Benutzerverwaltung in Drupal: Rollen und Zugriffsrechte sicher vergeben

Kurzantwort: Drupal verfügt über ein sehr fein steuerbares Berechtigungssystem. Benutzer erhalten nicht direkt einzelne Rechte, sondern werden Rollen zugewiesen. Jede Rolle bündelt genau definierte Berechtigungen, zum Beispiel Inhalte erstellen, Inhalte veröffentlichen, Benutzer verwalten oder Konfigurationen ändern. Für eine sichere Drupal-Website sollten Rollen nach dem Prinzip der minimalen Rechte vergeben, regelmässig geprüft und niemals unnötig mit Administratorrechten ausgestattet werden.

Wichtig für die Sicherheit: Verwenden Sie für Agenturen, externe Entwickler oder temporäre Mitarbeitende niemals das Hauptadministratorkonto. Legen Sie immer separate Benutzerkonten an, vergeben Sie nur die tatsächlich benötigten Rechte und schützen Sie administrative Konten zusätzlich mit Zwei-Faktor-Authentifizierung.

Warum Rollen und Berechtigungen in Drupal so wichtig sind

Drupal wird häufig für Unternehmenswebsites, Vereinsportale, mehrsprachige Internetauftritte, interne Plattformen, Online-Magazine und komplexe Webprojekte eingesetzt. In solchen Projekten arbeiten oft mehrere Personen mit unterschiedlichen Aufgaben im gleichen System: Administratoren konfigurieren die Website, Redakteure pflegen Inhalte, Übersetzer bearbeiten Sprachversionen, Shop-Manager verwalten Produkte oder Bestellungen, und externe Dienstleister benötigen gelegentlich technischen Zugriff.

Ohne klare Rollenverteilung entsteht schnell ein Sicherheitsrisiko. Wenn ein Benutzer mehr Rechte erhält als notwendig, kann er versehentlich Inhalte löschen, Konfigurationen verändern, Module aktivieren, Benutzer sperren oder sensible Daten einsehen. Drupal bietet deshalb ein granular aufgebautes Rollen- und Berechtigungssystem, mit dem sich Zugriffe sehr präzise steuern lassen. Richtig eingesetzt, verbessert dieses System nicht nur die Sicherheit, sondern auch die Arbeitsabläufe im Alltag.

Grundprinzip: Benutzer, Rollen und Berechtigungen

Die Benutzerverwaltung in Drupal basiert auf drei zentralen Begriffen:

  • Benutzer: Eine konkrete Person oder ein Konto, das sich an der Drupal-Website anmeldet.
  • Rolle: Eine Gruppe von Rechten, zum Beispiel „Redakteur“, „Übersetzer“, „Shop-Manager“ oder „Administrator“.
  • Berechtigung: Eine einzelne Erlaubnis, etwa „Artikel erstellen“, „eigene Inhalte bearbeiten“, „Inhalte veröffentlichen“ oder „Benutzer verwalten“.

Ein Benutzer kann eine oder mehrere Rollen besitzen. Drupal prüft beim Aufruf einer Funktion, ob mindestens eine der zugewiesenen Rollen die notwendige Berechtigung enthält. Dadurch können Sie sehr flexible Arbeitsmodelle abbilden. Ein Benutzer kann beispielsweise gleichzeitig die Rolle „Redakteur“ und „Übersetzer“ erhalten, ohne gleich vollständigen Administratorzugriff zu bekommen.

Standardrollen in Drupal

In einer typischen Drupal-Installation gibt es mindestens grundlegende Rollen für nicht angemeldete Besucher und angemeldete Benutzer. Zusätzlich existiert meist eine Administratorrolle. Je nach Installation, Distribution, Modulen und Projektstruktur können weitere Rollen vorhanden sein.

  • Anonymous user / Anonymer Benutzer: Besucher ohne Login. Diese Rolle sollte nur öffentliche Inhalte sehen und keine Verwaltungsrechte besitzen.
  • Authenticated user / Angemeldeter Benutzer: Alle Benutzer, die ein Konto besitzen und eingeloggt sind. Diese Rolle sollte zurückhaltend berechtigt werden, da sie automatisch für alle angemeldeten Konten gilt.
  • Administrator: Benutzer mit weitreichenden Verwaltungsrechten. Diese Rolle sollte nur an wenige, vertrauenswürdige Personen vergeben werden.

Besonders wichtig ist die Rolle „Authenticated user“. Rechte, die Sie dieser Rolle geben, gelten für alle angemeldeten Benutzer. Wenn beispielsweise Kunden, Mitglieder oder externe Autoren eigene Konten besitzen, können zu viele Rechte in dieser Standardrolle unerwünschte Auswirkungen haben.

