Sie sind auf Seite 1von 53

White Paper

Sicherheit

Version 1.0

Januar 2007

DocuWare AG
Therese-Giehse-Platz 2
82110 Germering
Impressum:
DocuWare AG
Therese-Giehse-Platz 2
82110 Germering

Telefon: +49.89.89 4433-0


Telefax: +49.89.841 9966
E-Mail: infoline@docuware.com

Disclaimer:
Dieses Dokument wurde nach bestem Wissen mit großer Sorgfalt zusammengestellt. Sämtliche
Angaben beziehen sich auf DocuWare-Produkte ab Version DocuWare 5. Es soll im Wesentlichen die
technische Grundstruktur der DocuWare-Produkte erläutert werden. Abweichungen einzelner
Funktionen von der jeweils verfügbaren Version, die von geringer oder kurzfristiger Bedeutung sind,
sind möglich.

© Copyright 2007 DocuWare AG, alle Rechte vorbehalten.


Sicherheit

Inhalt

1 Zielsetzung des White Papers 5


2 Einführung 6
3 Überblick Systemarchitektur 7
3.1 N-Tier-Architektur 7
3.2 DocuWare-Systemarchitektur 7
3.3 Administration 9

4 Zugangs- und Zugriffssicherheit 10


4.1 Zugangssicherheit 10
4.2 Login-Verfahren 10
4.2.1 Login im LAN/VPN 10
4.2.2 Login via Internet 13
4.2.3 Passwörter 13
4.3 Berechtigungskonzept 13
4.3.1 Einführung und Definition der Begriffe 13
4.3.2 Vergabe der Funktionsrechte 17
4.3.3 Einstellungen auf Archivebene 17
4.3.4 Vordefinierte Rollen 18
4.3.5 Zusammenspiel der Rechte und Berechtigungen 19
4.4 High Security Systeme 21

5 Sichere Ablagen 22
5.1 Dokumenten-Sperrung in Archiven 22
5.2 Check-out 22
5.3 Verschlüsselte Ablagen 22

6 Stempel und Elektronische Signaturen 24


6.1 Stempel generell 24
6.2 Elektronische Signaturen 24
6.2.1 Token / Zertifikate 25
6.2.2 Hash / Prüfsumme 25
6.2.3 Zeitstempel und Massensignatur 26
6.2.4 Signaturen verifizieren 26
6.2.5 Signaturen von Fremdprogrammen 26
6.2.6 Administration der Signaturen 26
6.2.7 Signatur-Protokolle und -Standards 26

7 Sichere Kommunikation und Transaktion 28


Januar 2007 Seite 3 © DocuWare AG
Sicherheit

8 Ausfallsicherheit 29
8.1 Ausfall von Authentication Server oder Content Server 29
8.2 Authentication Server Datenbank 30
8.3 Backup 30
8.4 Wiederherstellung (Recovery) 31

9 Protokollierung 32
9.1 Protokollarten 32
9.2 Protokollierungsebenen 32
9.3 Protokollinhalte 33
9.4 Speicherort und -umfang 34
9.5 Berechtigungen 34
9.6 Vordefinierte Protokollierung 35
9.7 Anzeige der Protokollierung 37

10 Glossar 38
11 Anhang 44
11.1 Vorgehensweise zur Entwicklung von Gruppen und Rollen in einer Organisation 44
11.2 Definition von Rechten in Archiven 45
11.3 Verwendung von Indexfiltern in Archiven 46
11.4 Beispiele zur Vorgehensweise 47
11.5 Funktionale Rechte 48
11.6 Archivrechte 52

© DocuWare AG Seite 4 Januar 2007


Sicherheit

1 Zielsetzung des White Papers


Dieses White Paper dient der Darstellung der Sicherheitsmaßnahmen innerhalb der DocuWare-
Software. Es werden die getroffenen Maßnahmen erläutert, um einerseits Zugangs- und
Zugriffssicherheit zu erreichen und andererseits Ausfälle von vornherein zu vermeiden oder zumindest
die Auswirkungen für die Benutzer zu minimieren. Es umfasst sämtliche Vorkehrungen gegen
versehentliche oder vorsätzliche Manipulation der verwalteten Inhalte und gegen Datenverlust durch
Ausfall. Weiterhin gehören zu den Sicherheitsfunktionen Maßnahmen zu Gewährleistung des
Datenschutzes und der Nachvollziehbarkeit der Geschehnisse im System.
Es werden die zugrunde liegenden Technologien erwähnt sowie ihre Anwendung durch das DocuWare-
System beschrieben. Der Leser kann sich damit ein technisch fundiertes Urteil über das DocuWare-
System bilden und die Sicherheit einschätzen.
Die technischen Mitarbeiter bei Kunden, Beratungsunternehmen, Fachzeitschriften und
Vertriebspartnern sind gleichermaßen angesprochen. Vorausgesetzt wird lediglich technisches
Grundlagenwissen über den Aufbau moderner Software-Applikationen, idealerweise von Dokumenten-
Management-Systemen. Detaillierte Kenntnisse aktueller oder vorheriger DocuWare-Systeme sind
nicht erforderlich.

Januar 2007 Seite 5 © DocuWare AG


Sicherheit

2 Einführung
Je größer und komplexer Archive werden, desto umfangreicher werden die Anforderungen an die
Sicherheit. DocuWare bietet dazu umfangreiche Funktionen, die sowohl die
™ Zugangs- und Zugriffssicherheit als auch die
™ Ausfallsicherheit
betreffen.
Ein wesentliches Element des DocuWare-Sicherheitssystems ist der Authentication Server, der die
korrekte Authentifizierung sicherstellt, aber auch Funktionen zur Ausfallsicherheit bereitstellt. Um
unautorisierte Nutzung der DocuWare-Funktionen zu vermeiden, sind folgende Elemente in den
DocuWare-Servern als Sicherheitsfunktionen enthalten:
™ Ein modernes Authentifizierungssystem
™ Ein umfangreiches Berechtigungskonzept
™ Optionale Verschlüsselung
™ Leistungsfähige Funktionen zur Elektronischen Signatur
™ Umfassende Protokolliermöglichkeiten
™ Abgesicherte Kommunikationsverfahren
Zur Erhöhung der Ausfallsicherheit lassen sich viele Komponenten redundant auslegen und Aufgaben
innerhalb des DocuWare-Systems verteilen. Bei großen Installationen hat dies den angenehmen
Nebeneffekt, dass die Arbeitslast auf mehrere Komponenten verteilt werden kann, womit sich das
Antwortzeitverhalten verbessert.

© DocuWare AG Seite 6 Januar 2007


Sicherheit

3 Überblick Systemarchitektur
Zum besseren Verständnis wird ein kurzer Überblick über die Systemarchitektur vorangestellt. Zur
Systemarchitektur ist ein eigenes White Paper vorhanden, das weitere Informationen enthält.

3.1 N-Tier-Architektur
Die Architektur des DocuWare-Systems folgt dem modernen „N-tier-Konzept“, das eine
Weiterentwicklung des Client-Server-Konzeptes darstellt. Das Konzept charakterisiert sich dadurch,
dass
™ stark dialogorientierte Funktionen auf den Arbeitsplatzsystemen ablaufen,
™ die Applikationslogik auf einem oder mehreren zentralen DocuWare-Servern lokalisiert ist,
™ mehrere Applikationen gemeinsame Ressourcen auf einem oder mehreren zentralen
Hintergrund-Servern nutzen.

Wie schon im klassischen Client-


Server-Konzept so steht auch
hier der Begriff Server für einen
Software-Dienst und nicht für
eine Hardware. Ein DocuWare-
System besteht daher immer aus
mehreren (Software-) Servern,
die aber - im Extremfall - alle auf
einem Hardware-System
gleichzeitig ablaufen können.

Abbildung 1: Grundsätzliche Produktarchitektur

3.2 DocuWare-Systemarchitektur
Ein DocuWare-System besteht mindestens aus den folgenden Software-Komponenten:
™ Rich-Client
Um die Möglichkeiten der N-Tier-Architektur optimal zu nutzen, sind dialogintensive
Funktionen in der Client-Komponente auf jedem Arbeitsplatz zusammengefasst. Damit
wird ein Optimum an Bedienkomfort und Performance erreicht.
Weiterhin enthält der Rich-Client immer auch einen Scan-Client, so dass diese
Funktionalität - bei Verfügbarkeit eines Scanners – direkt am Arbeitsplatz bereit steht.
Durch die Bereitstellung der Scan-Funktionalität an jedem Client-Arbeitsplatz soll dem
Trend zum dezentralen Scannen Rechnung getragen werden. Dabei wird das Ziel
verfolgt, dem einzelnen Anwender die Erfassung von Informationen so einfach wie
möglich zu machen.
™ Natürlich kann der Zugriff auch über einen Web-Browser erfolgen (siehe INTERNET-
SERVER auf der folgenden Seite).
™ Authentication Server
Der Authentication Server verwaltet sämtliche Ressourcen und Benutzer. Er ist die
zentrale „Schaltstelle“, die Anmeldungen (Login) entgegennimmt, Berechtigungen prüft,
Funktionen frei gibt und Ressourcen, z.B. Server den Benutzern zuweist.

Januar 2007 Seite 7 © DocuWare AG


Sicherheit
™ Content Server
Der Content Server verwaltet die logischen Archive. Er bedient sich dazu der Datenbank
zur Verwaltung der Indexdaten und der Anmerkungen zu den Dokumenten. Die
Dokumente selbst werden zusammen mit der Header-Datei in der Dateiablage
gespeichert. Anmerkungen werden in der Header-Datei gespeichert.

Abbildung 2: Systemarchitektur Minimalsystem


Aus diesem Basissystem heraus ist das DocuWare-System funktional ausbaufähig und in feinen Stufen
skalierbar. Das folgende Bild zeigt beispielhaft
™ die funktionale Ergänzung um Workflow Server,
™ die Einbindung von Web-Clients,
™ die Nutzung separater Hardware-Systeme für
™ Authentication Server und Workflow Server
™ Content Server
™ Datenbank, Dateiablage und INTERNET-SERVER

Abbildung 3: Funktional und bezüglich der Hardware erweitertes System


™ Workflow Server
Der Workflow Server steuert sämtliche Automations- und Workflow-Prozesse. Zu den
Automationsprozessen gehören z.B. Dokumentenimport, -export, Archivsynchronisation,
Migration und Volltext-Indexierung. Er übernimmt zusätzlich die Steuerung des
Dokumenten-Workflows und des Datenaustauschs mit Fremdapplikationen.
™ INTERNET-SERVER
Über INTERNET-SERVER können Web-Clients eingebunden werden. Diese Nutzer
benötigen lediglich einen Standard-Browser und können damit sowohl Dokumente in
DocuWare-Archiven ablegen als auch recherchieren und anzeigen.

© DocuWare AG Seite 8 Januar 2007


Sicherheit

Die Kommunikation zwischen den Komponenten erfolgt über Standard-Protokolle wie TCP/IP und
HTTP. Damit können auch standortübergreifende Systeme problemlos durch die Nutzung der Internet-
Technologie realisiert werden. Entsprechend dem Sicherheitsbedürfnis ist die Kommunikation auch
über VPN (Virtual Private Network) machbar.

Abbildung 4: Standortübergreifende Archive mit Master (m) und Satellit (s)


Diese Architektur erlaubt nicht nur den wechselseitigen Zugriff auf entfernte Archive, sondern ebenfalls
den Aufbau von redundanten Archiven, um, unabhängig von Standort und Übertragungskapazität, auf
den gleichen Archiven arbeiten zu können. Unabhängig von der Art des Archivs („Master“ oder
„Satellit“) kann in beiden Standorten die volle DocuWare-Funktionalität, inklusive der Übernahme
beliebiger Dokumente genutzt werden. Die Synchronisation zwischen „Master“ und „Satellit“ erfolgt
über den Workflow Server.

3.3 Administration
Die einfache Administrierbarkeit auch großer und komplexer Installationen war ein wesentliches
Designkriterium bei der Entwicklung der DocuWare-Software. Alle Module eines DocuWare-Systems
werden daher über eine zentrale Administrations-Software mit einer einheitlichen Oberfläche und
einheitlicher Benutzerführung verwaltet. Alle Einstellungen für die diversen Server, Mandanten, Archive,
Datenbanken etc. werden über dieses Werkzeug vorgenommen.
Damit ist gleichzeitig eine zentrale Steuerung und Kontrolle der gesamten Installation mit all ihren
Organisationen auch unter Sicherheitsaspekten möglich. Beispielsweise kann auch für die Rich-Clients
vorgegeben werden, dass sie – unabhängig von den Login-Anforderungen - nur nach vorheriger
Registrierung überhaupt die Möglichkeit haben, auf die DocuWare-Server zuzugreifen. Registrierte
Clients können zudem deaktiviert werden. Zusätzlich sind auch zentrale Einstellungen, zum Beispiel für
das Caching am Client, möglich.

Januar 2007 Seite 9 © DocuWare AG


Sicherheit

4 Zugangs- und Zugriffssicherheit


4.1 Zugangssicherheit
Der Authentication Server verwaltet sämtliche Benutzer und Ressourcen des Gesamtsystems. Die
Nutzung des Systems erfordert zunächst immer eine Anmeldung am Authentication Server. Er ist somit
zuständig für die Zugangssicherheit, d.h.
™ das Login der Benutzer,
™ die Lizenzverwaltung,
™ die Verwaltung der benutzerspezifischen Einstellungen.
Pro DocuWare-System existieren ein oder mehrere Authentication Server, die
organisationsübergreifend agieren. Um Ausfällen vorzubeugen, kann der Authentication Server
redundant installiert sein. Benutzt wird der Authentication Server somit durch
™ eine oder mehrere Organisationen mit jeweils
™ mindestens einem oder Hunderten von Benutzern.
Da DocuWare mandantenfähig ist, sind Benutzer „Organisationen“ zugeordnet, die über den
Authentication Server verwaltet werden. Eine Organisation ist damit eine logische Struktur, sie umfasst:
™ Benutzer und Benutzergruppen
™ Logische Archive, inklusiv zugehöriger Platten
™ Prozesse
™ Templates für Stempel, Erkennungsschemata, Auswahllisten
DocuWare arbeitet mit internen User-IDs statt mit dem Benutzernamen des Logins. Nur diese User-IDs
dienen als Datenbank-Schlüssel. Somit können Benutzer jederzeit umbenannt werden, ohne die
zugeordneten Einstellungen ändern zu müssen.

Abbildung 5: Authentifizierung
Bei der Anmeldung eines Benutzers überprüft der Authentication Server auch die Lizenzen pro
Organisation und Benutzer. Es werden sowohl „Concurrent Licenses“ als auch „Named Licenses“
unterstützt.

4.2 Login-Verfahren
4.2.1 Login im LAN/VPN
Unterstützt werden die folgenden Methoden für die Authentifizierung der Benutzer beim Login:
™ DocuWare-Login
Der Benutzer muss sich über Namen und Kennwort, wie in DocuWare hinterlegt, als
berechtigt ausweisen. Unabhängig von den verschiedenen DocuWare-Servern muss sich
der Benutzer nur einmal einloggen.

© DocuWare AG Seite 10 Januar 2007


Sicherheit

™ Trusted Login (Single-Sign-On)


Der Client identifiziert sich – ohne weitere Benutzereingabe - über den Login-Namen des
Windows-Betriebssystems. Der Authentication Server prüft den Login mittels der
Benutzerverwaltung von Windows.
Über dieses Verfahren ist auch die Kooperation mit anderen Single-Sign-On-Systemen
möglich. Unterstützt werden dabei Verzeichnisdienste auf Basis von LDAP oder Active
Directory.
Das Login in DocuWare erfolgt immer über den Authentication Server. Das Login-Verfahren enthält
gleichzeitig die Prüfung der für den Nutzer verfügbaren Lizenzen.

Server Daten

Benutzeroberfläche Workflow Server Dokumente


e
DocuWare 5
Datenbank
Content Server
Archivdatenbank
DocuWare
Administration

Authentication Einstellungen
Server
Anmeldung
Lizenzcheck

Abbildung 6: Login-Verfahren
DocuWare arbeitet mit einem „Ticket-Granting-Ticket“ (TGT), bei dem sich ein Benutzer
beziehungsweise Client am Authentication Server identifiziert und um einen Service nachfragt, ein
„Ticket“ erhält und mit diesem Ticket den Service eines anderen Servers, z.B. eines Content Server,
nutzen kann. Um sich am Authentication Server zu identifizieren, benötigt der Client „Credentials“, die
er – wie oben erläutert - entweder über die Benutzereingabe (DocuWare-Login) oder durch die
Windows-Benutzerverwaltung (Trusted Login) erhält. Der Authentication Server hat damit die zentrale
Kontrollfunktion über die Sessions im System und kann somit einerseits Sicherheitsvorgaben umsetzen
und andererseits bei Ausfall oder Überlastung von einzelnen Servern proaktiv reagieren.
Die Kommunikation zwischen Client und Servern und zwischen den Servern erfolgt gesichert.

