Nicht jeder Benutzer, in einem System, soll auch alles sehen, geschweige denn Änderungen durchführen können. Um gezielt zu regeln, wer was sehen und bearbeiten darf, braucht es ein entsprechendes Berechtigungskonzept. Wie funktioniert ein solches Konzept? Und welche Vorteile bringt es?
Notwendigkeit eines Berechtigungskonzepts
Ein Mitarbeiter Ihrer Firma bessert sich unbemerkt sein Gehalt auf, indem er fiktive Kundenaufträge anlegt, seine eigene Bankverbindung in die Stammdaten einpflegt und sich so durch Gutschriften an diesen Kunden Zahlungsströme auf sein eigenes Konto leitet.
Dieses Szenario wirkt zunächst weit hergeholt und eher unwahrscheinlich, tritt jedoch in dieser oder ähnlicher Form häufiger auf als angenommen. Genau solche Vorfälle sind das Resultat eines Funktionstrennungskonflikts.
Werden an einen Mitarbeiter Zugriffsrechte im System vergeben, die über die zur Erfüllung der ihm zugewiesenen Aufgaben erforderlichen hinausgehen, kann dies zu einer unzulässigen Aufgabentrennung führen. Im Falle des obigen Szenarios hatte der Mitarbeiter in SAP sowohl die Berechtigung, Stammdaten zu pflegen als auch Aufträge anzulegen.
Derartige Funktionstrennungskonflikte sowie eine generell zu weitreichende Vergabe kritischer Berechtigungen können durch die Ausarbeitung und Implementation eines Rollen- und Berechtigungskonzepts in ihrem Unternehmen vorgebeugt werden, welches direkt bei der initialen Berechtigungsvergabe zum Einsatz kommen soll und anschließend systemseitig erzwungen wird. Hierbei ist es häufig empfehlenswert, dass eventuell schon vorhandene Rollenkonzept eines ERP Systems noch zu erweitern, da dieses oftmals nicht alle eventuellen Risiken adressieren kann und nach unternehmensspezifischen Faktoren abgestimmt werden muss.
Ein Berechtigungskonzept soll die Kommunikation und Organisation innerhalb Ihres Unternehmens erleichtern. Ein rollenbasiertes Berechtigungskonzept vereinfacht die Vergabe und den Entzug von Berechtigungen. Sobald Sie ein Rollenkonzept entwickelt haben, müssen sie im Falle eines Mitarbeiter Austritts oder Eintritts nur dessen Identität löschen oder zu einer bestehenden Rolle hinzufügen. Dies kann zukünftig sowohl Zeit als auch Lizenzgebühren im System ersparen. Außerdem wird der Zugriff auf Daten sowie Datenverarbeitungsvorgänge für sie leichter nachvollziehbar und überwachbar.
Des Weiteren sollten Sie bei der Verarbeitung von personenbezogenen Daten und damit die Datenschutzgrundverordnung nicht außer Acht lassen. Art. 5 Abs. 1f DSGVO sowie Abs. 2 DSGVO verweisen auf die Grundsätze zur Integrität, Vertraulichkeit und Nachweispflicht von personenbezogenen Daten.
Hätten beispielsweise alle oder zu viele Mitarbeiter uneingeschränkten Zugang zu personenbezogenen Daten, würde dies den Grundsätzen der DSGVO hinsichtlich Vertraulichkeit und Datensicherheit widersprechen. Stattdessen sind Sie verpflichtet, diese Zugriffe auf ein Minimum zu beschränken, sodass nur notwendige Datenverarbeitungsvorgänge stattfinden. Insbesondere wenn Ihre Mitarbeiter mit mobilen oder privaten Geräten sowie mit Clouds arbeiten, da personenbezogene Daten auf diese Weise besonders gefährdet sind.
Definition und Grundsätze eines Berechtigungskonzepts
Ein Berechtigungskonzept zeichnet sich dadurch aus, dass alle Funktionen innerhalb des Unternehmens systemseitig abgebildet werden. Dabei werden den jeweiligen Funktionen im Unternehmen jeweils entsprechend, die angemessenen Zugriffe im System zugeordnet. Hier wird beispielsweise nach Abteilung differenziert oder im Allgemeinen auch nach lesenden, schreibenden und administrativen Berechtigungen. Ein Berechtigungskonzept zielt in erster Linie darauf ab, die Sicherheit während der Ausführung von Arbeitsprozessen im ERP zu optimieren. Jedoch kann ein zu starr definiertes Rollen- und Berechtigungskonzept die Prozessabläufe im Unternehmen auch einschränken, da ein erheblicher Mehraufwand bei der Durchsetzung dieses Konzepts entstehen kann. Ziel eines funktionierenden, nutzerfreundlichen Berechtigungskonzepts ist also die Optimierung der Unternehmenssicherheit unter Beachtung der Realisierbarkeit des Konzepts im eigenen Unternehmen.
