Wenn Sie auf "Alle Cookies akzeptieren" klicken, stimmen Sie der Speicherung von Cookies auf Ihrem Gerät zu, um die Navigation auf der Website zu verbessern, die Nutzung der Website zu analysieren und unsere Marketingaktivitäten zu unterstützen. Weitere Informationen finden Sie in unserer Datenschutzrichtlinie.

Datenschutzpräferenzen

Wenn Sie Websites besuchen, können diese Daten in Ihrem Browser speichern oder abrufen. Diese Speicherung ist häufig für die Grundfunktionen der Website erforderlich. Die Speicherung kann für Marketing, Analysen und die Personalisierung der Website verwendet werden, z. B. für die Speicherung Ihrer Präferenzen. Der Datenschutz ist uns wichtig, daher haben Sie die Möglichkeit, bestimmte Arten der Speicherung zu deaktivieren, die für die grundlegende Funktion der Website nicht erforderlich sind. Das Blockieren von Kategorien kann Ihre Erfahrung auf der Website beeinträchtigen.

Alle cookies ablehnen Alle cookies zulassen

Zustimmungspräferenzen nach Kategorie verwalten

Essential

Immer aktiv

Diese Elemente sind erforderlich, um die Grundfunktionen der Website zu ermöglichen.

Marketing

Essential

Diese Elemente werden verwendet, um Werbung zu liefern, die für Sie und Ihre Interessen relevanter ist. Sie können auch verwendet werden, um die Anzahl der Werbeeinblendungen zu begrenzen und die Wirksamkeit von Werbekampagnen zu messen. Werbenetzwerke platzieren sie in der Regel mit der Erlaubnis des Website-Betreibers.

Personalization

Essential

Diese Daten ermöglichen es der Website, sich an die von Ihnen getroffenen Entscheidungen zu erinnern (z. B. an Ihren Benutzernamen, Ihre Sprache oder die Region, in der Sie sich befinden) und erweiterte, persönlichere Funktionen anzubieten. Eine Website kann Ihnen zum Beispiel lokale Wetterberichte oder Verkehrsnachrichten anbieten, indem sie Daten über Ihren aktuellen Standort speichert.

Analytics

Essential

Diese Daten helfen dem Website-Betreiber zu verstehen, wie seine Website funktioniert, wie Besucher mit der Website interagieren und ob es möglicherweise technische Probleme gibt. Bei dieser Speicherart werden in der Regel keine Informationen gesammelt, die einen Besucher identifizieren.

Meine Einstellungen bestätigen und schließen

Atlassian Standardberechtigungen: Wie schütze ich meine sensitiven Daten?

Anna Schmassmann

1.5.2023

Mit diesem Blogpost möchte ich auf die Haltung von Atlassian bezüglich Verfügbarkeit von Informationen hinweisen. Atlassian ist der Meinung, dass Informationen für alle Nutzenden eines Produkts verfügbar sein sollen. Diese Herangehensweise unterstütze ich grundsätzlich. Dennoch kann es sein, dass gewisse Projekte oder Bereiche (z.B. HR Themen) sensitive Informationen enthalten und somit nicht für alle Nutzenden einsehbar sein sollten. Vor allem bei Neulingen in der Atlassian-Welt beobachte ich manchmal, dass die allgemeinen Konzepte (noch) nicht bekannt sind und Berechtigungen unbewusst zu offen vergeben werden.

Nachfolgend sind 3 Stolpersteine aufgelistet und beschrieben, wie man sie am besten umgehen kann.

Genehmigte Domains in der Atlassian Cloud

Wenn im Adminbereich eine neue Person hinzugefügt wird, können wir gleich die ganze Domain genehmigen. Beim Hinzufügen einer neuen Person werden uns folgende Pop-Ups angezeigt:

Wenn wir beim zweiten Schritt auf "Genehmigen" klicken, bedeutet das, dass in Zukunft alle Accounts mit E-Mail-Adresse dieser Domain auf die Atlassian Site zugreifen können, ohne dass sie zusätzlich hinzugefügt werden müssen.

