Phase 4 · Operational Step 2 von 9
Rollen, Rechte und Pfad-Governance schneiden
GraphRAG braucht Zugriffskontrolle auf Quellen, Knoten, Kanten, Pfade, Ableitungen, Agentenaktionen und UI-Rechte.
Was du mitnimmst
GraphRAG-Governance kontrolliert Dokumente, Pfade und Ableitungen.
Betriebsziel
Welche Betriebsfähigkeit du herstellst
Du machst sichtbar, wer welche Quellen, Knoten, Kanten, Pfade und Agentenaktionen nutzen darf. Du beschreibst, an welchen Stellen eine GraphRAG-Antwort erlaubt, auditiert, begrenzt oder zur Freigabe geführt wird. Jede Rolle bekommt klare Nutzungsrechte: welche Richtlinien sie lesen darf, welche Projekt- oder Teamableitung sie erhält, welche Pfade sie nutzen kann und welche Agentenaktion freigegeben ist.
Input
Ausgangsartefakt aus Entwerfen
Der Entwurf enthält Richtlinie A, CRM, Projekt Alpha und Customer Core als Beziehungspfad. Absichern ergänzt: Welche Rollen dürfen diesen Pfad sehen, nutzen oder als Entscheidungsgrundlage verwenden?
Das Ausgangsartefakt ist ein bereits entworfener Antwortpfad. Governance fragt jetzt: Welche Rolle darf welche Stufe dieses Pfads betreten, welche Ableitung daraus sehen und welche Aktion daraus ableiten?
Prinzip
Betriebsprinzip
Rechte müssen auf Quelle, Entität, Beziehung, Pfad, Ableitung und Aktion wirken.
Die wichtigste Erweiterung: Dokumentzugriff beantwortet die Frage, ob jemand eine Quelle sehen darf. GraphRAG-Governance beantwortet zusätzlich, ob jemand den daraus entstehenden Kontext nutzen darf. Der kritische Punkt liegt oft in der Verbindung: Richtlinie A, CRM und Projekt Alpha sind einzeln freigegeben; die Ableitung „dieses Team ist betroffen“ wird rollenabhängig freigegeben.
Darum wird die Prüfung gestuft. Erst wird die Rolle bestimmt. Dann werden Quellen und Entitäten geprüft. Danach werden Beziehungstypen und Pfade geprüft. Erst anschließend wird entschieden, ob eine Antwort, ein Trace, eine Empfehlung oder eine Agentenaktion erlaubt ist.
Operational Artefact
Betriebsartefakt
Die Policy-Matrix ist das Betriebsartefakt. Sie übersetzt Rollen in prüfbare Regeln für den späteren Trace: Welche Datenklasse war erlaubt, welcher Pfad wurde genutzt, welche Ableitung eine Freigabe braucht und ob eine Auditpflicht ausgelöst wurde.
| Rolle | Quellen | Erlaubte Pfade | Begrenzte Ableitungen | Agentenaktion | Audit |
|---|---|---|---|---|---|
| Compliance Lead | Richtlinien, Systemkatalog, Projektliste | Richtlinie -> System -> Projekt; Projekt -> Team | personenbezogene Leistungsbewertung | Review-Fall anlegen | Pflicht |
| Projektleitung | eigene Projekte, relevante Systeme | Projekt -> System -> Pflicht | fremde Projektvergleiche | Rückfrage stellen | Pflicht bei Entscheidung |
| Teammitglied | freigegebene Aufgaben und eigene Teamkontexte | Projekt -> Aufgabe | Team- oder Budgetinferenzen | manuelle Freigabe | bei Eskalation |
| Externer Auditor | Richtlinien und freigegebene Evidence | Richtlinie -> System | interne Teamableitungen | Sichtprüfung | Pflicht |
Control
Kontrollfrage
Diese Frage muss beantwortbar sein
Darf diese Rolle die Quellen, genau diesen Graphpfad und die daraus entstehende Ableitung erhalten?
Risk
Betriebsrisiko
Worauf du achten musst
UI-Rechte und GraphRAG-Governance müssen gemeinsam geprüft werden. Der Trace zeigt, ob Dokumente, Pfade und Ableitungen zur Rolle passen und ob sensible Kontexte eine Freigabe brauchen.
Prüfen
Woran du es erkennst
Prüfpunkt
Governance ist tragfähig, wenn eine Antwort im Trace zeigen kann: Nutzerrolle, Quellen, Pfade, erlaubte Ableitungen und Auditpflicht wurden geprüft.
Üben
Mini-Aufgabe
Erweitere die Policy-Matrix um eine Rolle "Externer Auditor". Lege fest, welche Quellen, Pfade und Ableitungen freigegeben oder begrenzt sind.
Musterlösung
Ein externer Auditor darf Richtlinien und freigegebene Evidence sehen. Freigegeben ist Richtlinie -> System. Projekt- und Teamableitungen werden mit expliziter Freigabe sichtbar. Audit ist Pflicht.
Reflektieren
Prüffragen
1.Was ergänzt GraphRAG-Governance zum Dokumentzugriff?
Sie ergänzt die Freigabe für Knoten, Beziehungen, Pfade, Ableitungen und Aktionen. Der Graph erzeugt Kontext über Pfade, deshalb braucht jede Rolle klare Rechte für den entstehenden Zusammenhang.
2.Worauf muss eine Policy-Matrix wirken?
Auf Quelle, Entität, Beziehung, Pfad, Ableitung und Aktion je Rolle – plus Auditpflicht.
3.Was ist das typische Governance-Risiko?
UI-Rechte steuern die Oberfläche, während GraphRAG-Governance zusätzlich Pfade und Ableitungen prüft. Tragfähig wird es, wenn beides im Trace sichtbar zusammenläuft.
Kernaussage
GraphRAG-Governance kontrolliert Dokumente, Pfade und Ableitungen.