Empfohlene Rollen für typische Drupal-Websites

Für viele Websites ist es sinnvoll, eigene Rollen zu erstellen, statt allen Mitarbeitenden Administratorrechte zu geben. Je genauer die Rollen auf den tatsächlichen Arbeitsprozess abgestimmt sind, desto geringer ist das Risiko von Fehlbedienungen.

  • Redakteur: Darf Inhalte erstellen und bearbeiten, aber keine technischen Einstellungen ändern.
  • Chefredakteur oder Publisher: Darf Inhalte prüfen, freigeben und veröffentlichen.
  • Übersetzer: Darf Inhalte in bestimmten Sprachen bearbeiten, aber keine globalen Einstellungen ändern.
  • Medienverwalter: Darf Bilder, Dokumente und Dateien hochladen und verwalten.
  • Shop-Manager: Darf Produkt- oder Bestellinformationen verwalten, sofern ein E-Commerce-Modul eingesetzt wird.
  • Support-Benutzer: Darf bestimmte Informationen prüfen, aber keine kritischen Konfigurationen verändern.
  • Entwickler: Erhält nur die technischen Berechtigungen, die für Wartung oder Entwicklung notwendig sind.

Rollen in Drupal erstellen

Um eine neue Rolle anzulegen, melden Sie sich mit einem administrativen Konto in Drupal an. Öffnen Sie anschliessend im Administrationsmenü den Bereich Benutzer beziehungsweise People und wechseln Sie zu Rollen beziehungsweise Roles. Dort können Sie eine neue Rolle hinzufügen, benennen und speichern.

Wählen Sie eindeutige Rollennamen, die auch nach Monaten noch verständlich sind. Statt allgemeiner Bezeichnungen wie „Team 1“ oder „Spezialzugriff“ sind sprechende Namen wie „Redaktion Schweiz“, „Content Publisher“, „Externe Agentur“ oder „Produktverwaltung“ sinnvoller. Das erleichtert spätere Sicherheitsprüfungen und verhindert Missverständnisse.

Berechtigungen sicher zuweisen

Die eigentliche Sicherheitssteuerung erfolgt über die Berechtigungen. Diese finden Sie in Drupal üblicherweise unter Benutzer beziehungsweise People und Berechtigungen beziehungsweise Permissions. Dort zeigt Drupal eine Matrix aus Rollen und möglichen Rechten an. Welche Rechte sichtbar sind, hängt von den aktivierten Core-Funktionen und Zusatzmodulen ab.

Gehen Sie dabei schrittweise vor:

  1. Definieren Sie zuerst, welche Aufgabe eine Rolle erfüllen soll.
  2. Aktivieren Sie nur die Berechtigungen, die für diese Aufgabe zwingend notwendig sind.
  3. Testen Sie die Rolle mit einem separaten Testbenutzer.
  4. Prüfen Sie, ob der Benutzer nur die gewünschten Menüpunkte und Funktionen sieht.
  5. Dokumentieren Sie, warum eine Rolle bestimmte Rechte erhalten hat.

Vermeiden Sie es, Rollen „vorsorglich“ mit zusätzlichen Rechten auszustatten. In der Praxis bleiben solche Rechte oft dauerhaft aktiv und werden später vergessen. Das widerspricht dem Prinzip der minimalen Rechte.

Kritische Berechtigungen, die Sie besonders prüfen sollten

Einige Berechtigungen haben in Drupal besonders grosse Auswirkungen. Sie sollten nur an erfahrene und vertrauenswürdige Benutzer vergeben werden.

  • Benutzer verwalten: Kann Konten erstellen, ändern oder sperren und sollte nur Administratoren vorbehalten sein.
  • Berechtigungen verwalten: Ermöglicht die Änderung des gesamten Zugriffskonzepts.
  • Module verwalten: Kann neue Funktionen aktivieren oder deaktivieren und dadurch die Website grundlegend verändern.
  • Website-Konfiguration verwalten: Betrifft zentrale Einstellungen, die Performance, Sicherheit und Darstellung beeinflussen können.
  • Alle Inhalte bearbeiten oder löschen: Kann bei falscher Vergabe zu Datenverlust führen.
  • PHP, Layout, Blöcke oder Views verwalten: Je nach Projekt können diese Rechte Einfluss auf Logik, Ausgabe und Sicherheit der Website haben.

User 1 und Administratorkonten richtig nutzen

In Drupal hat das erste angelegte Konto eine besondere Stellung. Dieses Konto wird oft als „User 1“ bezeichnet und sollte besonders geschützt werden. Verwenden Sie dieses Konto nicht für die tägliche redaktionelle Arbeit und geben Sie die Zugangsdaten niemals an Dritte weiter. Für Agenturen, Entwickler oder Supportfälle sollten immer eigene Konten erstellt werden. So bleibt nachvollziehbar, wer welche Änderung vorgenommen hat.

