Paperless-ngx: Rollen und Rechte als Sicherheits-Core

Uncategorized

Rollen und Rechte in Paperless-ngx: Mehr als nur Dokumenten-Verwaltung

Ein Dokumentenmanagement-System (DMS) wie Paperless-ngx ist kein statisches Archiv. Es ist der lebendige Kern betrieblicher Abläufe. Der wahre Wert entfaltet sich erst, wenn nicht nur Dokumente verwaltet, sondern auch Zugriffe und Prozesse präzise gesteuert werden. Die Implementierung eines durchdachten Rollen- und Rechtekonzepts ist dabei kein optionales Feature – es ist die Grundvoraussetzung für Sicherheit, Effizienz und Compliance. Wer hier schludert, riskiert nicht nur Datenlecks, sondern auch organisatorisches Chaos.

Warum einfache Benutzerverwaltung nicht genügt

Die Standardinstallation von Paperless-ngx bietet zunächst nur rudimentäre Kontrolle: Ein Benutzer ist entweder Superuser oder nicht. Das mag für einen Heimanwender reichen. Im betrieblichen Umfeld ist es fatal. Stellen Sie sich vor: Die Personalabteilung könnte auf vertrauliche Finanzdokumente zugreifen, ein Praktikant Löschrechte hätte, oder externe Partner sähen sensible Verträge. Ein solches „Alles-oder-nichts“-Prinzip widerspricht jeder Logik der Informationssicherheit und dem Grundsatz der minimalen Berechtigung. Dabei zeigt sich: Die wahre Stärke von Paperless-ngx liegt verborgen in seinem feingranularen Berechtigungssystem, das direkt auf dem Django-Framework aufsetzt.

Die Bausteine: Benutzer, Gruppen und Berechtigungen

Paperless-ngx baut sein Rechtesystem auf drei miteinander verknüpften Säulen auf:

1. Benutzer: Jede Person mit Systemzugang. Ein Benutzer erbt Rechte direkt (individuell zugewiesen) oder indirekt (über Gruppenmitgliedschaft).

2. Gruppen: Die logische Klammer für Benutzer mit ähnlichen Aufgaben. Gruppen sind das zentrale Werkzeug für skalierbare Rechteverwaltung. Statt 50 Benutzern einzeln Rechte zuzuweisen, definieren Sie Rollen wie „Buchhaltung_Leser“, „Lager_Manager“ oder „HR_Vollzugriff“ und weisen diese Gruppen zu.

3. Berechtigungen (Permissions): Die atomaren Aktionen, die im System möglich sind. Paperless-ngx nutzt standardmäßig vier zentrale Berechtigungen pro Objekttyp (Dokumente, Tags, Dokumententypen, Korrespondenten, etc.):

  • view: Objekt sehen (z. B. Dokument anzeigen, Tags auflisten)
  • add: Objekt erstellen (z. B. neues Dokument hochladen, neuen Korrespondent anlegen)
  • change: Objekt bearbeiten (z. B. Metadaten ändern, Dokument ersetzen)
  • delete: Objekt löschen

Ein interessanter Aspekt ist die Vererbung: Berechtigungen für übergeordnete Objekte (wie den Dokumententyp „Rechnung“) wirken sich auf die untergeordneten Dokumente aus. Wer keine Rechte auf den Dokumententyp „Rechnung“ hat, sieht auch keine der zugehörigen Rechnungen – unabhängig von anderen Rechten.

Praktisches Vorgehen: Rollen definieren und Leben einhauchen

Theorie ist schön. Entscheidend ist die Umsetzung in der Paperless-ngx-Oberfläche. Gehen wir Schritt für Schritt vor:

Phase 1: Rollenidentifikation
Fragen Sie nicht nach IT, sondern nach Geschäftsprozessen: Wer braucht was? Beispiele:

  • Archiv-Mitarbeiter (Scan & Erfassung): Muss Dokumente hochladen (add_document), Tags/Dokumententypen/Korrespondenten sehen (view_*), aber i.d.R. keine Metadaten ändern oder löschen.
  • Fachabteilung (z.B. Vertrieb): Muss eigene Dokumente (Angebote, Aufträge) hochladen, eigene Dokumente ändern, Dokumente suchen und ansehen. Kein Zugriff auf HR-Dokumente oder Löschrechte.
  • Compliance/Revision: Muss alle Dokumente sehen (view_document), darf aber nichts ändern oder löschen (change_document, delete_document explizit entzogen). Braucht ggf. erweiterte Suchrechte.
  • Abteilungsleiter: Vollzugriff auf Dokumente der eigenen Abteilung, eingeschränkter Zugriff auf übergreifende Dokumente (nur Lesen), darf ggf. Dokumententypen für die Abteilung anlegen (add_documenttype).
  • Systemadministrator: Vollzugriff, aber kein Superuser (für tägliche Aufgaben). Verwaltet Benutzer, Gruppen, Systemeinstellungen.