Abbildung 7: Ticket-Granting-Verfahren

Januar 2007 Seite 11 © DocuWare AG


Sicherheit
Die konkreten Abläufe der Authentifizierung werden im Folgenden kurz skizziert.
4.2.1.1 Trusted Login – Single-Sign-On
1. Der Client legitimiert sich bei der Windows-Verwaltung (Domain oder Active Directory)
typischerweise über Benutzerkennung und Passwort. Es werden von Microsoft auch andere
Verfahren, z.B. SmartCard, angeboten, aber bisher noch selten genutzt.
2. Unabhängig von diesen Anmeldevarianten erhält der Client von der Windows-Verwaltung ein
Ticket für diese Session dieses Benutzers an diesem Rechner.
4.2.1.2 Client-Anmeldung bei Authentication Server
Genereller Ablauf der Anmeldung beim Authentication Server:
1. Client etabliert eine sichere, das heißt verschlüsselte Kommunikationsverbindung mit dem
Authentication Server.
2. Nur DocuWare-Login: Der Client fragt beim Benutzer Benutzerkennung und Passwort ab.
3. Client identifiziert sich gegenüber Authentication Server durch Kennung und Passwort
beziehungsweise durch das Ticket, das er von der Windows-Verwaltung erhalten hat.
4. Der Authentication Server prüft die Informationen, erstellt ein „Ticket-Granting-Ticket (TGT)“
und sendet es an den Client. Außerdem wird die Lizenznutzung vermerkt. Das heißt, dass eine
Lizenz bis zum Logout (oder Timeout) blockiert wird.
4.2.1.3 Client-Serviceanforderung bei Authentication Server
Nach erfolgreicher Anmeldung kann der Client bei dem Authentication Server die Nutzung von Services
nach folgendem Verfahren beantragen:
1. Client übergibt folgende Informationen an den Authentication Server:
a. Gewünschter Server-Typ (Content Server, Workflow Server, SAP HTTP Server und
zukünftige)
b. Zusätzlich benötigte Parameter, zum Beispiel Identifikation des logischen Archivs
c. Das oben erhaltene TGT
2. Authentication Server bestimmt den zu nutzenden Server
3. Schließlich sendet der Authentication Server dem Client ein zeitlich limitiertes Ticket für diesen
Server. Das Ticket enthält unter anderem einen Session Key für die Kommunikation zwischen
Client und Server.
4.2.1.4 Client-Anmeldung bei zugewiesenem Server
Mit diesem Ticket wendet sich der Client nun an den vom Authentication Server zugewiesenen Server.
Er folgt dabei folgendem Verfahren:
1. Client baut eine sichere Verbindung mit dem zu nutzenden Server auf und übergibt das vom
Authentication Server erhaltene Ticket.
2. Server wertet die enthaltenen Informationen des Ticktes aus und überwacht die Gültigkeit des
Tickets.
3. Server sendet eine Bestätigung an den Client und ist nun bereit, Anforderungen
entgegenzunehmen.
Ist das Ticket abgelaufen, ist es Aufgabe des Clients eine Verlängerung des Tickets bei dem
Authentication Server einzufordern. Der Ablauf ähnelt dem Verfahren zum Erhalt eines neuen Tickets.
Da aber der gleiche Session Key benutzt wird, kann die Session ohne Verlust fortgesetzt werden.
4.2.1.5 Client-Logout bei Authentication Server
Am Ende einer Session muss sich der Client ordnungsmäßig bei dem Authentication Server abmelden.
Dazu baut der Client eine sichere Verbindung zum Authentication Server auf und übergibt sein Ticket-
Granting-Ticket. Daraufhin gibt der Authentication Server die Lizenz wieder frei.
Lizenzen können immer nur für eine vorgegebene Zeit belegt werden. Fällt der Client aus, wird die
Lizenz über ein Timeout wieder frei. Nach einem Ausfall und Neustart des Authentication Server
werden ebenfalls blockierte Lizenzen wieder freigegeben.

© DocuWare AG Seite 12 Januar 2007


Sicherheit

4.2.2 Login via Internet


Prinzipiell erfolgt die Anmeldung entfernter Nutzer über die Web-Technologie ähnlich dem
beschriebenen Verfahren für DocuWare-Login für LAN-/VPN-Nutzer. Jedoch findet die Kommunikation
hier nicht direkt zwischen Client und DocuWare-Server statt, sondern es ist der INTERNET-SERVER
zwischengeschaltet. Gegebenenfalls sind auch noch Proxy-Server und Firewalls zwischengeschaltet,
die jedoch auf den Ablauf der hier beschriebenen Sessions keinen Einfluss haben.

4.2.3 Passwörter
Benutzernamen und Passworte werden generell verschlüsselt beziehungsweise als Hash-Wert
abgespeichert. Dies gilt auch für Systemeinstellungen, wie zum Beispiel das Login beim Datenbank-
Server.
Konkret wird das sogenannte „salted“ Hash-Verfahren verwendet, bei dem durch Kombination mit
einem Zufallswert auch bei zwei identischen Passwörtern nicht der gleiche Hash-Wert entsteht.
Passwörter sind damit weder lesbar, noch reproduzierbar.
Bei der Passworteingabe zeigt DocuWare generell nur „***“ an. Passwortänderungen erfordern
zunächst die Eingabe des bisherigen Passwortes.
Die Möglichkeiten des Logins werden bei der Definition des Benutzers spezifiziert. Hat der Benutzer
sein Passwort vergessen, kann das Passwort durch den Organisationsadministrator zurückgesetzt
werden. Dies ist für Benutzer mit „High-Security“ nicht möglich, siehe auch Kapitel 4.4 High Security
Systeme.

4.3 Berechtigungskonzept
4.3.1 Einführung und Definition der Begriffe
Mitarbeiter in großen Organisationen absolvieren komplexe Abläufe und unterliegen einer Vielzahl von
Regularien. Um ihre Aufgaben erfüllen zu können, benötigen sie Berechtigungen zur Benutzung
vorhandener Ressourcen, z.B. Dokumenten- und IT-Funktionen, beispielsweise elektronische
Genehmigungen. Dabei sind auch Beschränkungen erforderlich, um nur berechtigten Personen
bestimmte Befugnisse erteilen zu können und um die Übersichtlichkeit für alle Beteiligten zu erhalten.
Ein Dokumenten-Management-System, das die vorhandenen Prozesse unterstützen will, muss in der
Lage sein, die bestehenden Berechtigungen abzubilden. Dazu bietet DocuWare ein Rechtekonzept,
das es erlaubt, für jeden DocuWare-Anwender sehr detailliert zu definieren, welchen
Handlungsspielraum er im DocuWare-System hat. Die Vergabe und Verwaltung der Rechte bleibt dank
des strukturierten Aufbaus einfach und übersichtlich.

Funktionale Rechte und Archivrechte


Grundlegend für die Rechteverwaltung in DocuWare ist die Unterscheidung in funktionale Rechte und
Archivrechte.

Januar 2007 Seite 13 © DocuWare AG


Sicherheit

Funktionale Rechte Archivrechte


Über die Vergabe von funktionalen Über die Archivrechte ist festgelegt,
Rechten ist festgelegt, welche welche Zugriffsmöglichkeiten einem
Menüpunkte und Funktionalitäten der Benutzer hinsichtlich der Archive
Benutzer innerhalb des DocuWare- (archivierte Dokumente und Indexdaten)
Systems ausführen darf. zur Verfügung stehen.
Dazu gehören beispielsweise die Die Rechte umfassen das Ablegen und
Rechte, Dokumente aus dem Datei- Suchen von Dokumenten, das Ändern
System in das DocuWare-System zu von Indexeinträgen oder den Export von
importieren, Anmerkungen zu archivierten Dokumenten in das
Dokumenten vorzunehmen und Dateiverzeichnis.
bestimmte Stempel zu setzen. Für einen Benutzer können pro Archiv
Für einen Benutzer können verschiedene verschiedene Archivrechte vergeben
funktionale Rechte vergeben werden. werden.

Die Summe der funktionalen Rechte und der Archivrechte eines DocuWare-Benutzers bilden den
Handlungsspielraum dieses Benutzers.

Archivrechte

Handlungsspielraum/
Zugriffsmöglichkeiten
des Benutzers

Funktionale Rechte

Profile und Rollen


Über Profile und Rollen ist es möglich, anstelle von vielen Einzelrechten in "Containern"
zusammengefasste Rechte zu vergeben. Die Vergabe von Rechten über Profile und Rollen hat zwei
entscheidende Vorteile:
1. Detaillierte, fein granulierte Zusammenstellungen von Rechten können auf Knopfdruck an
beliebig viele Benutzer vergeben werden, ohne dass ein Administrator pro Benutzer per Hand
die komplexe Rechtestruktur anpassen muss.
2. Zusammenstellungen von Rechten existieren auch ohne Benutzer. Falls ein Mitarbeiter die
Firma verlässt, kann ein Nachfolger - ohne großen Aufwand - die gleichen Rechte zugewiesen
bekommen, unabhängig davon wie spezifisch und detailliert die Rechtezuweisung im Einzelnen
ist.

© DocuWare AG Seite 14 Januar 2007


Sicherheit

Funktionale Profile Archivprofile


Funktionale Rechte können zu Archivrechte können zu Archivprofilen
funktionalen Profilen zusammengefasst zusammengefasst werden. Sie dienen
werden. Sie dienen der komfortablen der komfortablen Zuweisung auch von
Zuweisung auch von komplexeren komplexeren Zusammenstellungen von
Zusammenstellungen von Rechten. Rechten. Profile können einzelnen
Profile können einzelnen Benutzern und Benutzern und Rollen zugeteilt werden.
Rollen zugeteilt werden.

Rollen
Rollen sind Zusammenfassungen von
mehreren Profilen. Eine Rolle kann
sowohl Pofile mit funktionalen Rechten
als auch Profile mit Archivrechten
umfassen. Rollen können Gruppen und
einzelnen Benutzern zugewiesen
werden.

Benutzer und Gruppen


Die einzelnen DocuWare-Benutzer können zu verschiedenen Gruppen zusammengefasst werden.
Dabei ist es auch möglich, dass ein Benutzer Mitglied mehrerer Gruppen ist.

Benutzer Gruppen
Für jeden Mitarbeiter, der mit DocuWare Gruppen sind Zusammenfassungen von
arbeiten soll, wird in der Regel Benutzern. Benutzer, die über die
mindestens ein Benutzer angelegt. Das gleichen Programmfunktionalitäten
Rechtespektrum erhalten Benutzer über verfügen und die gleichen Archivrechte
die Zuweisung einzelner Rechte oder besitzen sollen, lassen sich sinnvoll zu
Rechtebündelungen in Form von Profilen Gruppen zusammenfassen.
und Rollen. Entsprechende Rechte erhält der
Benutzer können Gruppen angehören. einzelne Benutzer über die Zugehörigkeit
zu der Gruppe, der die entsprechende
Rolle zugewiesen ist.

Ererbte Rechte und explizite Rechte


Bei der Zuweisung von Rechten zu Benutzern unterscheidet DocuWare zwischen ererbten und
expliziten Rechten.

Ererbtes Recht Explizites Recht


Rechte, die ein Benutzer über die Rechte, die ein Benutzer direkt erhält
Zugehörigkeit zu einer Gruppe oder über (und nicht über Rolle, Profil oder
eine Rolle bzw. ein Profil erhalten hat, Gruppe), sind explizite Rechte.
sind ererbte Rechte. Es können nur funktionale Rechte als
explizite Rechte vergeben werden.

Januar 2007 Seite 15 © DocuWare AG


Sicherheit

Rechte sind immer additiv. Das heißt, die Summe der ererbten Rechte und der expliziten Rechte eines
DocuWare-Benutzers bilden den Handlungsspielraum dieses Benutzers.

Ererbte Rechte

Handlungsspielraum
des Benutzers

Explizite
Rechte
.

Zuweisung der Rechte


Es gibt drei prinzipielle Herangehensweisen für die Ausstattung der Benutzer mit Rechten:
1. Direkte Rechtevergabe:
Allen Mitarbeitern werden die benötigten Rechte direkt zugewiesen.
Diese Variante ist nur zu empfehlen, wenn in der Organisation sehr wenige DocuWare-
Benutzer sind.
Ansonsten ist diese Variante bei mittelfristiger Betrachtung zeitaufwendig sowie fehleranfällig
und daher ist eher eine der folgenden Möglichkeiten vorzuziehen.
2. Rechtevergabe über Profile:
Alle Rechte werden zu Profilen zusammengefasst. Diese Profile werden einzelnen Benutzern
zugewiesen.
Diese Variante ist zu empfehlen, wenn in der Organisation nur wenige Mitarbeiter sind oder die
Mitarbeiter über sehr spezifische Aufgaben verfügen.
Diese Variante ist weniger aufwendig bei Änderungen als die erste, allerdings sollte in
größeren Organisationen die Rechtevergabe über Rollen und/oder Gruppen erfolgen.
3. Verwendung von Rollen:
Über die Zuweisung von Rollen werden die einzelnen Benutzer mit Rechten ausgestattet. In
den Rollen werden funktionale Profile und Archivprofile zusammengefasst.
4. Verwendung von Gruppen:
DocuWare-Benutzer, die als Mitarbeiter über gleiche Aufgaben verfügen, werden zu Gruppen
zusammengefasst. Diesen Gruppen werden dann die Rechte über Rollen zugewiesen.
Dieses Vorgehen ist in größeren Organisationen zu empfehlen, da Änderungen dann nicht so
zeitaufwendig sind.
Möglich ist natürlich auch eine Kombination aller vier Varianten.
DocuWare bietet diese Varianten an, damit die Administratoren sich jeweils das Vorgehen auswählen
können, das ihnen vertraut und der Organisation angemessen ist. Gruppen – als Zusammenfassung
von Benutzern – und Rollen – als Zusammenfassung von Rechten – sind verschiedene Sichtweisen auf
ein und dieselbe Sache. Dreh- und Angelpunkt sind die Funktionen im DocuWare-System. Einmal sind
die Mitarbeiter und entsprechend die Benutzer der Ausgangspunkt. Das andere Mal sind die
Arbeitsabläufe beziehungsweise die Funktionen im DocuWare-System der Ausgangspunkt. Beispiele
für diese beiden Varianten sind im Anhang 11.1 Vorgehensweise zur Entwicklung von Gruppen und
Rollen in einer Organisation, Seite 44 dargestellt.

© DocuWare AG Seite 16 Januar 2007


Sicherheit

4.3.2 Vergabe der Funktionsrechte


Durch die funktionalen Rechte wird festgelegt, welche Menüpunkte einem DocuWare-Benutzer im
DocuWare-Hauptfenster, im DocuWare Viewer und im Zusatzmodul ACTIVE IMPORT zur Verfügung
stehen. Des Weiteren wird ein Teil seines Handlungsrahmens in der DocuWare-Administration
bestimmt.
Durch die Zuweisung der einzelnen Menüfunktionen als Rechte lässt sich genau festlegen, welche
Funktionalitäten einem Benutzer im DocuWare-System zur Verfügung stehen sollen. Für Aktionen, die
er nicht ausführen darf, werden ihm die entsprechenden Menüpunkte entzogen. Soll ein Mitarbeiter
beispielsweise keine Dokumente heften und entheften können, werden ihm die Menüpunkte Heften und
Entheften nicht zugewiesen. Meldet sich der Mitarbeiter in DocuWare an, sind bei ihm im Menü diese
Menüpunkte nicht enthalten.
Die Einschränkung der Menüfunktionen lässt sich auch verwenden, um den Benutzern nicht mehr
Menüpunkte anzuzeigen als diese für ihre Arbeit mit DocuWare benötigen. Dadurch wird die
Bedienbarkeit noch übersichtlicher und Anwendungsfehler werden ausgeschlossen.

4.3.3 Einstellungen auf Archivebene


Archivrechte werden in jedem Fall zu Profilen zusammengefasst. Es ist nicht möglich Archivrechte -
ähnlich wie die funktionalen Rechte - direkt einzeln Benutzern zuzuweisen. Nur die Archivprofile
können Benutzern bzw. Rollen zugewiesen werden.
Genauso wie die funktionalen Rechte sind auch die Archivprofile additiv. Das heißt, werden einem
Benutzer mehrere Archivprofile eines Archivs zugewiesen, erhält er alle Rechte, die diesen Profilen
gemeinsam sind. Weiterhin bedeutet dies, das Rechte nicht eingeschränkt, sondern nur erweitert
werden können. Dieses Verhalten wird im Kapitel 4.3.5 näher erläutert.
Im Folgenden werden Archiv- und Feldrechte und Rechte auf Indexfilter näher erläutert.

Archivrechte
Die Archivrechte gliedern sich in administrative und allgemeine Rechte. Administrative Archivrechte
sind zum Beispiel: Archivrechte für Benutzer ändern, Such- und Ablagemasken sowie Ergebnislisten zu
diesem Archiv erstellen und das Archiv migrieren. Allgemeine Archivrechte sind zum Beispiel Ablegen,
Suchen und Dokument löschen.
Die Archivrechte beziehen sich immer auf jeweils ein Archiv mit allen darin enthaltenen Dokumenten.
Für verschiedene Archive können verschiedene Archivrechte vergeben werden.

Feldrechte
Zusätzlich zu den allgemeinen Archivrechten können Rechte auf Feldebene vergeben werden. Diese
Rechte beziehen sich nur auf das entsprechende Feld, nicht auf alle Felder des Archivs. Zu den
Feldrechten gehören unter anderem das Suchrecht, das Recht, Feldinhalte zu ändern, und das Recht,
Einträge zu verwenden, die nicht in einer Auswahlliste vorhanden sind.