Das kann sehr praktisch sein, wenn es sich bei der Domain um eine kleine Firma handelt und tatsächlich alle in der Atlassian Cloud arbeiten sollen. So müssen wir die Mitarbeitenden nicht einzeln erfassen, sondern können es über die Domain regeln.

Aber auch bei kleinen Firmen können wir durch diese Gesamtgenehmigung unter Umständen rasch an die Grenze der verfügbaren Lizenzen kommen.
Ein anderes, wohl grösseres Problem ist, dass sich auf der Site auch Informationen befinden können, die nicht für das ganze Unternehmen, sondern nur für ein Team sichtbar sein dürfen. Und hierfür möchten wir eigentlich sicherstellen, dass nur Personen Zugriff haben, die wir auch tatsächlich hinzugefügt haben.

Meine Tipps

Tipp 1: Pop-Ups lesen

Ich weiss, Atlassian zeigt viele Pop-Ups und manchmal klickt man vor lauter Warnungen und Infos einfach auf den grössten, farbigen Button (ist ja nicht nur in Atlassian Produkten so). Ich empfehle aber allen, die Pop-Ups durchzulesen. Das insbesondere im Admin Bereich von Atlassian - da sollte nur genehmigt werden, was auch tatsächlich gewünscht ist.

Wenn es für Tipp 1 zu spät ist, oder er zu mühsam zum Umsetzen ist, kann man mit Tipp 2 und 3 nachträglich alles richten.

Tipp 2: Genehmigte Domains kontrollieren

Die genehmigten Domains finden wir im Admin Bereich unter Produkte > Benutzereinstellungen. Alle aufgelisteten Domains können regelmässig auf Fehler geprüft werden. Also kurz auf "Bearbeiten" klicken und prüfen, ob die Einstellungen stimmen. Wollen wir wirklich allen Accounts einer Domain Zugriff geben, wenn die Admin-Genehmigung nicht aktiviert ist?

Tipp 3: Auf Benachrichtigungen reagieren

Standardmässig wird von Atlassian immerhin eine Mail an die Organisation-Admins versendet, wenn jemand Zugriff erhält, oder besser gesagt sich Zugriff nimmt. Wenn wir also eine Benachrichtigung erhalten, dass eine Person Zugriff hat, welche wir nicht berechtigt haben, sollten wir sofort darauf reagieren. Das heisst, wir prüfen die genehmigten Domains (siehe Tipp 2), bearbeiten die falsch konfigurierte Person und entfernen diese.

Standardberechtigungen in Jira

Grundsätzlich ist wichtig zu wissen, dass Atlassian standardmässig allen lizenzierten Personen Zugriff auf alle Inhalte gibt. Wenn dies nicht gewünscht ist, muss man handeln.

Das Default Permission Scheme ist so konfiguriert, dass viele Rechte an alle angemeldeten User vergeben werden. Somit können alle angemeldeten Personen in allen Projekten auch Vorgänge erstellen und sie sehen standardmässig auch alle Vorgänge in allen Projekten. Dies kann unter Umständen nicht erwünscht sein. Falls also für einzelne Projekte, die schützenswerte Daten beinhalten, eingeschränkte Berechtigungen gewünscht sind, muss ein neues Berechtigungsschema erstellt werden. Ich empfehle, alle die unterschiedlichen Rechte im Schema durchzugehen und zu überlegen, wer diese Rechte haben soll. Am besten teilt man die Rechte den Projektrollen zu, so dass ein Schema von unterschiedlichen Projekten wiederverwendet werden kann und trotzdem unterschiedliche Personen berechtigt werden. Weiterführende Informationen zum Thema Projektberechtigungen gibt es in diesem Blogpost.

