Infrastruktur MAG 21-04

Arbeitsorganisation

[shutterstock: 1813934876, VideoFlow]
[shutterstock: 1813934876, VideoFlow]
Geschrieben von Philipp Latini, Sivis

Die Definition und Zuweisung von Rollen und Berechtigungen ist entscheidend für ERP-Systeme, damit können Zugriffsbefugnisse nicht nur formal vergeben, sondern fest in die Unternehmensprozesse und den Workflow implementiert werden.

Für Organisationen und Mitarbeitende bedeutet das ein hohes Maß an Klarheit und Sicherheit – zumindest theoretisch. Denn in der Praxis zeigt sich, dass das Berechtigungsmanagement in vielen Unternehmen eher unstrukturiert gehandhabt wird und so zur Ursache ernster Sicherheitsprobleme werden kann.

Dass trotz solcher Gefahren häufig nichts unternommen wird, liegt schlicht daran, dass eine sorgfältige Überprüfung sämtlicher Rollen und Berechtigungen aufgrund des hohen Arbeitsaufwandes auf herkömmlichem Wege kaum zu leisten wäre.

Suse
Tangro

Neue intelligente Software-Tools nehmen sich dieses Problems jetzt an und eröffnen für Unternehmen die realistische Chance, ihr Berechtigungsmanagement mit überschaubarem Aufwand und nachhaltig zu optimieren.

Alte und neue Rollen

Allein in SAP gibt es zirka 150.000 Transaktionen, die einzelnen Nutzern, Nutzgruppen, Rollen oder auch Sammelrollen zugewiesen werden können. Die Praxis zeigt, dass zwar regelmäßig neue Nutzer, Rollen und Berechtigungen hinzugefügt werden, die bestehenden aber selten überprüft und allenfalls dann reduziert werden, wenn ein Mitarbeitender das Unternehmen verlässt.

Überraschend ist das nicht, denn in Systemen, die teils zehn oder fünfzehn Jahre gewachsen sind, wäre die Überprüfung sämtlicher Berechtigungen auf herkömmlichem Wege eine kaum zu bewältigende Herkulesaufgabe, zumal in vielen Unternehmen bisher noch nicht einmal ein sogenanntes Tracing eingesetzt wird, mit dem nachverfolgt werden kann, welcher Nutzer welche Berechtigungen wie häufig nutzt.

Gleichzeitig sind aber die Sicherheits­probleme, die durch mangelhafte Berechtigungskonzepte entstehen können, kaum zu überschätzen. Da ist der Einkaufsmitarbeiter, der in die Buchhaltung wechselt, sich im Anschluss selbst als Lieferanten registriert und dann quasi seine eigenen Rechnungen bezahlt, noch ein minder schwerer Fall.

An Brisanz gewinnt das Problem auch durch die pandemiebedingte Forcierung der Arbeit im Homeoffice. Denn bei der Öffnung interner Systeme für Fernzugriffe sollten sämtliche Berechtigungen korrekt und konsistent sein.

Nur so lassen sich unbefugte Zugriffe auf kritische Informationen ausschließen und Fehler aufgrund der Intransparenz ­eines mangelhaft gepflegten Berechtigungskonzeptes vermeiden.

Darüber hinaus kann das Berechtigungschaos auch zu erhöhten Kosten führen, wenn etwa Lizenzen für Nutzer bezahlt werden, die die entsprechenden Programme weder brauchen noch nutzen. Und schließlich gewinnt das Thema Berechtigungskonzept auch bei der Wirtschaftsprüfung mehr und mehr an Bedeutung.

Höchste Zeit also, das eigene Berechtigungskonzept mal gründlich aufzuräumen. Die gute Nachricht ist, dass es neue intelligente Lösungen gibt, um auch unübersichtliche Berechtigungssituationen wieder in den Griff zu bekommen.

Die Basis ist das Tracing

Um festzustellen, welche Nutzer welche Berechtigungen, Rollen und Inhalte wie häufig nutzen, sollte zunächst ein Zugriffs-Tracing implementiert werden. Hier werden alle Aktionen und Zugriffe aufgezeichnet. Nachdem dieses Tracing etwa ein halbes oder ein Jahr aktiv war, liefert es eine gute Datenbasis zur Überprüfung der tatsächlich benötigten Berechtigungen und Rollen.

Intelligente neue Software-Lösungen, wie zum Beispiel der Sivis Reduction Manager, checken auf der Grundlage der Tracing-Daten sämtliche Aktionen automatisch. Alle Rollen oder Inhalte, die im ­Tracing-Zeitraum nicht genutzt wurden, werden dann den verantwortlichen Mitarbeitern zur Überprüfung angezeigt.

Dasselbe gilt für Rollen-Konstellationen, die inkonsistent erscheinen, etwa parallele Rechte für Einkauf und Buchhaltung. Auch sie werden zur Prüfung vorgeschlagen. Der große Vorteil ist, dass nicht alle existierenden Berechtigungen gecheckt werden müssen, sondern nur die, bei denen Anlass zu der Annahme besteht, dass sie nicht auf dem aktuellen Stand sind.

Gleichzeitig schließen die persönliche Prüfung und Entscheidung aus, dass Berechtigungen versehentlich entzogen werden. Schließlich kann es gute Gründe dafür geben, dass bestimmte Zugriffsrechte in einem Zeitraum nicht genutzt wurden.

Automatische Vorschläge

Qualität, Transparenz und Konsistenz des Berechtigungskonzeptes sind sowohl aus Sicherheits- als auch aus Kostengründen unverzichtbar. Bestehende Systeme neu zu konzipieren war bisher aufgrund des hohen Arbeitsaufwandes dennoch kaum zu leisten.

Innovative Softwarelösungen bieten die Möglichkeit, sämtliche Berechtigungen automatisch zu scannen und auf ihre Konsistenz zu überprüfen. Auffällige Konstellationen werden dann angezeigt und können von den verantwortlichen Mitarbeitenden im Einzelfall nachgeprüft werden.

So lässt sich der Arbeitsaufwand erheblich reduzieren. Einige Anbieter wie die Sivis GmbH bieten auch eine Kombi aus Software-Lösung und Service an, sodass für Unternehmen der Prüfungsaufwand noch einmal deutlich vermindert wird.

Über den Autor

Philipp Latini, Sivis

Philipp Latini ist Geschäftsführer bei Sivis, Karlsruhe

Hinterlassen Sie einen Kommentar