Indexfilter
Um innerhalb eines Archivs Rechte differenziert nach Indexeinträgen vergeben zu können, stehen
Indexfilter zur Verfügung. Über die Indexfilter können bestimmte Dokumente anhand ihrer
Indexeinträge ausgewählt werden. Die Limitierung der Dokumentenzugriffe über Indexdaten bietet sich
insbesondere dann an, wenn Dokumente sensiblen Inhalts in einem Archiv zusammengefasst werden.
Beispiel:
In einem Personalarchiv sind die Dokumente der Mitarbeiter gespeichert. Als Indexeintrag steht
unter anderem der Mitarbeitername zur Verfügung. Mitarbeiter der Personalabteilung haben
Zugriff auf alle Dokumente, während der einzelne Mitarbeiter nur auf die Dokumente Zugriff
hat, die mit seinem Namen in den Indexdaten abgelegt sind.
Details zur Verwendung von Indexfilter sind im Anhang 11.3 Verwendung von Indexfiltern in Archiven,
Seite 46 beschrieben.

Januar 2007 Seite 17 © DocuWare AG


Sicherheit

Dialoge
Zu jedem Archiv können jeweils mehrere Such- und Ablagemasken, Ergebnislisten und Informations-
Dialoge erstellt werden.
Für alle diese Dialoge kann die Sichtbarkeit der Indexfelder im einzelnen festgelegt werden. Such- und
Ablagemasken können vorbelegt werden, so dass unberechtigte Zugriffe und Änderungen schon durch
die Dialogdefinition ausgeschlossen werden.
Weitere Informationen zu Definitionen von Dialogen finden Sie im Anhang 11.2 Definition von Rechten
in Archiven, Seite 45.

4.3.4 Vordefinierte Rollen


Nach der Erstinstallation existieren in jedem DocuWare-System vordefinierte Rollen mit vordefinierten
Profilen, um die Verwaltungsaufgaben ebenfalls dem Berechtigungskonzept zu unterwerfen. Diese
vordefinierten Rollen können verschiedenen Benutzern oder Benutzergruppen zugewiesen werden.

System-Administrator
Der System-Administrator verwaltet das System aus Sicht der generell benötigten Basiskomponenten
und der Hardware. Dazu gehören unter anderem die Verwaltung der Datenbankverbindungen, die
Verwaltung der Kommunikationswege und die Ablagepfade der Dokumente. Der System-Administrator
kann so definiert werden, dass er keinen Zugriff auf einzelne Organisationsinformationen hat und
insbesondere nicht in die detallierte Benutzerverwaltung eingreifen kann. Allerdings kann nur er die
Rolle „System-Administrator“ anderen Benutzern zuweisen. Dies ist nicht in der Benutzerverwaltung der
Organisation möglich.
Der System-Administrator hat weiterhin die Aufgabe, Installation und Updates der Server-Software
durchzuführen.
Nach der DocuWare-Installation übernimmt er gleichzeitig die Rolle des Organisations-Administrators
für alle Organisationen. Mit jeder neu erzeugten Organisation übernimmt der System-Administrator
zunächst automatisch auch die Rolle des Organisations-Administrators, die dann aber einer anderen
Person zugewiesen werden kann.

Aufgaben System-Administrator
• Hardware, Betriebssystem, Datenbank
• Installation DocuWare-Server-Module
Konfiguration systemweiter Einstellungen zu:
• Authentication Server
• Content Server
• Workflow Server
• SAP HTTP Server
• Verbindungen
o Datenbanken
o Datenfiles
o SAP-Remote-Verbindungen
o Zeitstempeldienste
• Speichersysteme
• Benutzerverzeichnisse
• Protokollierung

Organisations-Administrator
Der Organisations-Administrator verwaltet eine Organisation. Ein DocuWare-System kann eine oder
auch mehrere Organisationen mit jeweils eigenem Organisations-Administrator(en) umfassen. Der
Organisations-Administrator verwaltet insbesondere die Rechte, Benutzer und Benutzergruppen seiner
Organisation. Die Rolle beinhaltet keine Zugriffsrechte auf Archive und deren Verwaltung.

© DocuWare AG Seite 18 Januar 2007


Sicherheit

Zur Übernahme dieser Rolle ist kein technisches Detailwissen der IT-Umgebung erforderlich. Der
Organisations-Administrator kann die Rolle auch anderen Benutzern zuordnen oder entziehen.
Insbesondere kann die Rolle auch einem System-Administrator entzogen werden.

Aufgaben Organisations-Administrator
(je Organisation)
• Client-Installationen je Organisation
• Lizenzen
• DocuWare-Client
Konfiguration je Organisation:
• Client-Systeme und Briefkörbe
• Stempel/Signaturen
• Viewer und Fremdapplikationen
• Auswahllisten
• Validierungen
• Benutzer und Gruppen
• Protokollierung
• Workflows

Archiv-Besitzer
Das Recht des Archiv-Besitzers wird vom DocuWare-System automatisch der Person zugeordnet, die
das Archiv anlegt. Sie kann dieses Recht sowie auch andere Rechte zur Erledigung von
Verwaltungsaufgaben an andere Benutzer weitergeben.
Der Besitzer verwaltet die Archivstruktur (z.B. Index- und Plattenstruktur) und vergibt die Zugriffsrechte
auf das Archiv, in dem er Archivprofile erzeugt. Bezogen auf das Archiv macht der Besitzer ebenfalls
die Vorgaben für den Organisations-Administrator, damit dieser die Zuordnungen der Archivprofile zu
Benutzern bzw. Rollen vornehmen kann.

Aufgaben Archiv-Besitzer
(je Archiv)
• Volltextindexierung
• Benutzte Datenbank-Verbindung
• Dokumentablage und Plattenkonzept
• Indexfelder
• Rechte für das Archiv
• Dialoge für Ablage, Suchen und
Ergebnisliste
• Protokollierung

4.3.5 Zusammenspiel der Rechte und Berechtigungen

Mitglied mehrerer Gruppen, Besitzer mehrerer Rollen oder Profile


Rechte sind immer additiv. Das heißt, die Summe der zugewiesenen Rechte eines DocuWare-
Benutzers bildet den Handlungsspielraum dieses Benutzers.
Ist ein Benutzer Mitglied mehrerer Gruppen, hat er alle Rechte, die über diese Gruppen und ihre
Rollenzuteilung verfügbar sind.
Sind einem Benutzer mehrere Rollen oder Profile zugewiesen, hat der Benutzer alle Rechte
zusammen, die über diese Rollen beziehungsweise Profile zugeteilt werden.

Januar 2007 Seite 19 © DocuWare AG


Sicherheit
Beispiele:
• Ein Benutzer hat sein Rechtespektrum über eine Rolle erhalten. Weist man diesem Benutzer
eine weitere Rolle mit weniger Rechten zu, ändert sich für den Benutzer nichts, da die Rechte
additiv sind. Um ihm die Rechte einzuschränken, muss man ihm die ursprüngliche Rolle
entziehen.
(Entsprechendes gilt auch für Gruppen.)
• Ein Benutzer ist Mitglied zweier Gruppen und hat über die Rollen dieser Gruppen sein
Rechtespektrum erhalten. Entzieht man ihm die Mitgliedschaft einer Gruppe, so verliert er nicht
automatisch alle Rechte, die ihm über die Rollen dieser Gruppe zugewiesen sind, sondern nur
diejenigen, die über die andere Gruppe nicht zugeteilt werden.

Gruppe 1 Gruppe 2
mit den Rollen mit den Rollen

A
F G
C
D
B H
E

Entzieht man einem Benutzer die Mitgliedschaft der Gruppe 2, so verliert er nur die Rollen G
und H, da er über die Rollen A, B und C noch über die Gruppe 1 verfügt.
(Entsprechendes gilt auch für Rollen und Profile, die einem Benutzer zugewiesen sind.)

Funktionale Rechte und Archivrechte


Die Archiv- und Funktionsrechte werden unabhängig voneinander vergeben. Für einen sinnvollen
Rechtekanon sind sie aber nicht immer unabhängig voneinander zu sehen. Hier ein Beispiel:
Soll ein Benutzer in einem Archiv suchen können, benötigt er auf Archivebene das Recht
Suchen und eine ihm zugewiesene Suchmaske. Bei den Funktionsrechten benötigt er zudem
das Menürecht Suchen, da er anderenfalls die Suchmaske nicht öffnen kann. Entsprechend ist
dies für das Ablegen in einem Archiv.

Dialogeinstellungen und Archivrechte


Die Möglichkeiten, die ein Benutzer in einem Archiv hat, resultieren aus den Archivrechten, die
ebenfalls das entsprechende „Handwerkszeug“ – die Dialoge – umfassen. Beispiele hierzu finden Sie
im Anhang 11.2 Definition von Rechten in Archiven, Seite 45.

Feldeinstellungen und Archivrechte


Die Einstellungen zu den einzelnen Archivfeldern und die zugewiesenen Archivrechte überschneiden
sich in einigen Bereichen. So ist es möglich, ausgewiesenen Benutzern spezielle Rechte zur Verfügung
zu stellen, während „normale“ Benutzerrechte über die Feldeinstellungen gesteuert werden. Beispiele
hierzu finden Sie im Anhang 11.2 Definition von Rechten in Archiven, Seite 45.
Fazit: Die Archivrechte eines Benutzers übersteuern jeweils die Feldrechte. Die kombinierte Nutzung
beider Schemata sollte daher mit Bedacht erfolgen.

Verwendung von Indexfiltern


Allgemeine Archivrechte, wie z.B. das Ablegen, können mit Archivprofilen basierend auf
Indexfilterkriterien kombiniert werden. Somit ist eine feingranulare Abstimmung von Rechten auf
Archivebene möglich, die von speziellen Indexeinträgen abhängig sind.

© DocuWare AG Seite 20 Januar 2007


Sicherheit

Eingehende Erläuterungen wie Archivprofile mit Indexfiltern aufgebaut und angewendet werden, finden
Sie im Anhang 11.3 Verwendung von Indexfiltern in Archiven, Seite 46.

4.4 High Security Systeme


Ein DocuWare System kann auf „High-Security“ gesetzt werden.
Auf Organisationsebene bedeutet dies, dass der Organisations-Administrator in der Lage ist,
bestimmten Benuztern die Eigenschaft „High-Security“ zu zuweisen. Für diese Benutzer kann das
Passwort dann nicht mehr durch den Organisations-Administrator zurück gesetzt werden. Nur der
Benutzer selbst kann das Passwort ändern. Hat ein solcher Benutzer sein Passwort vergessen, muss
er in der Organisation neu angelegt werden. Für solche Benutzer ist es auch nicht möglich, sich über
ein Trusted Login (siehe Kapitel 4.2 Login-Verfahren) anzumelden, da beim Trusted Login die
Sicherheit nicht über DocuWare gewährleistet wird.
Ist ein System auf „High-Security“ gesetzt, können auch ausgewählte Archive auf „High-Security“
gesetzt werden. Bei diesen Archiven ist es dann nicht mehr möglich, Archiv-Profile Rollen zu zuweisen,
sondern die Archiv-Profile müssen Benutzern direkt zugewiesen werden. Diese Benutzer müssen über
die „High-Security“-Eigenschaft verfügen. Somit ist ausgeschlossen, dass für besonders sensible
Bereiche ein Zugriff „per Zufall“ über unkontrollierte Gruppen- und Rollenzuweisungen erfolgen kann.

Januar 2007 Seite 21 © DocuWare AG


Sicherheit

5 Sichere Ablagen
Neben dem Authentifizierungssystem und dem Berechtigungskonzept existieren weitere Maßnahmen,
um die Ablagen gegen Missbrauch und Inkonsistenzen zu schützen. Dazu gehören die Sperrung von
Dokumenten, die überarbeitet werden, die Verschlüsselung von Ablagen und der Einsatz von Stempeln
und Elektronischen Signaturen.

5.1 Dokumenten-Sperrung in Archiven


Wenn ein Benutzer ein archiviertes Dokument anzeigt oder bearbeitet, ist das Dokument für alle
anderen Benutzer gesperrt. Andere Benutzer können das Dokument zwar im Anzeigeprogramm
(Viewer) betrachten, aber keine Anmerkungen oder Stempel setzen und es nicht im
Bearbeitungsprogramm öffnen (Read-Only-Modus).
Technisch ist die Sperrung von Dokumenten über das so genannte „Locking“ realisiert. Dabei wird für
jedes Archiv eine Locking-Tabelle angelegt. Sobald ein Dokument von einem Benutzer geöffnet wird,
wird in dieser Tabelle ein Eintrag vorgenommen, dass das entsprechende Dokument gesperrt ist.
Weiterhin wird vermerkt wann und von wem es gesperrt wurde.
Wenn nun ein weiterer Benutzer das Dokument öffnen möchte, erhält dieser die Meldung, dass das
Dokument zum Bearbeiten gesperrt ist. Er kann das Dokument lediglich im Lese-Modus anzeigen
lassen. Alle Möglichkeiten, auf dem Dokument Anmerkungen oder Stempel zu erstellen, sind damit
abgeschaltet. Dies funktioniert erst dann wieder, wenn der erste Benutzer die Bearbeitung
abgeschlossen und das Dokument an das DocuWare-Archiv zurückgegeben hat.
Sämtliche Sperrdaten werden in der Datenbank vermerkt. Spezielle Mechanismen sorgen dafür, dass
Sperren und Freigaben auch nach dem Ausfall des Clients, der Anwendung oder des Servers wieder in
einen konsistenten Zustand gebracht werden.

5.2 Check-out
Locking ist systemgesteuert und verhindert inkonsistente Dokumente durch unbeabsichtigte
gleichzeitige Bearbeitung durch unterschiedliche Benutzer. In der Praxis ist es jedoch häufig so, dass
Dokumente über längere Zeit in einem Status der Bearbeitung sind, auch wenn sie während dieser Zeit
nicht kontinuierlich von einem Benutzer geöffnet sind. Dazu dient die Check-out-Funktionalität.
Das Check-out ist benutzergesteuert und unabhängig von Systemzuständen. Das heißt, ein Dokument
kann über Tage und Wochen, zum Beispiel für längere Bearbeitung oder Offline-Benutzung
ausgecheckt sein. Das Check-out ist somit unabhängig davon, ob die Datei geöffnet oder der Benutzer
eingeloggt ist.
Auch auf ausgecheckte Dokumente bleibt der lesende Zugriff erhalten. Lediglich Änderungen an Text,
Anmerkungen oder Stempel sind nicht möglich. Durch die Ablage einer neuen Version erfolgt implizit
ein „Check-in“.

5.3 Verschlüsselte Ablagen


Naturgemäß müssen Administratoren erweiterte Rechte bei der Benutzung des Systems haben. Da –
speziell in größeren Unternehmen beziehungsweise bei mehreren Organisationen – auch
Administratoraufgaben auf verschiedene Personen verteilt sein können, verfügt DocuWare über die
bereits beschriebenen unterschiedlichen Rollen mit entsprechend verschiedenen Berechtigungen. In
Fällen, bei denen auch diese Sicherheit nicht ausreicht, kann zusätzlich eine Verschlüsselung erfolgen.
Verschlüsselt werden in diesem Fall die Dokumente und optional die zugehörigen Header-Dateien.
Volltext-Dateien können nicht durch DocuWare verschlüsselt werden. Der Volltext-Index ist jedoch
ohnehin nur bei detaillierter Kenntnis des verwendeten Verfahrens interpretierbar. Die Indexdaten in der
Datenbank sind ebenfalls nicht verschlüsselt. Enthalten die Indexdaten sehr sensible Informationen, ist
auf die Möglichkeiten des Datenbank-Anbieters zurückzugreifen.

© DocuWare AG Seite 22 Januar 2007


Sicherheit

Es ist zu beachten, dass verschlüsselte Ablagen für die Nutzer nur bei Verfügbarkeit des
entsprechenden Schlüssels nutzbar sind. Dabei sind die Schlüssel für die Entschlüsselung der
Dokumente im Dokument-Header gespeichert. Die Dokument-Schlüssel werden über ein
assymetrisches Verfahren mit einem in der Datenbank gespeicherten Schlüssel entschlüsselt. Da die
Dokumente ohne den Schlüssel in der Datenbank nicht entschlüsselt werden können, muss bei
verschlüsselter Ablage darauf geachtet werden, dass von den DocuWare-System-Tabellen ein
regelmäßiges Backup erstellt wird, um bei Verlust der Datenbank insbesondere die Schlüssel-Tabellen
wieder herstellen zu können. Für das Backup der Datenbank ist auf Datenbank-Mechanismen des
Herstellers zurückzugreifen.

