Berechtigungen verwalten¶
So verwalten Sie Rollen und Berechtigungen in der LysisAI Plattform.
Voraussetzungen¶
Bevor Sie beginnen
- Sie sind als Administrator angemeldet
- Sie verstehen die unterschiedlichen Rollen im System
- Nur Administratoren können Berechtigungen verwalten
Was sind Berechtigungen?¶
Berechtigungen steuern, wer was in der LysisAI Plattform tun darf:
- Rollenbasierter Zugriff - Jeder Benutzer hat eine Rolle mit definierten Berechtigungen
- Funktions-Kontrolle - Bestimmt, welche Features sichtbar sind
- Daten-Isolation - Sicherstellt, dass Benutzer nur ihre eigenen Daten sehen
- Sichere Trennung - Mandanten haben keinen Zugriff auf Admin-Funktionen
Rollen-Übersicht¶
Standard-Rollen¶
Die LysisAI Plattform hat drei vordefinierte Rollen:
| Rolle | Zielgruppe | Hauptaufgaben |
|---|---|---|
| Administrator | IT-Verantwortliche, Geschäftsführung | Vollständige Systemverwaltung |
| Mitarbeiter | Steuerberater, Buchhalter | Mandantenbetreuung, Dokumentenverwaltung |
| Mandant | Kunden, Klienten | Dokumenten-Upload, Kommunikation |
Administrator-Berechtigungen¶
Was kann ein Administrator?¶
Administratoren haben vollständigen Zugriff auf alle Funktionen:
Benutzerverwaltung¶
- ✅ Benutzer anlegen, bearbeiten, löschen
- ✅ Rollen zuweisen und ändern
- ✅ Passwörter zurücksetzen
- ✅ Benutzer aktivieren/deaktivieren
Mandantenverwaltung¶
- ✅ Mandanten anlegen, bearbeiten, löschen
- ✅ Mitarbeiter zuweisen
- ✅ Alle Mandantendaten einsehen
- ✅ Mandanten-Status ändern
Systemeinstellungen¶
- ✅ Systemparameter konfigurieren
- ✅ E-Mail-Einstellungen verwalten
- ✅ Plugin-Einstellungen ändern
- ✅ Wartungsmodus aktivieren
- ✅ Backup erstellen und wiederherstellen
- ✅ Audit-Logs einsehen
Dokumentenverwaltung¶
- ✅ Alle Dokumente aller Mandanten sehen
- ✅ Dokumente hochladen/herunterladen
- ✅ Kategorien verwalten
- ✅ Dokumente löschen
Kommunikation¶
- ✅ Alle Konversationen einsehen
- ✅ Mit allen Benutzern kommunizieren
- ✅ Benachrichtigungs-Einstellungen verwalten
Administrator-Verantwortung
Mit großer Macht kommt große Verantwortung. Administratoren sollten vorsichtig mit sensiblen Daten umgehen und Änderungen dokumentieren.
Mitarbeiter-Berechtigungen¶
Was kann ein Mitarbeiter?¶
Mitarbeiter haben eingeschränkten Zugriff auf zugewiesene Mandanten:
Mandanten-Zugriff¶
- ✅ Nur zugewiesene Mandanten sehen
- ✅ Dokumente zugewiesener Mandanten einsehen
- ✅ Dokumente für Mandanten hochladen
- ✅ Mit zugewiesenen Mandanten kommunizieren
- ❌ Neue Mandanten anlegen
- ❌ Andere Mandanten sehen
Dokumentenverwaltung¶
- ✅ Dokumente der zugewiesenen Mandanten verwalten
- ✅ Dokumente hochladen (für Mandanten)
- ✅ Dokumente herunterladen
- ✅ Dokumente in Kategorien einordnen
- ❌ Kategorien erstellen/löschen (nur zuweisen)
Kommunikation¶
- ✅ Konversationen mit zugewiesenen Mandanten
- ✅ Nachrichten senden und empfangen
- ✅ Dateien in Konversationen teilen
- ❌ Konversationen anderer Mitarbeiter sehen
System¶
- ✅ Eigenes Profil bearbeiten
- ✅ Passwort ändern
- ✅ Benachrichtigungs-Einstellungen anpassen
- ❌ Systemeinstellungen ändern
- ❌ Andere Benutzer verwalten
- ❌ Audit-Logs einsehen
Mandanten-Zuweisung
Mitarbeiter sehen nur Mandanten, die ihnen explizit von einem Administrator zugewiesen wurden.