Vermeiden Sie Rollen-Inflation! Fassen Sie ähnliche Anforderungsprofile zusammen. Weniger, klar definierte Rollen sind besser wartbar.

Phase 2: Gruppen anlegen und Berechtigungen setzen
In der Paperless-ngx-Admin-Oberfläche (meist unter /admin/):

  1. Gruppen erstellen: Gehen Sie zu Authentication and Authorization > Groups und klicken Sie auf Add Group. Vergeben Sie einen sprechenden Namen (z.B. „Vertrieb_Bearbeiter“).
  2. Berechtigungen zuweisen: Der entscheidende Schritt. Im Gruppen-Formular finden Sie zwei Bereiche für Berechtigungen:
    • Objektrechte: Hier wählen Sie die konkreten Berechtigungen (view, add, change, delete) für die verschiedenen Modelle aus. Beispiel für „Vertrieb_Bearbeiter“:
      • documents | document | Can view document (Haken)
      • documents | document | Can add document (Haken)
      • documents | document | Can change document (Haken – für eigene Dokumente, siehe Phase 3!)
      • documents | document | Can delete document (Kein Haken!)
      • Analog: Rechte für Tags (view_tag, add_tag?), Dokumententypen (view_documenttype), Korrespondenten (view_correspondent), etc. sorgfältig setzen.
    • Benutzerrechte: Meist leer lassen! Diese veralteten, groben „Model-Wide“-Rechte (z.B. „Can change all documents“) sind selten sinnvoll und umgehen das feingranulare System. Finger weg davon.

Achtung Falle: Das Setzen der view_*-Rechte ist oft essenziell, damit Benutzer überhaupt die nötigen Auswahlmöglichkeiten (z.B. beim Zuweisen eines Tags) haben. Ohne view_tag sieht ein Benutzer keine Tags in der Oberfläche, auch wenn er sie einem Dokument zuweisen dürfte.

Phase 3: Benutzer zu Gruppen hinzufügen
Weisen Sie nun die relevanten Benutzer den entsprechenden Gruppen zu. Ein Benutzer kann Mitglied mehrerer Gruppen sein; seine Rechte addieren sich. Gehen Sie zu Authentication and Authorization > Users, wählen Sie einen Benutzer. Im Tab Groups fügen Sie ihn den passenden Gruppen hinzu. Die zugewiesenen Berechtigungen werden automatisch aggregiert.

Phase 4: Objektbasierte Filterung (Optional, aber mächtig)
Die bisherigen Schritte regeln, was ein Benutzer grundsätzlich tun darf (Dokumente sehen, ändern, etc.). Sie regeln aber noch nicht vollständig, auf welche konkreten Dokumente er zugreifen darf. Hier kommt die Objektbasierte Berechtigung (Object Permissions) ins Spiel, aktiviert über die Einstellung PAPERLESS_ENABLE_OBJECT_PERMISSIONS=True in paperless.conf.

Nach einem Neustart erscheinen in der Dokumenten-Detailansicht neue Felder:

  • Owner: Der Benutzer, der das Dokument „besitzt“. Standardmäßig der Uploader.
  • View Groups / View Users: Gruppen bzw. Benutzer, die dieses Dokument sehen dürfen (zusätzlich zu globalen view_document-Rechten).
  • Change Groups / Change Users: Gruppen bzw. Benutzer, die dieses Dokument bearbeiten dürfen (zusätzlich zu globalem change_document).