Januar 2007 Seite 23 © DocuWare AG


Sicherheit

6 Stempel und Elektronische Signaturen


6.1 Stempel generell
Das DocuWare-System verfügt über ausgeprägte Möglichkeiten zur Unterstützung der
Arbeitsprozesse. Dies manifestiert sich unter anderem darin, dass – analog zu traditionellen
Werkzeugen – Stempel und Unterschriften in elektronischer Form angebracht werden können.
Elektronische Signaturen sind dabei Stempel mit besonderen Qualitäten.
Als Stempel-Typen werden die verschiedenen Erscheinungsformen differenziert:
™ Text
Dieser Stempel besteht aus einem beliebigen Text, in den Variablen eingebaut werden
können, die zur Laufzeit vom Benutzer gefüllt werden und Indexfeldern zugewiesen sind.
In diesen Formfeldern können ebenfalls Auswahllisten, wie in Archivfeldern gewohnt,
verwendet werden. Rahmen, Schriftart, Farben sind anpassbar.
™ Freihand-Zeichnung
Es wird ein entsprechendes Feld definiert, in das der Nutzer zur Laufzeit beliebige
grafische Informationen eingeben kann. Die Eingabe kann mit der Maus oder einem
anderen Eingabegerät erfolgen. Abgespeichert werden nicht nur die Grafik, sondern auch
1
die biometrischen Verlaufsmerkmale bei der Erstellung.
Die Abbildung klassischer Unterschriften in bestehenden Abläufen ist somit zusammen
mit der hohen Sicherheit der Biometrie abbildbar. Als Endgeräte bieten sich vor allem die
so genannten „Tablet-PCs“ an, weil bei ihnen Eingaben durch Schreiben auf dem
Bildschirm möglich sind und auch die Bauformen die Handhabung analog einem
Notizblock erlauben.
™ Bitmap
Eine beliebige Bitmap in einem der unterstützten Grafikformate ist einbindbar. Im
einfachsten Fall kann das Bild eines bisher benutzten Stempelabdrucks oder einer
Unterschrift so direkt in die elektronische Welt übernommen werden.
In der Praxis erlaubt dies eine hohe Anpassung an gewohnte Abläufe und die Abbildung bekannter
Erscheinungsformen, zum Beispiel Stempellayouts, -farben etc.. Ein Stempel kann dabei eine Reihe
weiterer Attribute aufweisen, die die verfügbare Funktionalität bestimmen. Beispielsweise kann die
Benutzung nur für ein bestimmtes Archiv definiert sein oder an ein Passwort gebunden werden oder
der Stempel nach einer bestimmten Zeit automatisch mit dem Dokument gespeichert werden.
Über das Stempeln lassen sich Indexfelder des Dokuments automatisch mit Werten füllen oder ändern.
Beispielsweise ist so die automatische Dokumentation der Bearbeitung mit Name, Datum, Abteilung
etc. möglich.
Stempel können auf Organisationsebene durch Administratoren definiert und Benutzern zugeordnet
werden. Weiterhin kann sich ein Anwender auch eigene Stempel kreieren, die dann nur für ihn
verfügbar sind.
Stempel werden als spezielle Anmerkungen in der XML-Header-Datei des Dokuments gespeichert. Bei
der Reproduktion des Dokuments kann somit eine Darstellung mit oder ohne Stempel erfolgen.

6.2 Elektronische Signaturen


Ein definierbares Attribut des Stempels ist „Signatur“. Dabei ist an Signaturen gemäß den Definitionen
der entsprechenden EU-Richtlinie gedacht. Für diesen Fall stehen zur Verfügung:
™ Einfache Signatur (ohne Zertifikat)
™ Zertifikats-basierte Signatur (mit Zertifikat und privatem Schlüssel)
™ Zeitstempel (mit Zertifikat, aber nicht personengebunden)

1
Die konkreten Attribute sind abhängig von der eingesetzten Hardware und der Unterstützung der entsprechenden
Microsoft-Schnittstelle durch diese Hardware. DocuWare sieht die folgenden Attribute vor: Anzahl der Punkte in X-
und Y-Richtung, Auflösung x/y, Aufpressdruck in der Normalen/Tangente, Neigungswinkel x/y, Azimutorientierung,
Altitudenorientierung, Wendungswinkel, Neigungsrotations-, Roll-Rotations-, Scherungswinkel.

© DocuWare AG Seite 24 Januar 2007


Sicherheit

Über die Administration kann vorgegeben werden, welche Signaturarten verfügbar sind. Für den
Benutzer ergibt sich kein Unterschied bei der Verwendung der verschiedenen Signaturarten. Die
Unterschiede ergeben sich lediglich durch die Nutzung der Zertifikate.

6.2.1 Token / Zertifikate


Ein Zertifikat ist ein „elektronischer Identitätsausweis“, in dem ein „Zertifizierungsdiensteanbieter“ (kann
unternehmensintern, eine Behörde oder ein anderes Unternehmen sein) die Überprüfung einer Identität
bescheinigt, ein Schlüsselpaar zuordnet und die Angaben mit der eigenen elektronischen Unterschrift
bestätigt. Diese Daten können auf einer spezifischen Hardware „Token“ (SmartCard, USB-Stick o.ä.)
gespeichert werden, sind aber auch auf Disketten oder der Festplatte vorhaltbar (Soft Token). Windows
bietet auf der Festplatte speziell geschützte Bereiche (Zertifikatsspeicher) mit Import-/Exportfunktionen
an.
Wie streng die Identitätsprüfung erfolgte, lässt sich aus den enthaltenen Klassenbezeichnungen
zusammen mit den Geschäftsbedingungen ersehen. Das technische Format der verschiedenen
Zertifikatsklassen unterscheidet sich nicht. Das heißt, technisch wird die Signatur gleichartig erstellt,
unabhängig von der Qualität des Zertifikats.
Für das DocuWare-System ist es somit technisch unerheblich, ob es sich um qualifizierte Zertifikate
gemäß den nationalen Gesetzen der europäischen Länder handelt. Wenn der
Zertifizierungsdiensteanbieter (Trust Center, Certification Authority) ein qualifiziertes 2 Zertifikat liefert
und die angeschlossene Signaturerstellungseinheit (z.B. SmartCard-Reader) entsprechend als sicher
anerkannt wird, erzeugt DocuWare automatisch „qualifizierte Signaturen“, die in Europa der
traditionellen Unterschrift gleichgesetzt sind. Ansonsten handelt es sich im Sinne der europäischen
Gesetze um eine „fortgeschrittene Signatur“.
Zertifikate für DocuWare können sowohl von internen Organisationseinheiten kommen als auch von
externen Zertifizierungsdiensteanbietern übernommen werden. Die Speicherung der Zertifikate erfolgt
unter Nutzung der Möglichkeiten des Windows-Betriebssystems. Das heißt, dass sowohl
hardwarebasierte Lösungen (SmartCard, USB-Stick) als auch reine Software-Zertifikate unterstützt
werden. Es handelt sich somit um ein Verfahren mit „Public Key Infrastructure“ (PKI), so wie es auch in
dem international standardisierten PKIX-Modell definiert ist.
Die DocuWare-Signatur unterstützt beliebige Zertifikate, sofern sie im Standard X.509 vorliegen und im
Windows Zertifikatsspeicher gespeichert sind. DocuWare stellt keine spezifischen Anforderungen an
die Herkunft der Zertifikate. Weitere relevante Standards werden berücksichtigt, und die Signatur wird
gemäß XML-DSIG im Dokument-Header gespeichert.

6.2.2 Hash / Prüfsumme


Die Bezeichnung als Signatur bedingt, dass für das gestempelte Dokument eine „Prüfsumme“
berechnet wird (Hashing-Verfahren), und Daten des Nutzers mit dem Dokument verbunden werden.
Eventuelle spätere Modifikationen des Dokumentes sind aufgrund abweichender Prüfsumme sofort
erkennbar.
Bei dem zertifikatsbasierten Verfahren wird die erwähnte Prüfsumme anschließend mit dem privaten
Schlüssel des Nutzers verschlüsselt und in der Header-Datei des Dokuments abgelegt.
Es ist einstellbar, welchen Umfang die Signatur haben soll, das heißt, welche Informationen in das
Hashing-Verfahren einfließen. Da bei DocuWare ein Dokument aus vielen unterschiedlichen Dateien
(„DocuWare-Seite“) bestehen kann, kann das Hashing und damit die Signatur sämtliche dieser Dateien
umfassen. Es kann jedoch auch definiert werden, dass nur die aktuell angezeigte Seite (angezeigte
Datei) in die Signatur einfließen soll. Für Dokument oder aktuelle Seite können die Anmerkungen
ebenfalls signiert werden.

2
Um „qualifizierte“ Zertifikate ausgeben zu dürfen, muss der Anbieter eine Vielzahl von organisatorischen und
technischen Voraussetzungen erfüllen. Qualifizierte Zertifikate sind somit besonders vertrauenswürdig.

Januar 2007 Seite 25 © DocuWare AG


Sicherheit

6.2.3 Zeitstempel und Massensignatur


Weiterhin unterstützt DocuWare verschiedene Zeitstempel-Dienste. Dabei handelt es sich um
Signaturen, die nicht personengebunden sind und durch externe Zeitstempeldienstleister vergeben
werden. Es ist damit sichergestellt, dass der Stempel eine gültige Zeit enthält, was bei der Benutzung
der Systemzeiten nicht garantiert werden kann. Zeitstempel lassen sich mit anderen
zertifikatsbasierenden Signaturen kombinieren.
Weiterhin werden so genannte Massensignaturen unterstützt, bei denen eine große Anzahl
gleichartiger Dokumente mit jeweils eigenen Signaturen versehen wird, ohne das der Nutzer über
mehrfache PIN-Eingabe sich jedes Mal wieder als rechtmäßiger Besitzer des Tokens ausweisen muss.
Das Verfahren wird üblicherweise bei gescannten Images oder bei umfangreichem Output-
Management, z.B. Rechnungsversand angewendet.

6.2.4 Signaturen verifizieren


In der Client-Konfiguration kann eingestellt werden, ob eine Signatur im Viewer automatisch verifiziert
wird. Der Nutzer kann aber auf jeden Fall die Verifikation der Signatur eines empfangenen Dokumentes
manuell veranlassen.
Dies gilt auch für die unterstützten Zeitstempeldienste. Typischerweise wird mit der Signatur auch das
Zertifikat inkludiert, um so dem Empfänger die Verifikation der Signaturen zu erleichtern.
Zur Verifikation gehört einerseits die Prüfung des Hash-Werts, um Modifikationen zu erkennen, und
andererseits die Prüfung des Zertifikates, zum Beispiel Gültigkeitszeitraum und Vertrauenswürdigkeit
der ausstellenden Organisation. Soweit verfügbar wird auch gegen vorhandene Sperrlisten geprüft.

6.2.5 Signaturen von Fremdprogrammen


Da DocuWare unterschiedlichste Arten von Dokumenten handhaben kann, können diese auch mit
Signaturen ausgestattet sein. DocuWare sorgt dafür, dass unabhängig von der Existenz einer Signatur
das Dokumentenhandling für den Nutzer gleichartig erfolgt.
Bei in Fremdformaten eingebetteten Signaturen oder spezifischen Signaturformaten kann DocuWare
jedoch keine Verifizierung übernehmen, da diesbezügliche Standards fehlen. Dies obliegt weiterhin den
zugehörigen Applikationen.

6.2.6 Administration der Signaturen


Innerhalb des Windows-Betriebssystems sind an jedem Client die Root-Zertifikate der
Zertifizierungsdiensteanbieter und die Benutzer-Zertifikate einzuspielen. Dies ist nur möglich, wenn der
Benutzer über Windows-Administratoren-Rechte verfügt.
Die Administration der Signaturen und Stempel der Nutzer obliegt dem Organisations-Administrator. Er
definiert die verfügbaren Stempel und Signaturtypen. Signaturtypen sind Filter über die einzelnen
Attribute der Zertifikate, die dazu dienen, nur die Zertifikate zur Signaturerstellung zuzulassen, die von
einem bestimmten Zertifikatsdiensteanbieter ausgestellt wurden. Dies beinhaltet auch die Möglichkeit,
einzelnen Benutzern nur die Nutzung bestimmter Zertifikate bzw. bestimmter Stempel zu ermöglichen.
Damit sind weiterhin Vorgaben über den gestempelten/signierten Umfang verbunden.
Generell gilt, dass ein Benutzer nur die Stempel und Signaturen nutzen kann, die ihm zugeordnet sind
oder die in zugeordneten Profilen vorgesehen sind und für die er ein Zertifkat an seinem Client besitzt.

6.2.7 Signatur-Protokolle und -Standards


DocuWare nutzt die Standards des PKIX-Modells sowie die etablierten Microsoft-Schnittstellen. Die
Selektion orientierte sich an den Empfehlungen des ETSI ESI (European Telecommunications
Standards Institute, Electronic Signature Initiative) - soweit möglich und sinnvoll.
Die Signaturdaten werden in einer XML-Struktur im Dokument-Header gespeichert. Die XML-Struktur
entspricht dem XML DSIG Standard. Diese Struktur enthält die Referenzen auf die Dokumentdateien in
Form von URLs.
Der Gegenstandsbereich der Signatur wird, gemäß W3C XML-DSIG-Spezifikation, durch eine Liste von
URLs definiert. Diese Liste von Referenzen wird mitsigniert, so dass Manipulationen am
Gegenstandsbereich der Signatur ausgeschlossen sind beziehungsweise erkennbar werden.

© DocuWare AG Seite 26 Januar 2007


Sicherheit

Der Dokument-Header wird unmittelbar mit dem Dokument gespeichert.


Die ETSI ESI Initiative resultiert aus der EESSI (European Electronic Signature Standardisation
Initiative). Das Ziel dabei ist, die weitestgehende Vereinheitlichung der in der EU verwendeten
Signaturstandards. Obwohl noch relativ neu, finden die ETSI Richtlinien zunehmende Resonanz bei
Anbietern und Anwendern, speziell im Bereich der öffentlichen Verwaltung.
Zur Erstellung and Verifizierung der Signatur wird die Kryptographie-Schnittstelle von Microsoft
verwendet. Die Signaturerstellungseinheit (typischerweise SmartCard und Reader) muss diese
Schnittstelle unterstützen.

Januar 2007 Seite 27 © DocuWare AG


Sicherheit

7 Sichere Kommunikation und Transaktion


Generell erfolgt die Kommunikation zwischen den DocuWare-Komponenten (Server, Clients,
Fremdsysteme) in gesicherter Form. Der System-Administrator kann dies je ein- und ausgehender
Verbindung abschalten. Bei eingeschalteten Sicherheitsmechanismen steht die Kommunikation über
verfügbare Windows-Mechanismen oder SSL zur Verfügung. Für den Fall der Nicht-Verfügbarkeit eines
Sicherheitsverfahrens auf einer oder beiden Seiten können Alternativen vorgegeben werden.
Unterstützt werden die Microsoft-Protokolle NTLM und Kerberos. Wegen der höheren Sicherheit wird
die Benutzung von Kerberos empfohlen. Lediglich wenn das Partner-System dies nicht unterstützt,
beispielsweise bei älteren Windows-Versionen, wird aus Kompatibilitätsgründen auch NTLM
angewendet.
Bei Kerberos handelt es sich um ein sogenanntes „Ticket Granting Protocol“ (siehe auch
Zugangssicherheit). Es wurde am MIT in Boston entwickelt, ist ein IETF-Standard und genießt breite
Unterstützung.
Der Zugriff von Clients aus dem Internet oder Intranet auf die DocuWare-Server erfolgt nach einer
Verifikation der Identität der Kommunikationspartner (siehe auch Login via Internet) immer über
verschlüsselte Kommunikationskanäle. Für die Kommunikation außerhalb von Domänen und über
öffentliche Zugangskanäle wird die Verwendung von SSL-Verschlüsselung empfohlen.
Für die SSL-Kommunikation müssen die Server über ein entsprechendes Zertifikat verfügen, das im
Windows-Zertifikatsspeicher des jeweiligen Computers gespeichert wird.
Bei dem Verlust einer Verbindung zwischen den Servern wird diese automatisch neu aufgebaut. Ist
eine zentrale Komponente ausgefallen, können die Funktionen von einer redundanten Komponente
übernommen werden (s.a. Ausfallsicherheit).
Um bei sensiblen Operationen sicherzustellen, dass keine inkonsistenten Systemzustände entstehen
können (z.B. Serverausfall im Moment der Ablage eines Dokumentes im Archiv), ist ein
Transaktionsverfahren implementiert. Wenn einzelne Arbeitsschritte einer solchen Transaktion nicht
vollständig ausgeführt werden können, werden die bereits erfolgten Änderungen automatisch
rückgängig gemacht (Rollback).
Die Dokumentspeicherung, die sowohl in der Datenbank als auch in der Dateiablage diverse
Aktualisierungen verursacht, ist als Transaktion realisiert, so dass immer ein konsistentes System
gewährleistet ist.