Hier die Auflistung und Erklärung der verfügbaren Berechtigungen von Atlassian. Die Auflistung ist für Company Managed Projekte in der Cloud, gilt aber genau so für die Data Center/Server Produkte.
Die wichtigste Berechtigung ist für mich die "Projekte durchsuchen" (Browse Project), da hiermit geregelt wird, wer in einem Projekt Vorgänge sehen kann und wer nicht. Die anderen Berechtigungen sind dann auch oft davon abhängig und es ist nicht so schlimm, wenn die falschen Nutzenden vergeben. Denn wenn ich einen Vorgang nicht sehe, kann ich ihn auch nicht bearbeiten.

Speziell in der Cloud: Team Managed Projects

In der Cloud gibt es zusätzlich zu den Company Managed auch die Team Managed Projekte. Damit wird den Teams die Möglichkeit gegeben, ihre Projekte eigenständig zu verwalten, ohne dass sie die allgemeine Jira Konfiguration anfassen müssen.

Aber auch bei diesen Projekten werden standardmässig alle Personen einer Jira Site berechtigt und sehen alle Vorgänge. Wenn dies nicht gewünscht ist, muss in den Projekteinstellungen der Zugriff angepasst werden. Standardmässig wird der Projektzugriff auf "Offen" gesetzt, wenn nicht alle lizenzierten Personen die Vorgänge im Projekt sehen sollen, müssen die berechtigten Personen alle im Projekt aufgenommen und der Projektzugriff auf "Privat" geändert werden.

Default Permission Settings in Confluence

In Confluence wird im Admin Bereich unter "Bereichsberechtigungen" definiert, welche Gruppen standardmässig in einem neuen Bereich berechtigt werden sollen. Standardmässig ist dort durch Atlassian die confluence-users Gruppe hinterlegt, welche auch für die Lizenzvergabe an Nutzende verantwortlich ist und somit dem oben genannten "alle angemeldeten Users" entspricht.

Wenn ein Bereich bereits erstellt ist, und auch sensitive Daten darin gepflegt werden sollen, können die Berechtigungen jederzeit in den Bereichseinstellungen unter Berechtigungen angepasst werden. Gruppen oder auch einzelne Personen können entfernt, respektive hinzugefügt werden.

Falls regelmässig neue Bereiche erstellt werden, welche nicht für alle Personen zugänglich sein sollen, lohnt es sich, diese Standardeinstellung anzupassen und beispielsweise keine, oder nur die confluence-administrators Gruppe zu hinterlegen.

Zum Schluss noch ein wichtiges Detail zur confluence-administrators Gruppe: alle Personen in dieser Gruppe erhalten automatisch die Leserechte auf alle Inhalte, egal ob sie berechtigt sind oder nicht. Falls sich in eurem Confluence sensitive Inhalte befinden, auf die auch die Admins keinen Zugriff haben sollten empfehle ich folgendes:

Erstellt eine neue Gruppe (z.B. confluence-system-admins), die global gleich berechtig wird, wie die confluence-administrators Gruppe
Nehmt alle Personen, die Confluence Admin Rechte haben sollen, in dieser neuen Gruppe auf
Entfernt alle Personen aus der confluence-administrators Gruppe und stellt sicher, dass diese Gruppe leer bleibt

Ihr seid euch nicht sicher, wie Ihr das Gelesene optimal in eurer Organisation umsetzen sollt? Unsere Expert:innen helfen euch gerne. Wir analysieren mit euch zusammen eure Sicherheits- und Berechtigungseinstellungen und passen diese optimal an eure Organisation und Bedürfnisse an. Dabei werden eure sensiblen Informationen geschützt und sichergestellt, dass nur die gewünschten Personen Zugang zu euren Daten erhalten. Falls ihr Unterstützung benötigt oder etwaige Fragen oder Anregungen habt, schreibt uns gerne via Chat oder unter: info@linkyard.ch. Wir freuen uns über eine Kontaktaufnahme.