Unabhängig von Unternehmen und Software stehen einige Prinzipien bei der Erstellung eines hinreichenden Berechtigungskonzepts im Vordergrund. Zum einen sorgt das sogenannte Minimalprinzip für einen guten Überblick. Die Nutzer erhalten im System generell so wenig Berechtigungen wie möglich, also nur diese, die sie zur Ausübung Ihrer Tätigkeit unbedingt benötigen. Das gewährleistet unter anderem auch eine bessere Nachvollziehbarkeit im Falle eines negativen Ereignisses, das es zu analysieren gilt.
Zum anderen kann das Funktionstrennungsprinzip, wie bereits erwähnt, die Möglichkeiten für betrügerisches Handeln minimieren. Durch die systemseitige Auftrennung eines Arbeitsablaufs in einzelne Teilprozesse, welche von Mitarbeitern ausschließlich mindestens im Vier-Augen-Prinzip durchgeführt werden können, wird die Vergabe einer Kombination kritischer Berechtigungen an einen Mitarbeiter vorgebeugt und somit daraus resultierende Risiken minimiert.
Vorteile eines Berechtigungskonzepts
Neben der Sicherheits-Funktion eines Berechtigungskonzepts bietet Ihnen die Ausarbeitung und Implementation dessen einige weitere Vorteile. Durch eine strukturierte Aufgabenteilung und systemseitige Trennung der Verantwortlichkeiten lassen sich Effizienzsteigerungen im Sinne von Zeit- und Kosteneinsparungen realisieren. Zum einen können durch den Einsatz des Minimalprinzips erhebliche Lizenzkosten eingespart werden. Zum anderen erleichtert das Funktionstrennungsprinzip durch die Aufteilung von Verantwortlichkeiten die gezielte Schulung und Koordination der Mitarbeiter im System. Eine außerplanmäßige Abwesenheit eines Mitarbeiters kann problemlos durch einen anderen Mitarbeiter aufgefangen werden, wenn mehrere Personen in einer Abteilung dieselbe Rolle innehaben. Außerdem reduzieren Sie die Risiken eines absichtlichen oder unabsichtlichen internen Datenmissbrauchs, indem Sie jedem Nutzer nur die für seine Arbeit notwendigen Prozesse zur Verfügung stellen.
Optimierung Ihres Berechtigungskonzepts
Nach welchen Prinzipien und Regeln das optimale Berechtigungskonzept für Ihr Unternehmen erstellt werden soll, muss jedoch individuell nach Bedarf Ihres Unternehmens und dessen Arbeitsabläufen abgestimmt werden.
Hierbei können zur Orientierung interne Richtlinien und Arbeitsanweisungen, optimalerweise ein internes Kontrollsystem, herangezogen werden. Organigramme und Prozessbeschreibungen sind ein guter Ausgangspunkt, um notwendige Rollen und Berechtigungen nach Bereichen zu definieren.
Im Regelfall besitzen die meisten Unternehmen bereits ein in Grundzügen ausgestaltetes Berechtigungskonzept, da der Großteil der Softwareanbieter im Standardpaket schon zwischen verschiedenen Lizenzen für User und deren Berechtigungen differenziert. Aufgrund unserer bisherigen Erfahrungen im Rahmen diverser IT-Prüfungen und Aufnahmen interner Kontrollsysteme sind wir aber davon überzeugt, dass diese zumeist noch nicht hinreichend ausgestaltet sind, um sowohl alle auftretenden Risiken adressieren als auch die Effizienz der Unternehmen steigern zu können.
Im Rahmen eines individuellen Audits Ihres Berechtigungskonzept bzw. Ihres Nutzermanagements können wir Ihnen folgenden Mehrwert bieten:
- Analyse Ihrer (IT-gestützten) Geschäftsprozesse, der Funktion/Verantwortung Ihrer Mitarbeiter und deren Berechtigungen im System,
- Ableitung einer systemseitigen/kontrollierten Funktionstrennung basierend auf den Verantwortlichkeiten ihrer Geschäftsbereiche,
- Überprüfung der Dokumentation des Konzepts (Theorie) sowie dessen Einhaltung (Praxis) durch Prozessaufnahmen mit Ihren Mitarbeitern; Analyse der Systemeinstellungen zur Erzwingung der Funktionstrennung,
- Aufzeigen von Risiken, die sich aus zu weitreichender Rechtevergabe und oder fehlender regelmäßiger Berechtigungskontrolle ableiten,
- Beratung hinsichtlich der Optimierung und Kontrolle Ihres Berechtigungskonzepts zur Gewährleistung einwandfreier und sicherer Prozesse.