© DocuWare AG Seite 28 Januar 2007


Sicherheit

8 Ausfallsicherheit
In einem komplexen System, wie es ein DMS in einer heterogenen IT-Infrastruktur darstellt, gibt es eine
Vielzahl möglicher Ausfälle. Daher gibt es auch eine Reihe von Maßnahmen, die eingesetzt werden
können, um Ausfälle zu vermeiden und/oder die organisatorischen und technischen Folgen von
Ausfällen zu minimieren. Letztendlich handelt sich dabei immer um die Abwägung von Kosten und
Nutzen, weil die letzten Prozentpunkte bei dem Grad der Ausfallsicherheit unverhältnismäßig viel
Kosten verursachen.
Ein wesentliches Element im Falle eines DMS sind Ausfälle der Server-Plattformen. Hierzu gibt es
sowohl von den Hardware- als auch von den Systemsoftware-Lieferanten diverse Lösungen, bis hin zu
„geclusterten“ Systemen, die – neben der erhöhten Ausfallsicherheit – gleichzeitig eine Lastverteilung
zwischen den Komponenten vornehmen, ohne dass sich die DocuWare-Software damit befassen
muss. Beispielsweise sind sowohl von Microsoft als auch für Linux-Systeme entsprechende
Architekturen und ergänzende Systemsoftware auf dem Markt verfügbar.
Der Authentication Server speichert sämtliche Einstellungen in der Datenbank und arbeitet selbst
„stateless“, das heißt es werden keine Daten programmintern zwischengespeichert. Auf diese Weise
kann er die Möglichkeiten der obigen Plattformen uneingeschränkt nutzen. Er kann also auf einem
System, das sich aus mehreren Rechnern zusammensetzt, ablaufen. Der Content Server arbeitet
„stateful“. Sofern mehrere Content Server parallel auf den einzelnen Systemen eingesetzt werden, ist
aber ebenfalls die Nutzung der zusätzlichen Performance und Sicherheit dieser Plattformen möglich.
Sehr ausgefeilte Verfahren liegen auch für Datenbank-Server vor. Aufgrund der essentiellen Bedeutung
der Datenbank für das Funktionieren des DocuWare-Systems wird empfohlen, diese Möglichkeiten zu
nutzen. Soweit es sich um die Speichertechnologien, wie beispielsweise Einsatz von RAID-Laufwerken
handelt, gilt wiederum, dass DocuWare von solchen Technologien profitiert, selbst aber keinen Einfluss
auf diese Komponenten nimmt.
Ein wesentliches Element, die Verfügbarkeit der DocuWare-Applikation zu erhöhen, ist die Installation
redundanter DocuWare-Server auf hochverfügbaren Plattformen und Netzwerken. Durch gesicherte
Kommunikation und Transaktionsverfahren leistet DocuWare eigene Beiträge zur Ausfallsicherheit.
Auch die ausgefeilte Identitätsprüfung der Nutzer und der Systeme untereinander (siehe
Zugangssicherheit) leistet einen entsprechenden Beitrag, weil damit Ausfälle aufgrund vorsätzlichen
oder grob fahrlässigen Verhaltens unterbunden werden.
Nicht die oben erwähnten Möglichkeiten der Plattformen, sondern nur die Beiträge, die DocuWare
selbst zur Ausfallsicherheit leistet, werden im Folgenden detaillierter beleuchtet.

8.1 Ausfall von Authentication Server oder Content Server


Bei dem Login ordnet der Authentication Server dem Benutzer nach der erfolgreichen Authentifizierung
und Lizenzüberprüfung benötigte und verfügbare Server, wie etwa Content Server, zu. Ist der
entsprechende Content Server nicht verfügbar, wendet sich der Client wieder an den Authentication
Server, der darauf hin zunächst mit dem Content Server kommuniziert und durch diese Anfrage
gegebenenfalls einen Ausfall des Content Servers bemerkt. Bei redundanter Auslegung der Server
lässt sich somit ein Content Server-Ausfall durch eine Neuanmeldung umgehen und der Benutzer kann
weiterhin mit DocuWare arbeiten.
Erhält ein aktiver Client im laufenden Betrieb keine Antwort auf seine Anforderungen bei dem Content
Server innerhalb einer bestimmten Zeit, so muss er bei dem Authentication Server um die Erneuerung
seines Tickets anfragen. Damit kommt der oben erwähnte Mechanismus wieder zum Tragen.
Aufgrund der Transaktionsorientierung des Content Server werden Änderungen in den Datenbanken
erst mit dem abschließendem „Submit“-Kommando wirksam. Bleibt dieses Kommando aufgrund eines
Ausfalls des Servers aus, so bleibt der vorherige Zustand erhalten. Inkonsistente Zustände können
dementsprechend nicht entstehen.
Die Daten werden über eine gesicherte Kommunikation zur Datenbank übertragen und gespeichert.
Weil der Authentication Server stateless arbeitet, kann auch der Ausfall eines Authentication Server
einfach durch einen zweiten Authentication Server behoben werden.

Januar 2007 Seite 29 © DocuWare AG


Sicherheit
Wenn ein Authentication Server nicht mehr antwortet, wendet sich der Client an den nächsten
Authentication Server. Dies geschieht nicht automatisch, sondern der Benutzer führt eine
Neuanmeldung durch. Am Client kann hierzu eine Reihenfolge für die gewünschten Authentication
Server konfiguriert werden. Bei der Neuanmeldung werden die Authentication Server nacheinander auf
Verfügbarkeit geprüft. Das gleiche gilt für DocuWare-Server, die sich ebenfalls beim Authentication
Server anmelden müssen, um ein Ticket für den Betrieb zu erhalten.

8.2 Authentication Server Datenbank


Um maximale Sicherheit zu erreichen, nutzt der Authentication Server die Datenbank in folgender
Weise:
™ Der Authentication Server arbeitet über einen eigenen Datenbank-Account.
™ Die Datenbank-Verbindung ist gesichert. Das jeweilige Verfahren ist abhängig von der
eingesetzten Datenbank.
™ Passwörter werden als „salted Hash-Value“ gespeichert und sind damit weder lesbar,
noch erratbar.
Auch der System-Administrator ist damit nicht in der Lage, die Authentication Server Tabellen in der
Datenbank manuell zu ändern und dadurch (versehentlich oder vorsätzlich) die Integrität der Daten zu
gefährden. Die wesentlichen Transaktionen werden durch den Authentication Server verfolgt und in der
Datenbank protokolliert.
Die den Benutzern zugeordneten Rechte sind ebenfalls in der Datenbank gespeichert, und zwar die
sich aus Rollen, Profilen und Gruppen ergebenden Einzelrechte. Zur Anpassung der Bedienoberfläche
hält der Client temporär lokale Kopien (lokaler Cache) der Rechte vor.
Durch die Speicherung in der Datenbank führt der Ausfall von Programmkomponenten nicht zu
Zugriffsproblemen aufgrund fehlender Rechte, solange redundante Programmkomponenten die
Aufgaben übernehmen können.
Der Client benötigt keinerlei Zugriff auf die Authentication Server Datenbank, sondern lediglich auf die
Adresse des zuständigen Authentication Server (zuzüglich Backup Authentication Server). Diese
Information findet sich in einer lokalen XML-Datei.

8.3 Backup
Wie allgemein üblich sollten auch für die Daten und Dokumente im DocuWare-System Sicherungsläufe
etabliert sein. Die Sicherung der Datenbank-Daten sollte bei eigenständigen Datenbank-Servern in die
unternehmensinternen Verfahren integriert werden.
Dabei werden alle system-relevanten und organisations-relevanten Eigenschaften in der Datenbank
DWSYSTEM gespeichert. Diese Datenbank sollte mindestens einmal im Monat, mindestens jedoch
nach umfangreichen Änderungen (z.B. der Synchronisation von vielen Benutzern) gesichert werden.
Die Daten der Archive werden in der DWDATA Datenbank gespeichert. Bei einem normalen Betrieb
sollte diese Datenbank einmal in der Woche gesichert werden.
Zusätzlich ist die Sicherung der Archivinhalte selbst, also der eigentlichen Dokumente mit den
zugehörigen XML-Dateien erforderlich. Dabei können prinzipiell natürlich ebenfalls klassische
Verfahren, zum Beispiel Bandsicherung mit Generationenverfahren, zum Einsatz kommen. Es sind
jedoch die teilweise enormen Datenbestände in den Archiven zu berücksichtigen, die vor allem
regelmäßige Vollsicherungen unpraktikabel erscheinen lassen. Inkrementelle Sicherungen hingegen
sind weitestgehend problemlos, da das laufende Datenvolumen im Allgemeinen gut handhabbar ist.
Entsprechend ist mit den Volltext-Index-Dateien umzugehen.
Werden (optische) Wechselmedien eingesetzt, kann die Erzeugung manueller Kopien der
Produktionsmedien der einfachste Weg sein. Je nach eingesetztem Speicher-Subsystem 3 ist auch die
automatische, parallele Erstellung von Sicherungsmedien verfügbar. Einige Subsysteme verfügen über
redundante Speicherverfahren oder automatische Spiegelung, die klassische Sicherungsverfahren
weitestgehend substituieren können.

3
Details siehe White Paper „Systemarchitektur“

© DocuWare AG Seite 30 Januar 2007


Sicherheit

Die DocuWare-Funktionen lassen sich ebenfalls für Sicherungszwecke einsetzen. Archive inklusive
zugehöriger Indexdaten können über die Exportmöglichkeiten 4 kopiert werden und damit auch als
Backup fungieren.
Weiterhin bietet der Aufbau von Master-/Satellitenarchiven ebenfalls eine sehr elegante Möglichkeit, die
Sicherungsproblematik ohne manuellen Aufwand zu lösen. Durch die Nutzung der Synchronisation
kann für eine automatische Aktualisierung der Backup-Kopie gesorgt werden. Erforderlich sind lediglich
ausreichende Speicher- und Übertragungskapazitäten der informationstechnischen Infrastruktur.
So kann beispielsweise ein Satellitenarchiv rein zu Sicherungszwecken an einem anderen
verbundenen Standort definiert werden, welches – beispielsweise über Nacht – automatisch mit dem
Masterarchiv synchronisiert wird.

8.4 Wiederherstellung (Recovery)


Der Zugriff auf die abgelegten Dokumente erfolgt immer über die Indexdaten der Datenbank. Ohne
diese Informationen ist ein Wiederfinden nahezu unmöglich. Der Verlust dieser Informationen muss
daher unter allen Umständen vermieden werden.
Das Backup der Datenbank und der Dokumentablage (Dokumente und XML-Header-Dateien) wurde
bereits beschrieben. Über diese Backup-Kopien sollten sich System- und Archivzustände zum
Zeitpunkt des letzten Backups wiederherstellen lassen.
Das hier beschriebene „Recovery“ kommt daher nur für den Notfall in Betracht, wenn die Backup-
Kopien der Datenbank nicht verfügbar sind oder aufgrund von technischen Problemen nicht genutzt
werden können. Bei großen Archiven kann das Recovery erhebliche Zeiten in Anspruch nehmen.
Für die Wiederherstellung der Indexdaten macht sich DocuWare das Prinzip der doppelten
Datenhaltung zunutze. Nach diesem Prinzip werden die Indexdaten, die für jedes Dokument in der
Datenbank enthalten sind, zusätzlich in der XML-Header-Datei mitgeschrieben.
Für die Wiederherstellung einer defekten Datenbank benötigt DocuWare folgende Informationen:
™ die Datenbankfelder, d.h. die Struktur der Datenbank
™ die Ablagepfade der Dokument-Dateien
™ die Indexinformationen der abgelegten Dokumente
Auf Grund der benötigten Informationen ergeben sich folgende Vorüberlegungen:
™ Gibt es eine fehlerfreie Sicherungskopie der Datenbank?
™ Sind alle Dokument-Dateien, die für die Wiederherstellung benötigt werden, verfügbar?
™ Wurden alle Indexeinträge im Header mitgeschrieben?
Da die Indexeinträge in den Header-Dateien enthalten sind, müssen die benötigten Dokumentablagen
während der Wiederherstellung verfügbar sein.
Die besondere Herausforderung liegt in den Fällen, bei denen wegen der Revisionssicherheit
Dokumente und XML-Dateien sehr frühzeitig auf nicht-veränderbare Speichermedien (z.B. WORM)
gespeichert wurden. In diesem Fall lassen sich die Indexdaten möglicherweise nicht wieder komplett
herstellen, da Änderungen, die nach der Speicherung erfolgten, nicht mehr verfügbar sind, da sie im
Header nicht aktualisiert werden konnten (Header war schreibgeschützt).
Abschließend soll deshalb noch einmal auf die Bedeutung konventioneller Sicherungen und der
Zielsetzung des Recovery als reine Notlösung hingewiesen werden.

4
Siehe auch „Vordefinierte Prozesse“ im White Paper „Systemarchitektur“

Januar 2007 Seite 31 © DocuWare AG


Sicherheit

9 Protokollierung
DocuWare verfügt über eine sehr flexible, leistungsfähige und leicht anpassbare Protokollierung aller
relevanten Ereignisse. Damit werden sowohl die Ursachenforschung bei Problemen als auch die
Systemüberwachung optimal unterstützt und es wird gegebenenfalls die Basis für die Abrechnung von
Leistungen geschaffen.

9.1 Protokollarten
Die einzelnen DocuWare-Servermodule sind verantwortlich für die Protokollierung ihrer jeweiligen
Aktivitäten. Je nach Vorgaben und Servermodul können durch die entsprechenden Administratoren die
Protokollfunktionen gezielt aktiviert und deaktiviert werden.
Protokollierungsfunktionen unterliegen der DocuWare-Rechteverwaltung. Analog zu den
Administratorrollen werden die folgenden Protokolle differenziert und sind von den entsprechenden
Administratoren zu konfigurieren:
™ Systemprotokoll
™ Organisationsprotokoll
™ Archivprotokoll
Zusätzlich stehen spezielle Protokollierungen für die vordefinierten Workflows zur Verfügung, um diese
Automatismen elegant überwachen zu können.
Die Protokollierung ist sehr flexibel an die jeweiligen Bedürfnisse des Unternehmens anpassbar. Bei
der Konfiguration hilft ein Assistent. Die Definition eines Protokolls läuft generell nach dem folgenden
Schema ab:
1. Definition der interessierenden Ereignisse und Zielformate
2. Definition der zu protokollierenden Objekte
3. Spezifikation der zu protokollierenden Informationen
4. Definition eventueller Filter (z.B. werden nur Ereignisse protokolliert, die von einem bestimmten
Benutzer ausgelöst wurden)
Es wird zunächst bestimmt, welche Art der Ereignisse (Protokollierungsebene) wo aufgezeichnet
werden soll, danach sind die Protokollinhalte mit den relevanten Objekten und den zu protokollierenden
Informationen zu bestimmen.

9.2 Protokollierungsebenen
Für die Protokollierung kann zwischen verschiedenen Zielformaten (Datenbank, XML-Datei, formatierte
Datei) und verschiedenen Ereignissen (Information, Warnung, Fehler, Kritischer Fehler) gewählt
werden. Eine tiefere Ebene inkludiert die Ereignisse einer höheren Ebene. Entsprechend werden bei
der Aktivierung der Ebene „Information“ sämtliche Ereignisse protokolliert.
Fehler der Ebenen “Fehler“ und „Kritische Fehler“ können automatisch dem Windows-Protokoll
zugefügt werden. Weiterhin ist in diesen Fällen die automatische Aussendung einer E-Mail möglich.
Die genannten Ereignisse haben folgende Bedeutungen:
™ Kritische Fehler:
Ein unerwarteter Fehler, für den keine Behandlungsroutine existiert.
™ Fehler:
Fehler, für die Behandlungsroutinen vorhanden sind, beispielsweise auf ein bestimmtes
Dokument kann nicht zugegriffen werden.
™ Warnung:
Ein Auftrag konnte nicht ausgeführt werden, der weitere Programmfluss ist aber nicht
behindert, beispielsweise fehlende Rechte für das Schreiben von Indexdaten.
™ Information:
Zusätzliche Information über aufgetretene Ereignisse, die vor allem für Administratoren
interessant ist.

© DocuWare AG Seite 32 Januar 2007


Sicherheit

Jedes Ereignis, dass zu einer Abweichung von dem vorgesehenen Programmablauf führt, kann einen
Eintrag in die Protokollierung bedingen. Protokolle, die sämtliche Ereignisse zur Laufzeit erfassen,
können daher sehr umfangreich werden und das System belasten. Es empfiehlt sich, im normalen
Betrieb lediglich Fehler protokollieren zu lassen (siehe auch vordefinierte Protokollierung) und die
weitergehenden Informationen lediglich während der Fehlersuche einzuschalten.
Für Audits kann ein umfangreiches Logging auf Archivebene eingeschaltet werden, um beispielsweise
die Änderung von Indexdaten innerhalb der Protokollierung nachweisen zu können.

9.3 Protokollinhalte
Relevante Ereignisse für die Protokollierung sind einerseits Änderungen der Konfiguration durch die
Administratoren und andererseits Ereignisse, die sich zur Laufzeit der Anwendung ergeben.
Generell sind bei der Administration die Erstellung, Änderung und Löschung von den definierten
Objekten protokollierbare Ereignisse. Die folgende Tabelle listet die Objekte, für die die Protokollierung
während der Administration erfolgt.

Systemebene Organisationsebene Archivebene


o Authentication Server o Lizenzen o Allgemein
o Content Server o Clients o Datenbank
o Workflow Server o Private und öffentliche Stempel o Dokumente
o Verbindungen o Anzeige- und o Platten
o Speicherorte Bearbeitungsprogramme o Archivprofile
o Externes o Externe Auswahllisten o Suchmasken
Benutzerverzeichnis o Validierungen o Ablagemasken
o Zeitstempeldienst o Briefkörbe o Ergebnislisten
o Verschiedene Einstellungen o Link
o Benutzersynchronsation
o Benutzerverwaltung
o Signaturtypen
o Workflows:
o Archivsynchronisation
o Export
o Migration
o DocuWare-4-Archiv
konvertieren
o Index wiederherstellen
o Volltextdienst
o AUTOINDEX
o DocuWare REQUEST
o Löschen
o SAP-Barcode-Transfer
Tabelle 1: Objekttypen für Protokollierung bei Administration
Der Protokolleintrag umfasst:
™ Name der Einstellung
™ Objekttyp
™ GUID
™ Benutzer, der die Änderung vornahm, mit Name und Organisation
Über eine Filterfunktion lassen sich die zu protokollierenden Ereignisse weiter einschränken. Auf
Systemebene kann damit eine Filterung von Organisationen und auf Organisationsebene eine Filterung
von Archiven sowie Benutzern erfolgen.