Praxisbeispiel Vertrieb: Ein Vertriebsmitarbeiter (Gruppe „Vertrieb_Bearbeiter“) hat global view_document und change_document. Durch Setzen des Owner-Feldes auf den jeweiligen Mitarbeiter und Nutzung von View Groups (z.B. „Vertrieb_Team“) erreichen Sie:

  • Der Mitarbeiter kann seine eigenen Dokumente ändern (da Owner + change_document).
  • Das gesamte Vertriebsteam (Gruppe „Vertrieb_Team“) kann alle Vertriebsdokumente sehen (durch View Groups), aber nicht automatisch ändern (es sei denn, sie sind Owner oder in Change Groups).
  • Mitarbeiter anderer Abteilungen sehen die Vertriebsdokumente nicht, selbst wenn sie global view_document haben (es sei denn, sie sind explizit in View Users/Groups eingetragen). Die Objektberechtigung schränkt den globalen Zugriff ein.

Diese Feinsteuerung ist unverzichtbar für abteilungsübergreifende Projekte oder streng vertikale Zugriffsmodelle. Der Aufwand ist höher, aber die Sicherheit gewinnt.

Workflow-Integration: Rechte im Dokumenten-Lebenszyklus

Ein DMS lebt mit seinen Prozessen. Rollen und Rechte sollten den Dokumentenfluss widerspiegeln. Ein typischer Workflow:

  1. Erfassung (Scan/Upload): Rolle „Erfasser“ (add_document, view_* für Metadaten). Dokumente sind zunächst ggf. nur für Erfasser/Prüfer sichtbar (Owner/View Groups).
  2. Prüfung & Klassifikation: Rolle „Prüfer“ (hat change_document für Dokumente in Prüfung, ggf. über eigene Gruppe in Change Groups). Bestätigt Vollständigkeit, korrigiert OCR, weist Metadaten final zu.
  3. Freigabe: Dokument wird für Zielgruppe(n) freigegeben (Setzen der finalen View Groups/Change Groups). Der Prüfer verliert ggf. sein Änderungsrecht (Change Groups entfernen).
  4. Nutzung & Archivierung: Dokument ist für berechtigte Nutzer (z.B. ganze Abteilung via View Groups) sichtbar und ggf. schreibgeschützt. Compliance-Rollen haben nur Leserecht.
  5. Vernichtung (nach Aufbewahrungsfrist): Nur Rolle „Archiv-Admin“ (explizites delete_document-Recht, ggf. kombiniert mit Berechtigungen für bestimmte Dokumententypen) kann Löschvorgänge durchführen. Protokollierung ist essenziell.

Paperless-ngx selbst hat kein eingebautes Workflow-Engine. Die Steuerung erfolgt über die geschickte Kombination von Statuswechseln (z.B. eigene Tags wie „zur_Prüfung“, „freigegeben“, „archiviert“) und der dynamischen Anpassung von Objektberechtigungen via Skripte oder Integrationen (z.B. über die API) beim Statuswechsel. Nicht zuletzt deshalb ist eine saubere API-Integration (PAPERLESS_ENABLE_API=true) oft entscheidend für automatisierte Workflows mit Rechteänderungen.

Best Practices und typische Fallstricke

  • Prinzip der geringsten Rechte (Least Privilege): Niemals mehr Rechte erteilen als absolut nötig. Starten Sie restriktiv und erweitern Sie bei Bedarf. Das ist sicherer als später Rechte mühsam zu entziehen.
  • Gruppen vor Einzelrechten: Weisen Sie Rechte primär Gruppen zu, nicht einzelnen Benutzern. Das vereinfacht das Management enorm (Neuer Mitarbeiter kommt -> in Gruppen eintragen; Rolle ändert sich -> Gruppenmitgliedschaft anpassen). Individuelle Ausnahmen nur über View Users/Change Users bei Objektberechtigungen oder im absoluten Ausnahmefall über direkte Benutzerrechte.
  • Regelmäßiges Auditing: Wer hat welche Rechte? Nutzen Sie die Admin-Oberfläche oder schreiben Sie ein kleines Skript (via Django-Management-Befehle oder API), das Gruppenmitgliedschaften und Berechtigungen periodisch auswertet. Dokumentieren Sie Ihr Rollenkonzept!
  • Superuser sind Notfallkonten: Superuser umgehen jegliche Berechtigungsprüfung. Halten Sie deren Anzahl minimal (idealerweise 2: Primär-Admin + Backup) und nutzen Sie sie nicht für den täglichen Betrieb. Arbeiten Sie als Admin mit einer normalen Benutzerrolle mit erweiterten Rechten.
  • Testen, testen, testen: Legen Sie Testbenutzer mit den definierten Gruppen an. Melden Sie sich damit an und prüfen Sie systematisch: Was sieht der Benutzer? Was kann er bearbeiten? Was darf er löschen? Stimmt das mit der Rollendefinition überein? Besonderes Augenmerk auf Suchergebnisse und die Auswirkungen von view_*-Rechten auf Dropdowns.
  • Benennungskonventionen: Halten Sie Gruppennamen und Rechtebeschreibungen konsistent und selbsterklärend (z.B. „Finanzen_Leser“, „ProjektX_Änderungsberechtigt“). Vermeiden Sie kryptische Abkürzungen.
  • Dokumentation: Beschreiben Sie Ihre Rollen, die zugewiesenen Berechtigungen und die Logik der Objektfilterung. Das ist Gold wert für neue Admins, Audits und bei Problemen.
  • API-Zugriff nicht vergessen: API-Tokens erben die Rechte des Benutzers, der sie erstellt hat. Nutzen Sie spezifische Benutzerkonten mit minimal nötigen Rechten für System-zu-System-Kommunikation, niemals Superuser-Tokens!