Mandanten-Berechtigungen¶
Was kann ein Mandant?¶
Mandanten haben stark eingeschränkten Zugriff nur auf eigene Daten:
Eigene Dokumente¶
- ✅ Eigene Dokumente hochladen
- ✅ Eigene Dokumente herunterladen
- ✅ Eigene Dokumente anzeigen
- ❌ Dokumente anderer Mandanten sehen
- ❌ Dokumente löschen (nur Admin/Mitarbeiter)
Kommunikation¶
- ✅ Konversationen mit zugewiesenen Mitarbeitern starten
- ✅ Auf Nachrichten antworten
- ✅ Dateien in Konversationen anhängen
- ❌ Mit anderen Mandanten kommunizieren
- ❌ Mit nicht zugewiesenen Mitarbeitern kommunizieren
Profil¶
- ✅ Eigenes Profil ansehen
- ✅ Passwort ändern
- ✅ Benachrichtigungs-Einstellungen anpassen
- ❌ Eigene E-Mail-Adresse ändern (nur Admin)
- ❌ Rolle ändern
System¶
- ❌ Keine Systemeinstellungen sichtbar
- ❌ Keine Benutzerverwaltung
- ❌ Keine Mandantenverwaltung
- ❌ Keine Admin-Funktionen
Datenschutz
Mandanten sehen ausschließlich ihre eigenen Daten. Die Isolation zwischen Mandanten ist garantiert.
Berechtigungen zuweisen¶
Rolle eines Benutzers ändern¶
So ändern Sie die Rolle eines bestehenden Benutzers:
- Gehen Sie zu Administration → Benutzer
- Klicken Sie auf das Bearbeiten-Symbol neben dem Benutzer
- Wählen Sie die neue Rolle aus dem Dropdown
- Klicken Sie auf Speichern
Rollen-Änderung
Die Rolle wird sofort wirksam. Der Benutzer wird automatisch abgemeldet und muss sich neu anmelden.
Mandanten zuweisen (für Mitarbeiter)¶
So weisen Sie einem Mitarbeiter Mandanten zu:
Über Benutzerverwaltung:¶
- Öffnen Sie den Mitarbeiter zur Bearbeitung
- Wählen Sie Mandanten zuweisen
- Wählen Sie Mandanten aus der Liste
- Klicken Sie auf Speichern
Über Mandantenverwaltung:¶
- Öffnen Sie den Mandanten zur Bearbeitung
- Wählen Sie Mitarbeiter hinzufügen
- Wählen Sie Mitarbeiter aus der Liste
- Klicken Sie auf Speichern
Beidseitige Zuweisung
Die Zuweisung funktioniert in beide Richtungen. Sie können entweder vom Mitarbeiter oder vom Mandanten aus zuweisen.
Berechtigungsmatrix¶
Detaillierte Übersicht aller Berechtigungen¶
| Funktion | Administrator | Mitarbeiter | Mandant |
|---|---|---|---|
| Benutzerverwaltung | |||
| Benutzer erstellen | ✅ | ❌ | ❌ |
| Benutzer bearbeiten | ✅ | ❌ | ❌ |
| Benutzer löschen | ✅ | ❌ | ❌ |
| Rollen zuweisen | ✅ | ❌ | ❌ |
| Mandantenverwaltung | |||
| Mandanten erstellen | ✅ | ❌ | ❌ |
| Mandanten bearbeiten | ✅ | ❌ | ❌ |
| Mandanten löschen | ✅ | ❌ | ❌ |
| Mitarbeiter zuweisen | ✅ | ❌ | ❌ |
| Eigene Mandanten sehen | ✅ | ✅ (zugewiesen) | ❌ |
| Dokumentenverwaltung | |||
| Alle Dokumente sehen | ✅ | ❌ | ❌ |
| Mandanten-Dokumente sehen | ✅ | ✅ (zugewiesen) | ✅ (eigene) |
| Dokumente hochladen | ✅ | ✅ (für Mandanten) | ✅ (eigene) |
| Dokumente herunterladen | ✅ | ✅ (zugewiesen) | ✅ (eigene) |
| Dokumente löschen | ✅ | ✅ (zugewiesen) | ❌ |
| Kategorien verwalten | ✅ | ❌ | ❌ |
| Kommunikation | |||
| Alle Konversationen sehen | ✅ | ❌ | ❌ |
| Konversationen starten | ✅ | ✅ (mit Mandanten) | ✅ (mit Mitarbeitern) |
| Nachrichten senden | ✅ | ✅ | ✅ |
| Dateien anhängen | ✅ | ✅ | ✅ |
| Systemeinstellungen | |||
| Systemeinstellungen | ✅ | ❌ | ❌ |
| E-Mail-Einstellungen | ✅ | ❌ | ❌ |
| Plugin-Einstellungen | ✅ | ❌ | ❌ |
| Wartungsmodus | ✅ | ❌ | ❌ |
| Backup/Restore | ✅ | ❌ | ❌ |
| Audit-Logs | ✅ | ❌ | ❌ |
| Profil | |||
| Eigenes Profil bearbeiten | ✅ | ✅ | ✅ |
| Passwort ändern | ✅ | ✅ | ✅ |
| E-Mail ändern | ✅ (alle) | ❌ | ❌ |
| Benachrichtigungen | ✅ | ✅ | ✅ |
Best Practices¶
Empfohlene Rollenzuweisung¶
- Minimale Rechte:
- Geben Sie nur die minimal notwendigen Berechtigungen
- "Need-to-know"-Prinzip anwenden
-
Regelmäßig überprüfen
-
Administrator-Rollen:
- Maximal 2-3 Administratoren pro Organisation
- Aktivitäten protokollieren (Audit-Log)
-
Zwei-Faktor-Authentifizierung aktivieren (falls verfügbar)
-
Mitarbeiter-Zuweisung:
- Klare Verantwortungsbereiche definieren
- Nicht alle Mandanten allen Mitarbeitern zuweisen
-
Vertretungsregelungen dokumentieren
-
Mandanten-Isolation:
- Sicherstellen, dass Mandanten sich nicht sehen können
- Keine sensiblen Informationen in gemeinsamen Bereichen
- Datenschutz-Richtlinien einhalten
Sicherheitsrichtlinien¶
Passwort-Richtlinien¶
Konfigurieren Sie sichere Passwort-Anforderungen:
- Minimale Länge: 8-12 Zeichen (empfohlen: 12+)
- Komplexität:
- Groß- und Kleinbuchstaben
- Mindestens eine Zahl
-
Mindestens ein Sonderzeichen
-
Ablauf: 90 Tage (optional)
- Wiederverwendung: Letzte 5 Passwörter nicht erlaubt
Session-Sicherheit¶
Konfigurieren Sie Session-Parameter:
- Session-Timeout:
- Inaktivitäts-Timeout: 30 Minuten (empfohlen)
-
Maximale Session-Dauer: 8 Stunden
-
Mehrfach-Anmeldung:
- Erlauben (Standard)
-
Verbieten (höhere Sicherheit)
-
Auto-Logout:
- Bei Inaktivität
- Bei Schließen des Browsers (optional)
Audit-Logging¶
Berechtigungs-Änderungen protokollieren¶
Alle Berechtigungs-Änderungen werden automatisch im Audit-Log protokolliert:
Was wird geloggt: - Rollen-Änderungen (wer, wann, von/zu) - Mandanten-Zuweisungen (wer wurde wem zugewiesen) - Berechtigungs-Verletzungen (versuchter unerlaubter Zugriff) - Admin-Aktionen (kritische Systemänderungen)
Einsehen: 1. Gehen Sie zu Einstellungen → Audit-Log 2. Filtern Sie nach Berechtigungen als Event-Typ 3. Sehen Sie alle Änderungen chronologisch
DSGVO-Konformität
IP-Adressen werden anonymisiert gespeichert (letztes Oktett = .0)
Häufige Szenarien¶
Szenario 1: Neuer Mitarbeiter¶
- Benutzer anlegen als Mitarbeiter-Rolle
- Mandanten zuweisen die er betreuen soll
- Willkommens-E-Mail überprüfen
- Einarbeitung sicherstellen
Szenario 2: Mitarbeiter wechselt Bereich¶
- Alte Mandanten-Zuweisungen entfernen
- Neue Mandanten zuweisen
- Mitarbeiter informieren
- Übergabe dokumentieren
Szenario 3: Mandant kündigt¶
- Mandant deaktivieren (nicht sofort löschen!)
- Aufbewahrungsfristen prüfen (Steuerdokumente!)
- Nach Ablauf: Mandant und Daten löschen
- DSGVO-konform dokumentieren
Szenario 4: Kompromittierter Account¶
- Benutzer sofort deaktivieren
- Passwort zurücksetzen
- Audit-Log prüfen (was wurde getan?)
- Sicherheitsvorfall dokumentieren
- Benutzer informieren und neu aktivieren
Troubleshooting¶
| Problem | Lösung |
|---|---|
| Mitarbeiter sieht Mandant nicht | Prüfen Sie die Mandanten-Zuweisung |
| Benutzer kann Funktion nicht nutzen | Prüfen Sie die Rolle und Berechtigungen |
| "Zugriff verweigert" Fehler | Benutzer hat nicht die erforderliche Berechtigung |
| Rollen-Änderung wirkt nicht | Benutzer muss sich neu anmelden |
| Mandant sieht Admin-Menü | KRITISCH - Rolle überprüfen und korrigieren! |
Erweiterte Berechtigungen (zukünftig)¶
Geplante Features
Folgende Features sind in zukünftigen Versionen geplant:
- Custom Roles - Eigene Rollen mit individuellen Berechtigungen erstellen
- Fine-grained Permissions - Granulare Kontrolle einzelner Funktionen
- Temporary Access - Zeitlich begrenzte Zugriffe vergeben
- Approval Workflows - Genehmigungsprozesse für kritische Aktionen
- Two-Factor Authentication - Zusätzliche Sicherheitsebene