Januar 2007 Seite 33 © DocuWare AG


Sicherheit

Systemebene Organisationsebene Archivebene


Ereignisse Öffnen und Schließen Öffnen und Schließen Öffnen, Ändern und
Schließen

Objekte o Authentication Server o Lizenzen o Dokument


o Content Server o Benutzersynchronisation o Suchmasken
o Datenbankverbindung o Zusätzliche Organisationen
o Speicherort o Archivsynchronisation
o Externes o Export
Benutzerverzeichnis o Migration
o Zeitstempeldienst o DocuWare-4-Archiv
konvertieren
o Index wiederherstellen
o Volltextdienst
o AUTOINDEX
o DocuWare REQUEST
o Löschen
o SAP-Barcode-Transfer
Objektfilter o Organisation o Archiv o Benutzer
o Servername o Benutzer
Protokollierte o Name o Name o Name
Information o Objekttyp o Objekttyp o DocID
o GUID o GUID o Index-
o Benutzer mit Namen o Benutzer mit Namen und Informationen
und Organisation Organisation o Archivname
o GUID
o Benutzer mit
Namen und
Organisation
Tabelle 2: Protokollierung zur Laufzeit
Auf jeder Ebene (System, Organisation, Archiv) können gleichzeitig mehrere Protokollierungen parallel
erfolgen.

9.4 Speicherort und -umfang


Der System-Administrator kann Vorgaben für die zu nutzenden Datensenken, das heißt Datenbank-
Verbindungen oder Dateiverzeichnisse machen. Es ist die Maximalgröße einer Protokolldatei
einstellbar. Folgende Vorgaben für das Verfahren bei Erreichen des Maximums lassen sich einstellen:
Überschreiben älterer Daten oder Anlage einer neuen Protokolldatei.
Die entsprechenden Grenzwerte und die Bestimmung der Größe der zu überschreibenden Bereiche
sind frei wählbar. Bei der Wahl von Datenbanken beziehungsweise XML-Dateien als Speicherort erfolgt
die Vorgabe in Form von Datensätzen, ansonsten in Form von MegaByte.
Bei der Erstellung neuer Dateien nach Erreichen des Maximums kann wiederum eine maximale Anzahl
vorgegeben werden.

9.5 Berechtigungen
Die Möglichkeit, die Protokollierung zu spezifizieren, unterliegt, wie alle anderen Funktionen, dem
Berechtigungskonzept. Das Berechtigungskonzept sieht ein eigenes Recht für das Erstellen und
Löschen von Protokollierungsspezifikationen (“Logging-Agenten”) vor.

© DocuWare AG Seite 34 Januar 2007


Sicherheit

Der Administrator, der einen Speicherort für die Protokollierungen definiert, kann festlegen, ob dieser
Speicherort auch von anderen Administratoren verwendet werden darf. Ist dies nicht der Fall, kann nur
er Protokollspezifizierungen definieren, die diesen Speicherort verwenden.
Einsicht in die jeweilige Protokollierung kann nur ein Benutzer vornehmen, der für diese Ebene über die
entsprechenden Administrations-Rechte verfügt. Ein Organisations-Administrator hat also nicht
unbedingt Einblick in die Protokollierung eines Archivs, wenn er in dem Archiv nicht auch über
Administrationsrechte verfügt.

9.6 Vordefinierte Protokollierung


Auch ohne benutzerdefinierte Protokolle sollten bestimmte Ereignisse im System aufgezeichnet
werden. Bei der Installation erfolgt daher eine automatische Spezifikation je eines Protokolls für die
System-, Organisations-, Archivebene.
Bei der Installation einer neuen Organisation oder eines neuen Archivs werden diese Spezifikationen
standardmäßig mit installiert. Es handelt sich dabei um Datenbanktabellen mit einer Gesamtgröße von
maximal 10.000 Einträgen.
Die vordefinierte Protokollierung auf der System- und Organisationsebene protokolliert alle Fehler
(kritisch und nicht-kritisch). Bei einem Archiv werden die Laufzeitereignisse auf Warnung-Ebene und
die administrativen Ereignisse auf Fehlerebene protokolliert.

Eigenschaft Standard-Einstellung
Allgemeine Informationen
Name DWArchiv<Archivname>
Status gestartet
Logging-Level Fehler
Ziel DWLOG_<Archivname>
Zusätzliche Ausgabegeräte keine
Administrative Ansicht
Objekte Ereignisse
Alle Einstellungen Erstellen, Verändern, Löschen
Ansicht zur Laufzeit
Objekte Ereignisse
Ausnahmen
Dokument Erstellen, Löschen
Mögliche Informationen
Dokumentname
DocID
Index-Informationen und –Ver-
änderungen
Archivname, GUID
Benutzername
Benutzerorganisation
Filter keine
Tabelle 3: Beispiel: Standardprotokollierung für ein Archiv

Januar 2007 Seite 35 © DocuWare AG


Sicherheit

Eigenschaft Standard-Einstellung
Allgemeine Informationen
Name DWOrganisation<Organisationsname>
Status gestartet
Logging-Level Fehler
Ziel DWLOG_<Organisationsname>
Zusätzliche Ausgabegeräte keine
Administrative Ansicht
Objekte Ereignisse
Alle Einstellungen Erstellen, Verändern, Löschen
Ansicht zur Laufzeit
Objekte
Ausnahmen
Mögliche Informationen
Einstellungsname
Typ
GUID
Benutzername
Benutzerorganisation
Filter keine
Tabelle 4: Beispiel: Standardprotokollierung für eine Organisation

Eigenschaft Standard-Einstellung
Allgemeine Informationen
Name DWSystem
Status gestartet
Logging-Level Fehler
Ziel DWLOG_SYSTEM
Zusätzliche Ausgabegeräte keine
Administrative Ansicht
Objekte Ereignisse
Alle Einstellungen Erstellen, Verändern, Löschen
Ansicht zur Laufzeit
Objekte Ereignisse
Ausnahmen
Authentication Server Session Öffnen, Schließen
Content Server Session Öffnen, Schließen
Datenbankverbindung Öffnen
Workflow Server Öffnen, Schließen

© DocuWare AG Seite 36 Januar 2007


Sicherheit

Mögliche Informationen
Einstellungsname
Typ
GUID
Kurzer Benutzername
Benutzerorganisation
Filter keine
Tabelle 5: Beispiel: Standardprotokollierung für das System
Für die Definition der Protokollierungen werden Assistenten bereitgestellt, die den Benutzer durch die
einzelnen Schritte führen.
Weiterhin stehen Standardprotokollierungen für jede Art von Workflow zur Verfügung, die im Einzelnen
die Überwachung der Laufzeit dieser automatischen Abläufe ermöglichen.

9.7 Anzeige der Protokollierung


Die Anzeige der Protokollierung erfolgt über eine Tabelle, die sowohl die Protokolleinträge als auch die
zusätzlichen definierten Informationen enthält.

Abbildung 8 Anzeige der Protokollierung

Januar 2007 Seite 37 © DocuWare AG


Sicherheit

10 Glossar

Ablagemaske Bevor ein Dokument in ein Archiv abgelegt werden kann, muss es so
verschlagwortet werden, dass es bei einer Recherche mühelos wiedergefunden
wird. Für die Ablage und Verschlagwortung von Dokumenten dient die
Ablagemaske. Ablagemasken können in DocuWare nach Bedarf pro Archiv definiert
und Benutzern und Profilen zugewiesen werden.
Administrative Administrative Rechte umfassen die Rechte zur Änderung von Archivdefinitionen
Rechte oder Definitionen innerhalb einer Organisation.
Archiv Ein „Archiv“ ist in DocuWare eine logische Einheit, die Dokumente entgegennimmt,
speichert, sucht und wieder bereitstellt. Ein Archiv umfasst immer die Dateiablage, in
der die Dokumente physikalisch gespeichert sind sowie die zugehörigen
Datenbanktabellen, die Indexdaten und andere beschreibende oder ergänzende
Elemente zu dem Dokument enthalten. Optional kann ein Archiv auch einen
Volltext-Index enthalten, der die Dokumente zusätzlich über die Volltext-Information
zugänglich macht. Für die Dateiablage können unterschiedliche Ablagemedien
Verwendung finden. Dazu werden den Archiven „logische Platten“ zugeordnet, die
nach vorgegebenen Regeln auf physikalische Ablagemedien abgebildet werden.Ein
Archiv ist eine Sammlung verschlagworteter Dokumente. Für Archive können
feingranulare Zugriffs- und administrative Rechte vergeben werden.
Archiv- Nutzer, dem ein Administrationsrecht für ein Archiv gegeben wurde. Er kann dieses
Administrator Recht nicht weitergeben.
Archiv-Besitzer Nutzer, der ein Archiv anlegt und administrieren darf. Dieser verwaltet die
Archivstruktur und vergibt die Zugriffsrechte auf das Archiv. Das Recht zur
Administration kann weitergegeben werden, d.h. der Besitzer kann die
Administrationsaufgabe delegieren.
Archivprofil Ein Archivprofil umfasst die Zugriffsrechte auf ein Archiv. Dazu gehören unter
anderem die Zugriffsrechte auf Indexfelder oder Dokumente, die auch von
bestimmten Indexeinträgen abhängig sein können (feldabhängige Rechte). Ein
Archivprofil kann auch administrative Rechte innerhalb eines Archivs umfassen. Ein
Archivprofil wird innerhalb eines Archivs definiert.
Auswahlliste Auf Ablage- und Suchmasken stellt DocuWare den Benutzern Auswahllisten zur
Verfügung, mit denen Eingaben für die Indexfelder ausgewählt und schnell
vorgenommen werden können. Auswahllisten werden auf Organisationsebene
definiert und können von allen Archiven der Organisationen genutzt werden.
Authentication Die Hauptfunktionen von Authentication Server sind die Lizenzprüfung und die
Server Rechteverwaltung der Benutzer sowie der Programme. Jedes DocuWare-Client-
Programm stellt beim Start automatisch eine Verbindung zu Authentication Server
her. Es wird geprüft, ob für das jeweilige Programm sowie für den jeweiligen
Benutzer eine Lizenz vorhanden und nutzbar ist. Authentication Server hat jederzeit
den Überblick, welche Programme und Benutzer im DocuWare-System arbeiten.
Zudem handhabt er die Zuteilung von Ressourcen, beispielsweise bestimmt er, mit
welchem Content Server (falls mehrere vorhanden) welcher Benutzer arbeiten kann.
Benutzer Benutzer haben in den Unternehmensorganisationen verschiedene Rollen.
Entsprechende Rollen lassen sich in DocuWare abbilden, um die Installation und
Administration zu vereinfachen. Dazu werden Funktionen und Zugriffsrechte in
Profilen zusammengefasst, die den Rollen zugewiesen werden. In diesem White
Paper ist ein Benutzer immer ein DocuWare Benutzer. Benutzer können zu Gruppen
zusammengefasst werden. Benutzer erhalten Rechte sowohl über Einzelrechte,
Profile oder Rollen.
COLD Einziges proprietäres Dateiformat in DocuWare ist das COLD-Format. Es ist ein
ANSI-Format und nimmt die Text-Spooldaten beim Einlesen mit DocuWare
COLD/READ auf.

© DocuWare AG Seite 38 Januar 2007


Sicherheit

Content Server Content Server ist für den Zugriff der DocuWare-Clients auf DocuWare-Archive
zuständig. Dem Client ist der direkte Zugriff auf die im Verzeichnis abgelegten
Archiv-Dokumente verwehrt. Alle Archivzugriffe erfolgen ausschließlich über Content
Server. Informationen über Lizenzen und Benutzerrechte holt sich der Content
Server über Authentication Server.
DocuWare-Client DocuWare-Client bezeichnet den „Rich-Client“, der auf dem Benutzerarbeitsplatz
zusammen mit dem DocuWare-Server eine funktionsfähige Installation ergibt.
Grundsätzlich ist die Benutzung auch über einen Web-Client möglich. Dazu wird auf
Benutzerseite lediglich ein HTML-Browser benötigt. In diesem Fall übernimmt eine
zusätzliche zentrale Komponente, der Internet Server, die Clientaufgaben und die
Umsetzung für den Browser
DocuWare- Siehe DocuWare-System
Installtion
DocuWare- ist ein Überbegriff und umfasst alle Server-Module wie Authentication Server,
Server Content Server, Workflow Server. Der DocuWare-Server besteht somit aus
verschiedenen einzelnen Server-Modulen.
DocuWare- Das DocuWare-System umfasst eine funktionierende DocuWare-Installation mit
System allen dafür erforderlichen sowie eventuell optionalen Komponenten. Ein DocuWare-
System kennzeichnet sich durch gemeinsame Hardware und Systemeinstellungen
für eine oder mehrere „Organisationen“. Teilweise wird anstatt vom DocuWare-
System auch einfach von DocuWare gesprochen.
Dokument Ein „Dokument“ ist ein Überbegriff für die im Archiv abgelegten Objekte, die aus
Benutzersicht eine logische Einheit - eben ein Dokument - bilden. Ein Dokument
kann aus einer beliebigen Anzahl von Dateien bestehen. Häufig wird es sich um
gescannte Informationen im TIFF oder Multi-TIF-Format handeln. Dateien aus
Output-Management-Systemen, Office- oder Grafik-applikationen oder gar
Binärdateien werden aber gleichartig behandelt. Eine Datei kann eine oder mehrere
Seite(n) repräsentieren. Eine Datei kann aber auch Stempel, Signaturen,
Anmerkungen o.ä. ergänzende Informationen zum Dokument beinhalten.
Dokumente können weiterhin aus Dateien mit unterschiedlich formatierten Inhalten
bestehen. So können eine Office-Datei, zusammen mit einer E-Mail-Datei und
mehreren TIFF-Dateien zusammen ein Dokument darstellen. Technisch erhält daher
jedes Dokument in der Dateiablage ein eigenes Verzeichnis für die beteiligten
Dateien, Anmerkungen etc.. Eindeutig identifiziert wird das Dokument über die
DOCID. Diese Technik bietet die Möglichkeit, auch Teildokumente, z.B. Seiten, mit
getrennten Indexinformationen zu versehen. Weiterhin können aus einem Dokument
mehrere Dokumente erzeugt werden und mehrere Dokumente können auch zu
einem Dokument zusammengefasst werden („Klammerfunktion“).
Einfache Die einfache, simple Signatur dient der Abzeichnung, Genehmigung oder Freigabe
Elektronische eines Dokuments in DocuWare und wird für die von DocuWare unterstützten
Signatur Workflow-Prozesse in Unternehmen genutzt. Nach dem Anbringen der
Elektronischen Signatur sind Aktionen wie Anmerkungen, weitere Stempel (außer
weitere Elektronische Stempel), Verschmelzen, Geraderücken und Konvertieren
nicht mehr möglich. Wenn eine Elektronische Signatur angebracht wird, erzeugt
DocuWare automatisch eine Checksumme. Die Elektronische Signatur sichert die
Integrität eines Dokuments innerhalb des DocuWare Systems.

Januar 2007 Seite 39 © DocuWare AG


Sicherheit

Ererbtes DocuWare unterscheidet in Bezug auf den Benutzer zwischen ererbten Rechten und
Recht/Explizites expliziten Rechten. Beispiel: Ein Benutzer bekommt das Profil "Fortgeschrittener
Recht Mitarbeiter" zugewiesen. In diesem Profil sind sämtliche Funktionen im DocuWare-
Hauptfenster verfügbar. Alle diese funktionalen Rechte hat der Benutzer über die
Zuweisung des Profils ererbt. Konsequenz: Wird dem Benutzer das Profil wieder
entzogen, verliert er sämtliche ererbten Rechte: Er kann die Funktionen des
Hauptfensters nicht mehr nutzen. Die Funktionen des DocuWare-Hauptfensters
können dem Benutzer zusätzlich zu der Zuweisung über ein Profil explizit
zugewiesen werden. Der Benutzer kann dann die Funktionen unabhängig vom Profil
"Fortgeschrittener Mitarbeiter" nutzen - auch dann, wenn ihm das Profil entzogen
wird.
Export Beim Export wird eine Kopie eines Archivs oder einzelner Dokumente erzeugt. Sie
exportieren ein Archiv beispielsweise, um eine Sicherungskopie zu erstellen oder um
ein Archiv offline auf CD/DVD zu nutzen. Der Export eines DocuWare-Archivs
umfasst sowohl die Dokumente als auch die Datenbank. Ziel des Exports können
Archive innerhalb des DocuWare-Systems oder ein externes Speichermedium sein.
Innerhalb des DocuWare-Systems kann in ein neues oder in ein bestehendes Archiv
exportiert werden.
Funktionsprofil Ein Funktionsprofil umfasst Zugriffsrechte auf Funktionen des DocuWare Clients.
Dazu gehören u.a. die Zugriffsrechte auf Menüfunktionen und Stempel.
Funktionsprofile werden auf Organisationsebene definiert. Ein Funktionsprofil kann
auch administrative Rechte auf Organisationsebene umfassen.
Gruppe Unabhängig von Rollen können Benutzer zu Gruppen zusammengefasst werden,
denen dann ebenfalls Rollen zugewiesen werden können. Eine Gruppe ist somit
eine Zusammenfassung von Benutzern. Gruppen können ausschließlich über Rollen
Rechte zugewiesen werden. Gruppen dienen der einfacheren Administration von
mehreren Benutzern.
Header DocuWare verwendet XML für die Dokumentablage in Anlehnung an einen bei der
AIIM in Arbeit befindlichen Standard. DocuWare benutzt dieses Format für die
Speicherung der Metadaten und Dokumentergänzungen (Anmerkungen, Stempel
etc.). Der Content selbst wird aus Performancegründen separat gespeichert
(Ausnahme Export). Zusammengefasst werden diese Informationen in der „XML-
Header-Datei“. Für jedes in DocuWare abgelegte Dokument existiert eine solche
Header-Datei, die mit dem Dokument selbst („Content“) in der Dateiablage abgelegt
wird.
Indexdaten Siehe Header
Indexfilter Über Indexfilter schränken Sie in DocuWare den Zugriff auf Dokumente ein. Sie
legen für einzelne Indexfelder fest, welche Kriterien sie enthalten müssen, damit
Dokumente im Archiv beispielsweise gesucht oder gedruckt werden dürfen. Kriterien
für das Filtern von Dokumenten können beispielweise Texteinträge wie Namen,
Daten oder numerische Einträge sein.
JPEG Joint Photographic Experts Group. Spezifikation zur verlustbehafteten Kompression
von Farbbildern. "Verlustbehaftet" bedeutet, dass Bildinformationen beim Speichern
irreversibel verloren gehen. JPEG wird eingesetzt, um Bilder mit großem Farbraum
(großer Bittiefe) zu komprimieren. Empfohlen wird für diesen Fall PNG.
Logging-Agent Ein Logging-Agent ist ein Job, der bestimmte Protokollierungsoptionen umfasst und
entsprechende Informationen sammelt. Ein Logging-Agent kann Ereignisse
unterschiedlicher Organisationen protokollieren oder in unterschiedliche Logging-
Ziele schreiben. Ein Logging-Ziel ist immer eine Datei oder ein Datenbankeintrag.
Logging-Ziel Eine Datei oder eine Datenbankverbindung in die die Logging-Einträge geschrieben
werden.
Massensignatur DocuWare erlaubt das automatische Anbringen von Signaturen auf beispielsweise
gescannte Dokumente im Briefkorb. Zwischen die Übernahme der Dokumente in
DocuWare über den Scanvorgang und die Ablage im Archiv wird der Signiervorgang
geschaltet.

