf Basis einer CRM-Technologie. Es gab mehrere Fälle, in denen ich dem Business nicht direkt helfen konnte, wenn sie Unterstützung bei Reports in der Produktionsumgebung angefragt haben, da ich keine Admin-Rechte auf der Plattform habe. Deshalb kann ich weder selbst einsehen noch das Notwendige für den jeweiligen Report erstellen oder bearbeiten.
Nur das Dev-Operations-Team hat Admin-Zugriff auf die Produktionsumgebung – sonst niemand. Ich habe dieses Problem an meinen Vorgesetzten eskaliert, der daraufhin mit dem Leiter des Dev-Operations-Teams gesprochen hat. Dieser erklärte, dass das Unternehmen bereits Audits hatte und wenn Admin-Rechte an Personen außerhalb seines Dev-Teams vergeben würden, könnte dies zu Problemen führen.
Ich suche aktuell nach Rat. Unter meinen Kontakten antwortet leider niemand – sie arbeiten selbst im IT-Bereich. Gibt es hier jemanden, der sich mit solchen Audits auskennt und sagen kann, ob die Sorge des Dev-Leiters berechtigt ist, Admin-Rechte nur seinem Team zu geben und nicht z. B. auch den Product Ownern – oder der Scrum Masterin, die ja ebenfalls keine Entwicklerin ist?
4 Antworten
Es gab mehrere Fälle, in denen ich dem Business nicht direkt helfen konnte, wenn sie Unterstützung bei Reports in der Produktionsumgebung angefragt haben, da ich keine Admin-Rechte auf der Plattform habe.
Solange Tickets an das DevOps-Team stellen dass diese Reports erstellt werden sollen, bis die keine Lust mehr haben. Wie granular kann man in dem System Berechtigungen vergeben? Es gibt Systeme, in der es die Rolle des Report-Designers gibt, die würde dir ja dann ausreichen.
Und ja, es kann durch regulatorische Auflagen so sein, dass die Admin-Berechtigungen im IT-Bereich sind. Ich betreue ein LIMS - bin also Admin auf dem Windows-System. Innerhalb des LIMS habe ich keinerlei Berechtigungen (brauch ich auch nur ganz selten), wenn ich die aber brauche geht das über Laborleitung und QM mit ganz viel ausgedrucktem Papier.
Eine gute Administration verteilt Rechte aller Art immer nach diesem Prinzip: So viel wie nötig, aber so wenig wie möglich! Wird oft nicht so gehandhabt weil das mehr Pflegeaufwand bedeutet als pauschal maximale Rechte zu vergeben.
Aber wer mehr Rechte hat als er braucht, kann Fehler ins System bringen, sei es völlig unabsichtlich.
Bei den Audits geht es meißt darum "wer kann "was" "wann" "wie" machen".
Wenn du natürlich volle Zugriffsrechte auf die komplette IT-Infrastruktur erhältst, dann bist du, oder deine Handlungen generell ein "Gefahrenpotential".
Du musst dann auch für alles, was über deinen "Account" läuft gerade stehen.
Wenn du für deine Arbeit weitere Rechte benötigst, dann sprich mit deinem Chef darüber. Das ist alles Bürokrathie.
Du solltest dir nur im klaren darüber sein, dass wenn du mehr Rechte hast, dass du dann im Gegenzug auch mehr Verantwortung hast.
Wenn du das nicht willst, dann gehe lieber den Weg über die DEV-OPS, um dir im Fall der Fälle die Berechtigungen zu holen.
Die Sorge ist berechtigt. In den meisten Firmen sind die Adminrechte aber aufteilbar. Also zB dass du nur sehen und nicht bearbeiten kannst.