Berechtigungen und Zugriffsrechte

Risiken richtig managen

Dr. Martin Diez ist Senior Consultant IT Governance bei Sopra Steria Consulting.

Als weiteres Validierungskriterium sollte zudem der Schutzbedarf der involvierten Daten herangezogen werden - wobei personenbezogene Information, die dem Datenschutzgesetz unterliegt, in der Regel zu einer höheren Risikoeinstufung führt.

Einheitliche Regelwerke

Selbstverständlich sind vorgefertigte Risikoregelwerke, etwa für SAP-Standardtransaktionen, eine wertvolle Grundlage für das hauseigene Berechtigungsrisikomanagement. Dennoch sollte jedes Unternehmen prüfen, ob die dort hinterlegten Risiken und Risikoeinstufungen auch wirklich zur Spezifik der eigenen Geschäftstätigkeit passen. Sofern parallel dazu noch Eigenentwicklungen laufen, muss das Regelwerk um daraus resultierende Berechtigungsrisiken ergänzt werden.

Solange Unternehmen nur die Risiken einzelner Berechtigungen betrachten, erscheint deren Evaluierung möglicherweise noch manuell beherrschbar. Anders sieht es jedoch aus, wenn - und das ist der Alltag in vielen Unternehmen - Kombinationsrisiken zu bewerten sind: Welches Risiko ergibt sich zum Beispiel aus zwei risikobehafteten Aktionen, die zwei unterschiedlichen Rollen zugeordnet sind und über ein oder mehrere Rollenbündel einem bestimmten Benutzer zugewiesen wurden? Die Komplexität dieser Kombinationsvielfalt ist ohne toolgestützte automatisierte Risikoanalyse nicht mehr zu bewältigen.

Allerdings ist es keineswegs zwingend, zur Prävention und Überprüfung dieselben Automatisierungswerkzeuge zu verwenden. Es spricht sogar einiges dafür, internen Auditoren ein hohes Maß an Unabhängigkeit im Unternehmen zuzubilligen. Zumindest eine Schnittstelle zur Prävention ist dabei aber unentbehrlich, und zwar ein gemeinsames, unternehmensweit konsolidiertes Risikoregelwerk. Auf dieser Basis kann der Einsatz unterschiedliche Tools im Präventions- und Überprüfungsbereich durchaus sinnvoll sein. Denn anders als für Auditoren werden im Präventionsbereich zusätzliche Funktionen benötigt, die über die reine Risikoanalyse hinausgehen - etwa zur Automatisierung der Rechtevergabe oder zur Protokollierung der Nutzung bei kritischen Berechtigungsrisiken.

Der nächste Audit kommt bestimmt - achten Sie deshalb auf ein unternehmensweit einheitliches Risiko- und Berechtigungsmanagement.
Der nächste Audit kommt bestimmt - achten Sie deshalb auf ein unternehmensweit einheitliches Risiko- und Berechtigungsmanagement.
Foto: Tashatuvango - www.shutterstock.com

Individualisierung sparsam einsetzen

Im Risikoregelwerk sind nicht nur die Einstufungen risikobehafteter Berechtigungen von "niedrig" bis "kritisch" hinterlegt, sondern auch deren Handhabung - also Maßnahmen, die im Zuge der Berechtigungsprozedur zur Risikovermeidung oder -minderung vorgesehen sind. Abzuraten ist hierbei von einer mitarbeiterindividuellen Risikohandhabung. Theoretisch könnte beispielsweise ein Anfänger bei fahrlässigem Umgang mit Authentifizierungsdaten, die ihn zur Wahrnehmung der betreffenden Rechte legitimieren, eine zusätzliche Belehrung erhalten, während ein Experte im selben Fall mit einer Rüge rechnen müsste.

Eine solche Vorgehensweise ist in der Praxis jedoch derart personalintensiv, dass sie insbesondere in großen Organisationen zu einem unvertretbar hohen Aufwand führen würde. Mitarbeiterbezogene Unterscheidungen empfehlen sich hingegen bei der eigentlichen Berechtigungsvergabe für bestimmte Aktionen: Bei hohem Risiko mit Protokollierungspflicht könnten Rechte zum Beispiel ausschließlich an Experten übertragen werden. Doch handelt es sich hier bereits um eine Frage, die über das Berechtigungsrisikomanagement hinausgeht und das Berechtigungskonzept betrifft.

Zu guter Letzt ist die Einrichtung einer zentralen Risikomeldestelle für Mitarbeiter ratsam. Denn mancher Mitarbeiter, dem beispielsweise Daten angezeigt werden, die er nach eigener Auffassung nicht hätte sehen dürfen, meldet dieses vermeintliche Berechtigungsrisiko sofort nach ganz oben - ein authentischer Fall, der für erheblichen Aufruhr im gesamten Mittelbau des betroffenen Unternehmens sorgte.

Zur Startseite