© DocuWare AG Seite 40 Januar 2007


Sicherheit

Masterarchiv Ein Masterarchiv ist das Archiv, von dem aus eine Synchronisation von Archiven in
DocuWare ihren Ausgang nimmt. Es ist quasi das Basisarchiv. Mit dem Masterarchiv
können beliebig viele Satellitenarchive synchronisiert, das heißt, auf denselben
Stand gebracht werden.
Menüfunktion Eine Menüfunktion umfasst eine Funktion innerhalb des DocuWare Clients. Dazu
gehören u.a. die Funktionen Scannen und Dokumente anzeigen oder bearbeiten.
Metadaten Siehe Header
Migration Migration ist der Transfer von Dokumenten innerhalb eines Archivs auf eine andere
Platte mit einer anderen Plattennummer. In der Regel wird ein Migrations-Workflow
gestartet, um die Plattengrößen innerhalb eines Archivs zu reduzieren oder um
Platten zusammenzulegen. So kann man ein Archiv auf Platten in der Größe einer
CD/DVD speichern, um den Transfer auf ein externes Speichermedium
vorzubereiten.
Organisation Eine Organisation umfasst im wesentlichen das Management der Benutzer.
Innerhalb der Organisation werden keine Hardware-Administrationen durchgeführt.
Die gesamte Systemverwaltung erfolgt auf Systemebene.
Organisations- Der Organisations-Administrator verwaltet wie schon sein Name sagt eine
Administrator Organisation. Ein DocuWare System kann eine oder auch mehrere Organisationen
umfassen. Der Organisations-Administrator verwaltet insbesondere die Rechte und
Benutzer einer Organisation. Er hat keine Zugriffsrechte auf Archive und ihre
Verwaltung.
PNG Abkürzung für "portable network graphic format" (sprich: ping). Das vom World Wide
Web Consortium (W3C) entwickelte und als Standard verabschiedete Format ist
lizenzfrei und soll GIF- und JPEG-Bilder ablösen - komprimierend und ohne
gravierende Qualitätseinbußen.
Profile Profile sind die Zusammenfassung von Einzelrechten. Profile werden in Archivprofile
und Funktionsprofile unterschieden. Profile können entweder administrative Rechte
oder Zugriffsrechte z.B. auf ein Archiv enthalten.
Qualifizierte Eine so genannte token based Signatur ist eine Fortgeschrittene oder Qualifizierte
Elektronische Elektronische Signatur. Sie benötigt immer ein Zertifikat. Über das Zertifikat lässt
Signatur sich - auch außerhalb des DocuWare-Systems - der Unterzeichnende eines
Dokuments jederzeit zweifelsfrei identifizieren. In der Zertifikat-Verwaltung legen Sie
sich unterschiedliche Typen von Elektronischen Signaturen an. Ein Typ ist quasi ein
Filter auf ein verfügbares Zertifikat.
Rechte Rechte erlauben die Ausführung von bestimmten Funktionalitäten innerhalb des
DocuWare Systems. Einzelrechte können in Archiven und auf Organisationsebene
vergeben werden.
Rolle Benutzer haben in den Unternehmensorganisationen verschiedene Rollen, die sich
aus Ihrer Stellung in der Hierarchie (z.B. Genehmigung von Urlaubsanträgen) und
aus Ihrer Aufgabenbeschreibung (z.B. Einkäufer) ergeben. Entsprechende Rollen
lassen sich in DocuWare abbilden, um die Installation und Administration zu
vereinfachen. Dazu werden Funktionen und Zugriffsrechte in Profilen
zusammengefasst, die den Rollen zugewiesen werden. Das Rollenkonzept wird
auch vom DocuWare-System selbst benutzt, in dem bestimmte Rollen mit
entsprechenden Profilen für administrative Aufgaben bereits vordefiniert sind. Eine
Rolle ist eine Zusammenfassung von Profilen. Rollen können keine Einzelrechte
beinhalten. Vordefinierte Rollen erlauben die einfache Vergabe von administrativen
Rechten.
Satellitenarchiv Das Satellitenarchiv ist quasi das Zielarchiv bei der Synchronisation von Archiven in
DocuWare. Ausgangspunkt der Synchronisation ist immer das Masterarchiv. Das
Satellitenarchiv enthält nach der Synchronisation die gleichen Dokumente und
Datenbankeinträge wie das Masterarchiv.

Januar 2007 Seite 41 © DocuWare AG


Sicherheit

Suchmaske Die Recherche nach abgelegten Dokumenten in einem Archiv wird mit Hilfe von
Suchmasken durchgeführt. Auf einer Suchmaske befinden sich Eingabefelder, die
jeweils mit dem Namen der Indexfelder betitelt sind. Hier werden die Suchbegriffe
eingegeben, beispielsweise soll nach Firma Müllermann in dem Indexfeld mit dem
Namen Firma gesucht werden. Suchmasken können in DocuWare nach Bedarf pro
Archiv definiert und Benutzern und Archivprofilen zugewiesen werden.
Synchronisation DocuWare erlaubt die Synchronisation zweier Archive. Die Synchronisation umfasst
Dokumente und Datenbank. Ausgangspunkt einer Synchronisation ist immer ein
Quellarchiv, das Masterarchiv. Ziel ist immer ein so genanntes Satellitenarchiv. Das
kann beispielsweise ein DocuWare-Archiv auf einem Laptop sein, der ohne
Netzzugang mit den aktuellen Dokumenten aus einem Masterarchiv arbeiten können
muss. Die Synchronisation kann in beide Richtungen, vom Masterarchiv zum
Satellitenarchiv als auch umgekehrt stattfinden.
System Siehe DocuWare-System
System- Der System-Administrator verwaltet das System insbesondere aus Hardwaresicht.
Administrator Dazu gehören u.a. die Verwaltung der Datenbankverbindungen, die Verwaltung der
Kommunikationswege und die Ablagepfade der Dokumente. Der System-
Administrator hat keine Zugriffsrechte auf Organisationsinformationen insbesondere
kann er nicht in die Benutzerverwaltung eingreifen.
TIFF Tagged Image File Format: Wichtigstes Format in DocuWare ist Schwarz-Weiß (1-
bit) TIFF, nach CCITT Group 4 komprimiert. Dieses Format hat sich für die
elektronische Archivierung gescannter Dokumente als Standard durchgesetzt. Zur
Archivierung erzeugt DocuWare für jede Seite eines Dokumentes eine Datei.
Ticket Sobald sich ein Benutzer in DocuWare einloggt und mit dem Passwort seine
Identität bestätigt hat, erhält er von Authentication Server einen Ausweis, ein so
genanntes Ticket, mit dem er seine Authentizität beweisen kann. Mit diesem
Ausweis erhält er Zugang zu DocuWare Servern und ihren Diensten. Aus
Sicherheitsgründen hat ein Ticket immer nur eine begrenzte Lebensdauer.
Vordefinierte Vordefinierte Rollen werden vom DocuWare System mitgeliefert und garantieren die
Rollen Arbeitsfähigkeit des Systems bei einer ersten Installation. Vordefinierte Rollen sind
der System-Administrator, der Organisations-Administrator und der Archiv-Besitzer.
Workflow Ein Workflow ist eine vordefinierte Folge von Arbeitsschritten, die bei dem Eintreffen
eines vordefinierten Ereignisses automatisch innerhalb von DocuWare ausgeführt
wird.
Workflow Server Der Workflow Server ist das Modul, das die Workflows zur Laufzeit ausführt.
XML Siehe Header
Zeitstempel Zeitstempeldienste sind Dienstleister, die Zeitstempel anbieten. Bei einem externen
Dienst läuft die Kommunikation via Internet. Alternativ können interne Dienste
genutzt werden, für die spezielle Hard- und Software vorhanden sein muss. Der
Zugriff auf den Dienst erfolgt dann über das interne Netzwerk.
Zertifikat Um in der elektronischen Welt einen Unterzeichner identifizieren zu können, braucht
man einen privaten Schlüssel, mit dem der Unterzeichner die Signatur erzeugt, und
einen öffentlichen Schlüssel, mit dem sich nachweisen lässt, wer die Signatur, die
Unterschrift angebracht hat. Der private Schlüssel muss sicher gespeichert sein und
darf nur dem Unterzeichner zugänglich sein. Er wird beispielsweise auf einer
Smartcard festgehalten. Der öffentliche Schlüssel muss – wie der Name schon sagt
– öffentlich zugänglich sein. Er wird in einem Zertifikat gespeichert. Qualifizierte
Zertifikate identifizieren den Inhaber eines Schlüsselpaares eindeutig. Sie enthalten
den Namen des Inhabers, seinen öffentlichen Schlüssel, eventuell weitere
Information zum Zertifikatsinhaber und Informationen zum Zertifikatsherausgeber.
Zertifikate und ihre möglichen Inhalte sind standardisiert, so dass auch Dritte, die
über ein anderes Signatursystem verfügen, Zertifikate prüfen können. Es entspricht
einem Ausweis, der durch vertrauenswürdige Dritte ausgestellt wird.

© DocuWare AG Seite 42 Januar 2007


Sicherheit

Zugriffsrechte Zugriffsrechte umfassen Zugriffe auf Archive oder Menüfunktionen innerhalb des
DocuWare Clients.

Januar 2007 Seite 43 © DocuWare AG


Sicherheit

11 Anhang
11.1 Vorgehensweise zur Entwicklung von Gruppen und Rollen in
einer Organisation
Um die Rechtevergabe in DocuWare vorzubereiten, können zwei Wege beschritten werden. Einmal
können die Funktionen analysiert und innerhalb eines Rechtekanons den Benutzern zur Verfügung
gestellt werden. Auf der anderen Seite können die Mitarbeiter zu Gruppen zusammengefasst und die
einzelnen Funktionen diesen Gruppen über Rollen zur Verfügung gestellt werden.
1. Sichtweise Funktionen
Zunächst wird festgestellt, welche Tätigkeiten und Arbeitsbereiche vorhanden sind und welche Rechte
und Funktionen im DocuWare-System notwendig sind, um zur Erfüllung der Aufgaben alles Notwendige
zur Verfügung zu stellen. Daraus können unterschiedliche Rollen erwachsen. Die Rollen können dann
den einzelnen Benutzern zugewiesen werden. Bei größeren Organisationen empfiehlt es sich, die
Mitarbeiter zu Gruppen zusammenzufassen (etwa die Mitarbeiter einer Abteilung) und die erstellte
Rolle diesen Gruppen zu zuweisen.
2. Sichtweise Mitarbeiter
Wenn man es gewohnt ist, in der Benutzerverwaltung mit Gruppen zu arbeiten, kann man das auch in
DocuWare tun. In diesem Fall werden zunächst Gruppen entsprechend der Tätigkeiten der Mitarbeiter
im Unternehmen gebildet. Diese Gruppen werden über die Zuweisung von Rollen mit den notwendigen
Rechten ausgestattet. Neue Benutzer mit der entsprechenden Tätigkeit brauchen nur der Gruppe
zugewiesen werden, um sie mit den nötigen Rechten auszustatten.

Benutzer

Gruppen

Rollen

Funktionale Profile Archivprofile

Funktionale Rechte Archivrechte

Zuweisung Zusammenfassung

© DocuWare AG Seite 44 Januar 2007


Sicherheit

11.2 Definition von Rechten in Archiven


Zugehörig zu den Archiven werden die jeweiligen Such- und Ablagemasken, die Ergebnisanzeigen und
die Info-Dialoge definiert.
Bei den Such- und Ablagemasken kann jeweils definiert werden, welche Indexfelder für den Benutzer
sichtbar sein sollen. Des Weiteren lassen sich Einträge für die Indexfelder vordefinieren. Diese Einträge
können für den Benutzer veränderbar sein, so dass es sich um eine Eingabeerleichterung handelt, oder
sie können fest sein, so dass der Benutzer in dem entsprechenden Feld keinen anderen Eintrag
vornehmen kann. Auch Felder, die nicht sichtbar sind, können feste vordefinierte Einträge enthalten.
Beispiel:
Sollen externe Mitarbeiter nur auf freigegebene Dokumente zugreifen dürfen, so kann ihnen
eine Suchmaske zugewiesen werden, in der für das Feld Dokumentenstatus der Indexbegriff
Freigegeben vorgegeben und unveränderbar ist. Es ist auch möglich, dass dieses Feld mit dem
festen Eintrag für die Suche verwendet wird, auf der Suchmaske aber nicht erscheint. Für den
externen Mitarbeiter ist es somit nicht offensichtlich, dass er eine eingeschränkte Suche
durchführt.
Für eine Ergebnisliste lässt sich festlegen, welche Spalten angezeigt werden sollen, das heißt, von
welchen Indexfeldern die Indexeinträge der Dokumente zu sehen sind. Außerdem können die
Funktionen, die über die Ergebnisliste zur Verfügung stehen sollen, definieren werden. Möglich sind
zum Beispiel Dokument drucken, Dokument im Bearbeitungsprogramm öffnen, Dokument in Briefkorb
kopieren.
Für den Info-Dialog, der über die Ergebnisliste aufgerufen wird und in dem die Indexbegriffe änderbar
sind, lässt sich bestimmen, welche Felder angezeigt werden und welche davon veränderbar sind.
Die Handlungsmöglichkeiten eines Benutzers innerhalb eines Archivs ergeben sich aus den ihm
zugewiesenen Archivrechten und den ihm zugewiesenen Dialoge als „Handwerkszeug“ für das
entsprechende Archiv.
Beispiele für das Zusammenspiel von Dialogen und Archivrechten:
• Hat ein Benutzer für ein Archiv das Suchen-Recht, ist ihm aber keine Suchmaske zugewiesen
worden, kann er keine Suche ausführen, da ihm die Suchmaske „als Handwerkszeug“ fehlt.
• Wenn ein Benutzer in einem bestimmten Indexfeld nicht suchen darf, aber eine Suchmaske
zugewiesen bekommt, die dieses Feld enthält, kann er darin nichts eintragen und somit über
dieses Feld keine Suche ausführen. Das entsprechende Feld ist ausgegraut.
• Zwei verschiedene Benutzer haben eine Ergebnisliste, die über die Symbolleiste die Funktion
Export in Dateisystem zur Verfügung stellt. Der eine Benutzer hat das Archivrecht Export und
kann somit die Funktion nutzen. Der andere Benutzer hat das Archivrecht Export nicht. Ihm
wird in der Ergebnisliste das Symbol für Export in Dateisystem nicht angezeigt.
• Ein Benutzer hat das Schreibrecht in einem Indexfeld, zum Beispiel in dem Feld Status. Wird
diesem Benutzer ein Info-Dialog zugewiesen, bei dem das Feld Status nicht angezeigt wird,
kann der Benutzer den Eintrag nicht ändern.
Beispiele für das Zusammenspiel von Feldeinstellungen und Archivrechten:
• Bei der Definition eines Archivfeldes wird die Option Nicht leer aktiviert. Das heißt, dass ein
Eintrag in diesem Feld vorgenommen werden muss, ansonsten kann ein Dokument nicht
abgelegt werden.
Hat nun ein Benutzer für dasselbe Archivfeld das Recht Feld darf leer sein, so darf dieser
Benutzer Dokumente ablegen, ohne in das entsprechende Feld einen Eintrag vornehmen zu
müssen.
• Ein Archivfeld hat die Einstellung Nur aus Auswahlliste, und ein Benutzer hat das Feldrecht
Einträge zulassen, die nicht in einer Auswahlliste vorkommen. Dieser Benutzer darf dann
Indexbegriffe verwenden, die nicht in einer Auswahlliste enthalten sind.
• Die Einstellung Fester Wert ist für ein Archivfeld in der Ablagemaske vergeben und ein
Benutzer hat das Recht, Indexeinträge zu ändern. Der Benutzer kann den fest zugeteilten
Feldeintrag in der Ablagemaske und/oder in der Infobox der Ergebnisliste ändern.

