Rollen & Rechte (RBAC)

Ein sauberes Rollenmodell schützt Systeme, vereinfacht Abläufe und dokumentiert Verantwortlichkeiten. Dieser Leitfaden zeigt, wie Sie Rollen entwerfen, Berechtigungen zuweisen und Freigaben (Vier-Augen-Prinzip) einführen.

Compliance Sicherheit Betrieb
Voraussetzungen
  • NEXUS Dashboard-Zugang (Admin)
  • Benutzerlisten (Team/Externe)
  • Prozesse mit Freigabepflicht definiert

1) Grundlagen: Was bedeutet RBAC?

Role-Based Access Control (RBAC) ordnet Berechtigungen nicht einzelnen Personen, sondern Rollen zu (z. B. „Front Office“, „Housekeeping“, „Technik“, „Management“). Benutzer erhalten eine oder mehrere Rollen. So bleiben Rechte konsistent, Änderungen sind zentral steuerbar, und Audits werden einfacher.

Prinzipien: Need-to-know, Least Privilege, Segregation of Duties (Trennung kritischer Aufgaben).

2) Rollen entwerfen: Von Aufgaben her denken

Starten Sie mit Aufgaben, nicht mit Personen. Welche Tätigkeiten gibt es im Alltag? (Buchungen anlegen, Angebote pflegen, Gutscheine freigeben, Schlüssel widerrufen, Regeln ändern …) Gruppieren Sie diese Tätigkeiten zu logischen Rollen. Vermeiden Sie „Superrollen“, die alles können.

Beispiel-Rollen

  • Front Office: Buchung einsehen, Check-in/-out, Wallet-Key versenden
  • Housekeeping: Zutritt Tagesfenster, Status setzen
  • Revenue/Vertrieb: Raten/Angebote/Gutscheine pflegen (ohne Freigabe)
  • Manager Freigabe: Freigaberechte für Preise/Gutscheine
  • Technik: Integrationen, SmartRoom/Key Setup
  • Admin: Benutzer/Rollen verwalten

Anti-Pattern

  • Personenrollen („Anna-Rolle“) → schwer wartbar
  • „Alles-kann“-Rollen → unnötiges Risiko
  • Doppelte Zuständigkeiten → unklare Verantwortung

3) Rechte zuweisen: Module & Aktionen

In den Einstellungen „Benutzer & Rollen“ ordnen Sie pro Rolle Module (Booyage, SmartKey, SmartRoom, SmartGuest, Integrationen) und Aktionstypen zu (Lesen, Erstellen, Bearbeiten, Freigeben, Löschen, Exportieren).

Best Practice: Beginnen Sie mit Lesen + Erstellen für die meisten Rollen, vergeben Sie Freigeben/Löschen nur an wenige Vertrauensrollen (z. B. Manager).

4) Vier-Augen-Prinzip & sensible Aktionen

Für Änderungen mit Risiko (z. B. Preisänderungen, große Gutscheinkontingente, Rechteausweitung, Massenaussendungen) aktivieren Sie Freigaben. Eine Person bereitet vor, eine andere gibt frei. Der Audit-Trail zeichnet beide Schritte nach.

  • Freigabe-Schwellen (z. B. Rabatt > 20 %, Kontingent > 100)
  • Freigabe-Rollen (Manager, Direktion)
  • Benachrichtigung (E-Mail/Inbox) an Freigeber

5) Onboarding & Offboarding

Neue Mitarbeitende erhalten eine Startrolle (z. B. „Front Office“). Legen Sie ein Onboarding-Checkblatt an (Login, 2FA, Schulung, Testfälle). Beim Offboarding: Nutzer deaktivieren, aktive Sitzungen beenden, Schlüssel widerrufen.

Onboarding-Checkliste

  • Benutzer anlegen (Vorname.Nachname)
  • Startrolle zuweisen
  • 2FA aktivieren (App/SMS)
  • Kurze Schulung + Testfall

Offboarding-Checkliste

  • Benutzer deaktivieren
  • Wallet-Keys/Karten widerrufen
  • Offene Freigaben umhängen
  • Audit-Export Zeitraum: letzte 30 Tage

6) Regelmäßige Kontrollen & Audit

Planen Sie vierteljährliche Access Reviews: Rollenbestand, zugewiesene Benutzer, Ausnahmen, temporäre Rechte. Exportieren Sie die Liste und dokumentieren Sie Abweichungen mit Maßnahmen.

Weiter: Audit-Export & Nachvollziehbarkeit
Audit-Export Webinar ansehen