Wenn ein externer Dienstleister Zugriff benötigt, erstellen Sie ein separates Konto mit einer klar begrenzten Rolle. Nach Abschluss der Arbeiten sollte das Konto deaktiviert oder die Rolle entfernt werden. Auf diese Weise reduzieren Sie dauerhaft offene Zugriffsmöglichkeiten.

Best Practices für sichere Drupal-Benutzerverwaltung

  • Vergeben Sie Rechte nach dem Prinzip „so wenig wie möglich, so viel wie nötig“.
  • Verwenden Sie für jede Person ein eigenes Benutzerkonto.
  • Aktivieren Sie 2FA für administrative Konten und andere sensible Rollen.
  • Prüfen Sie Rollen und Berechtigungen regelmässig, besonders nach Modulinstallationen.
  • Entfernen Sie alte Benutzerkonten, temporäre Zugänge und nicht mehr benötigte Rollen.
  • Nutzen Sie starke Passwörter und vermeiden Sie gemeinsam genutzte Logins.
  • Testen Sie neue Rollen mit einem Testkonto, bevor Sie sie produktiv verwenden.
  • Dokumentieren Sie administrative Rollen und deren Zweck.

Häufige Fehler vermeiden

Ein häufiger Fehler besteht darin, Redakteuren Administratorrechte zu geben, nur damit sie Inhalte einfacher bearbeiten können. Das ist selten notwendig. Besser ist es, die fehlende einzelne Berechtigung zu identifizieren und gezielt freizugeben. Ebenso problematisch ist es, alle angemeldeten Benutzer mit Bearbeitungsrechten auszustatten. Prüfen Sie deshalb besonders sorgfältig, welche Rechte der Rolle „Authenticated user“ zugewiesen sind.

Ein weiterer Fehler ist die fehlende Nachkontrolle. Wenn ein Projekt abgeschlossen ist, bleiben externe Konten oft aktiv. Planen Sie deshalb regelmässige Zugriffsprüfungen ein, zum Beispiel monatlich oder nach jedem grösseren Relaunch.

FAQ: Drupal Rollen und Zugriffsrechte

Was ist der Unterschied zwischen Rolle und Berechtigung in Drupal?

Eine Berechtigung ist ein einzelnes Recht, zum Beispiel Inhalte zu bearbeiten. Eine Rolle ist eine Sammlung solcher Berechtigungen. Benutzer erhalten Rollen, und über diese Rollen bekommen sie Zugriff auf bestimmte Funktionen.

Sollte jeder Redakteur Administratorrechte erhalten?

Nein. Redakteure benötigen in der Regel Rechte für Inhalte, Medien und eventuell Veröffentlichungsworkflows, aber keine vollständigen technischen Verwaltungsrechte.

Wie oft sollte man Drupal-Berechtigungen prüfen?

Mindestens nach jeder grösseren Änderung an Website, Modulen oder Teamstruktur. Bei geschäftskritischen Websites ist eine regelmässige Prüfung der Benutzer und Rollen empfehlenswert.

Was ist die sicherste Vorgehensweise für externe Entwickler?

Erstellen Sie ein separates Konto mit zeitlich begrenztem Zugriff, aktivieren Sie 2FA und vergeben Sie nur die Rechte, die für die konkrete Aufgabe erforderlich sind. Nach Abschluss der Arbeiten sollte der Zugriff wieder entfernt werden.

Zusammenfassung: Eine sichere Drupal-Benutzerverwaltung entsteht durch klar definierte Rollen, gezielt vergebene Berechtigungen, separate Konten für jede Person und regelmässige Kontrollen. Besonders administrative Rechte sollten restriktiv vergeben und zusätzlich abgesichert werden.
War diese Antwort hilfreich? 0 Benutzer fanden dies hilfreich (0 Stimmen)

Populärste

Drupal erweitern: So installieren und verwalten Sie Module

Drupal erweitern: So installieren und verwalten Sie Module Funktionalität nach Mass: Warum...
Drupal Grundkonfiguration: Website-Info und Wartungsmodus verwalten

Drupal Grundkonfiguration: Website-Info und Wartungsmodus richtig verwalten Nach der...
Drupal Inhalte verwalten: Seiten, Artikel und Inhaltstypen richtig nutzen

Drupal Inhalte verwalten: Seiten, Artikel und Inhaltstypen richtig nutzen Drupal ist mehr als...
Drupal Layout-Design: So verwalten und erstellen Sie Inhaltsblöcke

Drupal Layout-Design: Inhaltsblöcke erstellen, platzieren und sinnvoll verwalten Das...
Drupal Menü-Management: Navigationsmenüs erstellen und anpassen

Drupal Menü-Management: Navigationsmenüs erstellen und anpassen Eine klare Navigation ist...