Januar 2007 Seite 45 © DocuWare AG


Sicherheit
Somit gilt generell die Regel, dass die direkt dem Benutzer zugeordneten Rechte höher priorisiert sind
als die generell vergebenen Archivrechte.

Auswahllisten
Für Archivfelder können Auswahllisten definiert werden. Der Zugriff auf diese Auswahllisten kann
innerhalb der Dialoge (Such- und Ablagemaske, Info-Dialog) eingegrenzt werden. So können einem
Feld „Postleitzahl“ die Auswahllisten „PLZ Nord“, „PLZ Süd“, „PLZ Ost“ und „PLZ West“ zugewiesen
werden. In dem Dialog für die Mitarbeiter, die den Bereich Süd bearbeiten, wird dann nur die
Auswahlliste „PLZ Süd“ zugelassen. So werden falsche oder inkonsistente Dateneingaben verhindert.

11.3 Verwendung von Indexfiltern in Archiven


Die Indexfilter dienen dazu, einem Benutzer innerhalb eines Archivs limitierte Rechte zu geben, und
zwar abhängig davon, welche Indexeinträge das Dokument hat. Für die Vergabe der Indexfilter auf
Archivprofile können Inhalte von Textfeldern, numerischen Feldern und Datumsfeldern verwendet
werden.
Beispiel:
Ein Mitarbeiter im Marketing darf alle Dokumente eines Archivs lesen, zu Dokumenten der
eigenen Abteilung die Indexbegriffe ändern und Dokumente, die er selbst abgelegt hat,
bearbeiten.
Dazu müssen folgende Rechte vergeben werden:
Profil 1: Allgemeine Archivrechte: Suchen und Lesen und Zugriff auf die Dialoge
Profil 2: Indexfilter 1: Ist im Indexfeld Abteilung der Eintrag Marketing, wird das Recht,
Indexbegriffe zu ändern, zugewiesen.
Profil 3: Indexfilter 2: Ist im Indexfeld Abgelegt von der Name des aktuellen Benutzers
eingetragen, wird das Recht, Dokumente zu bearbeiten, zugewiesen.
Wird einem Benutzer ein Archivprofil mit Indexfiltern zugewiesen, muss er mindestens ein weiteres
Archivprofil ohne Indexfilter erhalten. Ein Profil mit Indexfiltern muss immer mit allgemeineren Profilen,
die das entsprechende Handwerkszeug, beispielsweise die Dialoge, zur Verfügung stellen, kombiniert
werden.
Administrative Archivrechte, wie das Recht des Archiv-Besitzers, können ebenfalls nicht mit Indexfilter
vergeben werden, da bei der Verwaltung eines Archivs keine Indexinformationen eines Dokuments
vorliegen.
Die Rechte in den mindestens zwei Archivprofilen müssen fein aufeinander abgestimmt sein. Zu
beachten ist, dass die Rechte in DocuWare immer additiv sind.
Für die Vergabe von Zugriffsrechten über Indexfilter bedeutet das: Über ein allgemeines Profil erhält ein
Benutzer das Recht, Dokumente abzulegen. Das Suchen-Recht, das er über ein Profil mit Indexfilter
erhält, bezieht sich jedoch auf Dokumente mit einem bestimmten Indexeintrag, wie den Namen des
aktuellen Benutzers. So kann ein Benutzer zwar Dokumente jederzeit ablegen, aber nur diejenigen
Dokumente in der Ergebnisliste anzeigen, die in einem bestimmten Indexfeld seinen Namen enthalten.
Beispiele zur Kombination von Archivprofilen
Ziel: Benutzer Schiller darf alle Dokumente im Archiv suchen und anschauen, aber nur die
Indexeinträge der Dokumente ändern, die er selber abgelegt hat.
Lösung: Der Benutzer bekommt ein allgemeines Archivprofil zugewiesen, in dem die
allgemeine Archivrechte Suchen und Dokumente anzeigen aktiviert sind. Gleichzeitig hat er
über dieses Profil das Recht, die Standardsuchmaske zu benutzen. Das Recht, Dokumente
aus dem Archiv zu bearbeiten ist nicht aktiviert. Der Benutzer bekommt ein weiteres
Archivprofil mit Indexfilterkriterien zugewiesen. Der Indexfilter bezieht sich auf das Feld
Abgelegt von und ist gefüllt mit dem Benutzernamen von Benutzer Schiller. Zudem ist in
diesem Archivprofil das allgemeine Archivrecht Bearbeiten aktiviert. Benutzer Schiller kann mit
diesen beiden Archivprofilen im Archiv suchen, aber nur die Indexeinträge der Dokumente
ändern, die er selbst abgelegt hat.

© DocuWare AG Seite 46 Januar 2007


Sicherheit

Ziel: Benutzer Schmidt darf im Archiv Dokumente ablegen und nach Dokumenten suchen, die
zu seiner Abteilung gehören. Er arbeitet in der Entwicklung. Indexeinträge von Dokumenten
aus seiner Abteilung darf er bearbeiten.
Lösung: Benutzer Schmidt verfügt über ein allgemeines Archivprofil mit dem aktivierten Recht,
Dokumente im Archiv abzulegen. Über dieses Profil bekommt er eine Ablage- und Suchmaske
zugewiesen. Die allgemeinen Archivrechte Suchen und Bearbeiten sind in diesem Profil
definitiv deaktiviert. Zudem erhält Benutzer Schmidt ein Archivprofil mit aktiviertem Indexfilter.
Das Indexfeld Abteilung ist mit dem Filterkriterium Entwicklung gefüllt. Außerdem sind in
diesem Archivprofil die allgemeinen Archivrechte Suchen und Bearbeiten aktiviert. Mit diesen
beiden Archivprofilen ist Benutzer Schmidt in der Lage, im Archiv abzulegen und nach
Dokumenten aus seiner Abteilung zu suchen und bei diesen Dokumenten die Indexeinträge zu
ändern.

Allgeimeines Archivprofil Archivprofil mit Indexfilter


Allgemeine Archivrecht Indexfilter:
Benutzer: ; Ablegen Feld: Abteilung
Entwicklung
Schmidt † Bearbeiten
Allgemeine Archivrechte
† Suchen
Abteilung: Zugewiesen: Ablage- und
Suchenmaske, ; Bearbeiten
Entwicklung
Ergebnisliste
; Suchen

11.4 Beispiele zur Vorgehensweise


Die folgenden Tabellen dienen der Konfigurationsentwicklung. Sie können den jeweiligen Verhältnissen
angepasst werden. Wir empfehlen die Entwicklung in den im Folgenden aufgeführten Schritten.
Zuordnung Benutzer zu Gruppen
Die Definition der Gruppen und die Zuordnung der Benutzer erfolgen typischerweise entsprechend der
Aufbauorganisation.

Gruppen [G1] [G2] [G3] [G4]


Benutzer
[Benutzer1]
[Benutzer2]
[Benutzer3]

Zuordnung Rollen zu Gruppen


Die Definition der Rollen erfolgt typischerweise entsprechend der Aufgaben in den Prozessen
(Ablauforganisation).

Januar 2007 Seite 47 © DocuWare AG


Sicherheit

Gruppen [G1] [G2] [G3] [G4]


Rollen
[Rolle1]
[Rolle 2]
[Rolle 3]

Zuordnung Profile zu Rollen


Die Definition der Profile erfolgt typischerweise entsprechend der Aufgaben in den Prozessen
(Ablauforganisation). Allerdings können Profile feingranularer aufgebaut werden als Rollen. Die
definierten Profile werden Rollen zugewiesen.

Rolle [Rolle1] [Rolle2] [Rolle3] [Rolle4]


Profile
[F_Profil1]
[F_Profil 2]
[F_Profil 3]
[A_Profil1]
[A_Profil 2]
[A_Profil 3]

11.5 Funktionale Rechte


Die funktionalen Rechte gliedern sich in Rechte bezüglich der Administration von DocuWare und in
Funktionsrechte für das DocuWare-Hauptfenster, den DocuWare-Viewer und das Zusatzmodul ACTIVE
IMPORT.

Funktionsrechte für die DocuWare-Administration


Die administrativen Funktionsrechte sind:
• Archiv anlegen, ändern und löschen
• Stempel anlegen, ändern und löschen
• Anzeige- und Bearbeitungsprogramme anlegen, ändern und löschen
• Auswahllistenanlegen, ändern und löschen
• Logging-Agenten und -Ziele anlegen, ändern und löschen
• Benutzer, Gruppen Rollen und Profile anlegen, ändern und löschen
• Briefkörbe zentral anlegen und administrieren
• Workflows administrieren
• AUTOINDEX-Workflow anlegen, ändern und löschen
• Barcode-Transfer-Workflow anlegen, ändern und löschen
• Synchronisations-Workflow anlegen, ändern und löschen
• Export-Workflow anlegen, ändern und löschen
• Migrations-Workflow anlegen, ändern und löschen
• Konvertierungs-Workflow anlegen, ändern und löschen
• Volltextdienst-Workflow anlegen, ändern und löschen
• Wiederherstellungsworkflow anlegen, ändern und löschen
• Benutzersynchronisations-Workflow anlegen, ändern und löschen
• Löschen-Workflow anlegen, ändern und löschen
• REQUEST-Workflow anlegen, ändern und löschen
• Workflows zum Registrieren von Archiven anlegen, ändern und löschen

© DocuWare AG Seite 48 Januar 2007


Sicherheit

Funktionsrechte für das DocuWare-Hauptfenster


Diese Rechte spiegeln die über das Menü verfügbaren Funktionen des DocuWare-Hauptfensters
wieder. Es sind:
Menü Datei
• Briefkorbverwaltung
• Archivverwaltung
• Drucken
• Direktdruck
• Faxen
• Import
• Export
Menü Bearbeiten
• Dokumentweise Scannen
• Blattweise Scannen
• Verschieben in Papierkorb
• Anzeigeprogramm
• Bearbeitungsprogramm
• Löschen
• Heften
• Entheften
• Kopieren in Briefkorb
• Verschieben in Briefkorb
• Aktualisieren
• Sprache
• Umbenennen
• In Wiedervorlage
• Senden
• Alles markieren
• Automatisch ablegen
• RECOGNITION
• Massensignatur
• Synchronisieren
• Automatisch drehen
• Datenbankeintrag erstellen
• Suche über mehrere Archive
• CD/DVD brennen
Menü Ablegen
• Ablagemaske verwenden
Menü Suchen
• Suchmaske verwenden
• Hierarchische Suche
Menü Optionen
• Bildleiste
• Briefkorbleiste
• Archivleiste
• Hierarchieleiste
• Statusleiste
• MAPI-Profil
• Einstellungen lokal kopieren
• Scannereinstellungen…
• Benutzerwechsel
• ACTIVE IMPORT
• Office Add-In
• Fensterpositionen

Januar 2007 Seite 49 © DocuWare AG


Sicherheit
• Import-Einstellungen
• Export-Einstellungen
Menü Fenster
• Papierkorb
• Wiedervorlage
• Anzeigefenster 1/2/3
• Index Info
• SVGA
• XGA
• SXGA
• Individuell gespeicherte Fensterpositionen aufrufen

Funktionsrechte für den DocuWare-Viewer


Diese Rechte spiegeln die über das Menü verfügbaren Funktionen des DocuWare-Viewers wieder. Es
sind:
Menü Datei
• Öffnen
• Verlinkte Dokumente anzeigen
• Konvertieren
• Schließen
• Anmerkungen speichern
• Drucken
• E-Mail
Menü Bearbeiten
• Textnotiz
• Sprache anfügen
• Verschmelzen
• Dokument trennen
• Suchen
• Anmerkungen löschen
• Farbe ändern
• Text bearbeiten
• Fenster kopieren
Menü Dokument
• Nächste Seite
• Vorherige Seite
• Zu Seite Nr.
• Mehrere Seiten / Eine Seite
• Anzeigeverbesserung
• Ausrichten (Drehen)
• Invertieren
• Linienoptimierung
• Checksummen-Kontrolle
• Signatur prüfen
• Signaturinhalt
Menü Ansicht
• Verkleiner/Vergrößern
• Ganze Seite anzeigen
• Volle Breite anzeigen
• Nach links/rechts drehen
• Nächstes Dokument
• Vorheriges Dokument
• Nächste Seite der Datei
• Vorherige Seite der Datei
• Symbolleiste

© DocuWare AG Seite 50 Januar 2007


Sicherheit

• Zeichenwerkzeugleiste
• Persönliche Stempel
• Öffentliche Stempel
• Statusleiste
Menü Werkzeuge
• Zeichenwerkzeug auswählen
• Text auf Overlay schreiben
• Freihandlinie zeichnen
• Mit Textmarker markieren
• Pfeil zeichnen
• Linie zeichnen
• Rechteckrahmen zeichnen
• Gefülltes Rechteck zeichnen
• Ellipsenumriss zeichnen
• Gefüllte Ellipse zeichnen
• Transparente/nicht transparente Objekt zeichnen
• Farbe wählen
• Linienstärke wählen
• Ebene 1/2/3/4/5 aktivieren / deaktivieren
Menü Indexierung
• OCR auf ganzer Seite
Menü Einstellungen
• Anzeige
• Scannen
• Point’n’Shoot
• OCR-Einstellungen speichern
• Barcode-Einstellungen speichern
• Elektronische Signaturen automatisch prüfen
Menü Hilfe
• Bilddatei Info
• Bilddatei Index Info
Kontextmenü
• Kopieren (original)
• Kopieren (aktuell)
• Text kopieren
• OCR – Kopie in Zwischenablage
• OCR - Kopie in Ablagemaske
• Barcode - Kopie in Zwischenablage
• Barcode - Kopie in Ablagemaske

Funktionsrechte für DocuWare ACTIVE IMPORT


Diese Rechte spiegeln die über das Menü verfügbaren Funktionen von DocuWare ACTIVE IMPORT
wieder. Es sind:
Menü Datei
• Fenster schließen
• Beenden
Menü Jobs
• Neuer Job
• Job kopieren
• Job ändern
• Job-Name ändern
• Job einmalig starten
• Job starten

Januar 2007 Seite 51 © DocuWare AG


Sicherheit
• Job anhalten
• Job löschen
• Browser für externe Datenbank
Menü Optionen
• Symbolleiste
• Statusleiste
• Server Modus

11.6 Archivrechte
Die Archivrechte gliedern sich in administrative und allgemeine Rechte.

Administrative Archivrechte
Administrative Archivrechte sind:
• Archiv-Besitzer zu sein, d.h. alle administrativen Rechte zu haben
• Rechte ändern, d.h. das Recht, die Archivrechte für die Benutzer zu ändern
• Archiv-Administrator zu sein, d.h. alle Archivrechte außer Archiv-Besitzer und Rechte ändern
zu besitzen
• Masken bearbeiten, d.h. das Recht, Such- und Ablagemasken sowie Ergebnislisten zu
erstellen und zu ändern
• Migration, d.h. das Recht, ein Migrations-Workflow auszuführen

Allgemeine Archivrechte
Die allgemeinen Archivrechte sind:
• Ablegen
• Anhängen
• Suchen
• Bearbeiten
• Dokumente anzeigen
• Dokumente bearbeiten
• Dokumente löschen
• Export (dieses Recht benötigt man auch zum Drucken)
• Anhängen an Read-Only, d.h. das Recht, ein Dokument an ein anderes Dokument anzuhängen,
das sich auf einer Platte befindet, auf die nur lesender Zugriff besteht
• Ändern von Read-Only, d.h. das Recht, Indexeinträge eines Dokuments zu ändern, das sich auf
einer Platte befindet, auf die nur lesender Zugriff besteht
• Header aktualisieren

Feldrechte
Die Rechte, die auf Feldebene vergeben werden können, sind:
• Feld darf leer sein, d.h. es muss kein Eintrag in dem Feld vorgenommen werden
• Einträge zulassen, die nicht in einer Auswahlliste vorkommen
• Neue Einträge zulassen
• Leserecht
• Suchrecht
• Schreibrecht
• Recht zu ändern

Rechte durch Funktionen der Ergebnisliste


Für jeden Ergebnislisten-Dialog kann definiert werden, welche Funktionen über diesen Dialog zur
Verfügung stehen sollen. Möglich sind die folgenden Funktionen:
• Neue Suche starten
• Verschachtelte Suche
• Verlinkte Dokumente anzeigen
• Ergebnisliste drucken

© DocuWare AG Seite 52 Januar 2007


Sicherheit

• Feldeintrag ändern
• An CONTENT-FOLDER
• Einstellungen der Ergebnisliste vornehmen
• Dokument im Anzeigeprogramm öffnen
• Dokument im Bearbeitungsprogramm öffnen
• Infobox aufrufen
• Vorheriges Dokument anzeigen
• Nächstes Dokument anzeigen
• Sprachnotiz
• Markierte Dokumente löschen
• Dokument in Zielbriefkorb kopieren
• Checkout
• Ausgecheckte Dokumente anzeigen/verbergen
• In Wiedervorlage kopieren
• Dokument senden
• Dokument in Dateiverzeichnis exportieren
• Dokument in anderes Archiv kopieren
• Dokument aus Zielbriefkorb an archiviertes Dokument anhängen

Januar 2007 Seite 53 © DocuWare AG