Berechtigungen und Zugriffsrechte

Risiken richtig managen

24. Juni 2016
Dr. Martin Diez ist Senior Consultant IT Governance bei Sopra Steria Consulting.
Wer darf IT-Systeme in welchem Umfang nutzen? Um einzelnen Anwendern Zugriffsrechte zuzuweisen, verlassen sich viele Unternehmen auf die Risikobewertung externer Regelwerke. Die tatsächlichen Risiken hängen jedoch von einer Vielzahl einzelner Faktoren ab - und lassen sich daher auch nur durch ein übergreifendes Berechtigungsrisikomanagement minimieren.

Berechtigungen zu bestimmten Interaktionen mit IT-Systemen richten sich nach den Arbeitsaufgaben der jeweiligen Mitarbeiter - soweit so üblich. Doch damit endet vielerorts bereits der Konsens, wenn es um das BerechtigungsmanagementBerechtigungsmanagement im Unternehmen geht. In der Praxis beginnen die Schwierigkeiten meist schon mit unterschiedlichen Interpretationen grundlegender Begrifflichkeiten: Eine Rolle etwa bedeutet für manche eine Funktionsrolle, während andere glauben, damit wäre eine Berechtigungsrolle gemeint. Auch der Begriff "Berechtigung" ist stark kontextabhängig interpretierbar. Kein Wunder also, dass auch die Vorstellungen, was genau unter einem Berechtigungsrisiko zu verstehen ist, mitunter weit auseinandergehen. Alles zu Identity Management auf CIO.de

Daher gilt es zuallererst, intensive Gespräche mit allen Verantwortlichen aus den Fachbereichen, der IT-Abteilung und auch in der Chefetage zu führen, um ein gemeinsames Verständnis der Begriffe respektive der damit umschriebenen Herausforderung zu gewinnen. Aller Erfahrung nach schärft ein solcher Austausch auch die Einsicht, dass im eigenen Unternehmen ein entsprechender Handlungsbedarf besteht. Zugleich fördert der Dialog die Bereitschaft der Beteiligten, sich mit dieser Thematik konstruktiv auseinanderzusetzen.

Objektivität vs. Bauchgefühl

Um keine unrealistischen Erwartungen zu wecken: Mit Zugriffsrechten assoziierte Risiken können niemals zu hundert Prozent eliminiert werden. Aber sie lassen sich systematisch minimieren - und eben dies ist das Ziel eines unternehmensweiten Berechtigungsrisikomanagements.

Der Einsatz von Risikoregelwerken ist dabei in jedem Fall empfehlenswert, um bei der Identifikation und Evaluierung von Berechtigungsrisiken die Faktoren Zufall und Subjektivität so weit wie möglich auszuschließen. Allerdings erweist es sich in der Beratungspraxis oftmals als schwierig, die Herkunft einer Risikoeinstufung präzise nachzuvollziehen. In vielen Fachbereichen fehlt es zudem an juristischem Wissen, weshalb mögliche Verstöße gegen gesetzliche Vorschriften nicht angemessen berücksichtigt werden.

Genau diese Fähigkeit aber ist unentbehrlich, um Risiken zu identifizieren und bewerten zu können - nämlich negative Konsequenzen bestimmter Zugriffsaktionen beziehungsweise einer Kombination davon umfassend abschätzen zu können. Anders ist weder eine adäquate Risikoklassifikation der betreffenden Zugriffsrechte möglich noch eine fundierte Ableitung der technischen Anforderungen zur Risikoanalyse. Nur selten verfügt ein und dieselbe Person über alle dafür benötigten Spezialfähigkeiten. Umso wichtiger ist eine enge fachliche Kooperation über Abteilungsgrenzen hinweg, was insbesondere in großen, stark hierarchisch organisierten Unternehmen bekanntlich eine Herausforderung ganz eigener Art darstellt.

Tatsächlich ist in vielen Unternehmen die Ansicht verbreitet, dass es in den zuständigen Fachbereichen schon geeignete Mitarbeiter gäbe, die Berechtigungsrisiken aufgrund ihrer Erfahrung quasi aus dem Bauch heraus validieren können. Diese Haltung kann sich bitter rächen, denn externe Prüfer interessieren sich nicht für "gefühlte Risiken", sondern verlangen objektive Nachprüfbarkeit jeder einzelnen Risikoeinstufung. Mithin zählt Objektivität zu den wichtigsten Erfolgsfaktoren für ein tragfähiges Berechtigungsrisikomanagement.

Sicherlich: Bei der Einstufung eines Risikos in "niedrig, mittel, hoch oder kritisch" spielen stets auch subjektive Maßstäbe mit hinein. Doch auch in dieser Hinsicht lässt sich durch eine fundierte Bewertungsmethodik anhand klar definierter Kriterien der Einfluss von Subjektivität zurückdrängen. Orientierung bietet in diesem Kontext der organisatorische Wirkungskreis der Aktionen, auf die sich die zu bewertende Berechtigung bezieht. Die Frage lautet, ob sich mögliche Folgen nur auf eine Abteilung, eine Niederlassung oder den gesamten Konzern auswirken können.