Organisatorische Einbettung: Mehr als nur Technik

Die technische Implementierung in Paperless-ngx ist nur die eine Seite. Erfolg hängt maßgeblich von der organisatorischen Verankerung ab:

  • Verantwortlichkeit klären: Wer definiert die Rollen? Wer weist Benutzer zu? Wer prüft die Rechte? (z.B. Fachabteilung definiert Anforderungen, IT setzt technisch um, Datenschutz prüft Konzept).
  • Schulung und Awareness: Nutzer müssen verstehen, was ihre Rolle bedeutet, warum Zugriffe eingeschränkt sind und wie sie mit Dokumenten im DMS umgehen müssen (z.B. keine lokalen Speicherungen sensibler PDFs trotz Leserecht).
  • Integration in On-/Offboarding: Die Zuordnung zu Paperless-ngx-Gruppen muss fester Bestandteil des Prozesses bei Eintritt, Rollenwechsel und Austritt von Mitarbeitern sein.
  • Datenschutz und Compliance: Das Rechtekonzept ist zentral für die Einhaltung von DSGVO, GoBD oder branchenspezifischen Vorgaben. Dokumentieren Sie, wie Sie den Zugriff auf personenbezogene oder besonders schützenswerte Daten (Verträge, Patente) durch Rechte und Objektfilter steuern. Protokollierung (Audit-Log) der Zugriffe und Änderungen aktivieren und auswerten.
  • Skalierung im Blick behalten: Ein einfaches Modell für 20 Nutzer stößt bei 200 Nutzern an Grenzen. Plant Ihr Rollenmodell erweiterbar? Sind Gruppen zu groß/heterogen geworden? Braucht es Sub-Groups (die Paperless-ngx nicht direkt bietet, aber über geschachtelte Objektberechtigungen simulierbar sind)?

Fazit: Kontrolle als Erfolgsfaktor

Paperless-ngx ohne durchdachtes Rollen- und Rechtesystem ist wie ein Tresor mit offener Tür. Die Implementierung erfordert Analysearbeit und Disziplin – sowohl technisch als auch organisatorisch. Doch der Aufwand lohnt sich mehrfach: Sie gewinnen Sicherheit vor Datenpannen, schaffen Transparenz über Informationsflüsse, erfüllen Compliance-Anforderungen und etablieren letztlich eine professionelle Dokumentenkultur. Die feingranularen Möglichkeiten, kombiniert mit der Objektberechtigung, machen Paperless-ngx auch für komplexe Unternehmensstrukturen tauglich. Nutzen Sie dieses Potential. Es ist die Grundlage, um aus dem passiven Archiv ein aktives, sicheres und effizientes Instrument der betrieblichen Organisation zu machen. Der Weg zum rollenbasierten Dokumenten-Hub ist kein Sprint, aber ein zwingender Schritt für jeden, der Paperless-ngx ernsthaft im Business-Kontext einsetzen will. Fangen Sie heute an, strukturiert zu denken – nicht in Dokumenten, sondern in Verantwortlichkeiten.