Wussten Sie, dass eine ineffektive Anspruchsverwaltung in ERP-Systemen Sie teuer zu stehen kommen kann? Ihrem Unternehmen könnten dadurch Tausende von Stunden an qualifizierter Arbeit verloren gehen. Dieses Problem betrifft viele große Unternehmen, aber zum Glück gibt es eine einfachere Lösung, als Sie vielleicht denken. Deshalb gehen wir in diesem Artikel im Detail darauf ein, wie Sie Berechtigungsprüfungen effektiv durchführen können, warum dies eine geschäftliche und keine rein technische Aufgabe ist, und geben Ihnen Tipps, wie Sie häufige Fehler bei der Zugriffsverwaltung vermeiden können.
Janeks Geschichte: Wie ein Angestellter zu einer ‚Mine‘ riskanter Ansprüche werden kann
Stellen Sie sich ein modernes, grünes Unternehmen mit internationaler Reichweite vor. Janek tritt in die Logistikabteilung ein und erhält grundlegende Rechte im SAP-System, um Lieferantendaten zu erfassen und Bestellungen aufzugeben.
Nach einem Jahr klettert Janek die Karriereleiter hinauf und wird zum Verkäufer befördert. Mit seiner neuen Rolle erhält er weitere Befugnisse, dieses Mal im Zusammenhang mit dem Verkauf. Ein paar Jahre später wird er Verkaufsleiter, was ihm noch mehr Zugriff auf das System gibt. Es stellt sich jedoch die Frage: Was geschieht mit seinen früheren Befugnissen aus der Logistikabteilung? In den meisten Fällen bleiben sie aktiv, weil niemand daran gedacht hat, sie wegzunehmen, oder weil man argumentiert hat, dass sie „den Kollegen in der Abteilung helfen“ könnten.
Ein solches Szenario, das sich über Jahre hinweg und über mehrere Mitarbeiter hinweg wiederholt, birgt ernsthafte Sicherheitsrisiken für das Unternehmen. Ein Vertriebsleiter, der immer noch über logistische Befugnisse verfügt, kann Vorgänge durchführen, die gegen das Prinzip der Aufgabentrennung (SOD) verstoßen, z.B. Lieferantendaten ändern und Zahlungen selbst genehmigen.
Effektive Verwaltung des Lebenszyklus von Berechtigungen – der Schlüssel zur organisatorischen Sicherheit
Die Verwaltung von Zugriffsrechten ist ein Prozess, der den gesamten Lebenszyklus des Zugriffs umfasst – von der Gewährung über mögliche Änderungen bis hin zum endgültigen Entzug. Die erste Phase, d.h. die Gewährung von Rechten, ist in der Regel gut organisiert – der Mitarbeiter selbst beantragt den Zugang, den er zur Erfüllung seiner Aufgaben benötigt. Leider werden die nachfolgenden Phasen des Zyklus sehr oft vernachlässigt.
Ausgereifte Unternehmen haben bereits Bevollmächtigungsprozesse eingeführt, die auf Risikoanalysen und automatisierten Arbeitsabläufen basieren. Entscheidungen werden von Geschäftsinhabern genehmigt und Berechtigungen werden in Systemen automatisch zugewiesen. Leider sind ebenso ausgefeilte Prozesse zur Überprüfung und zum Entzug von Berechtigungen noch selten.
Um den Lebenszyklus von Ansprüchen effektiv zu verwalten, ist es wichtig, dass:
- genaue Definition der Rollen und Verantwortlichkeiten,
- Automatisierung von Prozessen im Zusammenhang mit der Erteilung und dem Widerruf von Rechten,
- führen regelmäßig Überprüfungen durch, die sich auf die Identifizierung von Risiken konzentrieren,
- die Überwachung des Umfangs der Nutzung seiner Befugnisse,
- die Implementierung geeigneter Tools zur Unterstützung des gesamten Prozesses.
Überprüfung der Berechtigungen – Verantwortung des Unternehmens, nicht nur der IT
Ein häufiger Fehler besteht darin, die Verwaltung von Ansprüchen als ausschließliche Domäne der IT-Abteilung zu betrachten. Dabei ist es das Unternehmen, das die Prozesse gestaltet und für die verschiedenen Schritte und Kontrollpunkte verantwortlich ist.
IT-Fachleute können die technischen Aspekte verwalten, aber es sind die Entscheidungsträger, die die Geschäftsprozesse kennen, die bestimmen sollten, wer Zugriff auf bestimmte Daten und Funktionen hat. Nur sie sind in der Lage zu beurteilen, ob die fraglichen Rechte vom Mitarbeiter noch benötigt werden, ob sie ein potenzielles Risiko darstellen und ob sie dem Grundsatz des Mindestprivilegs entsprechen.
Das Problem liegt oft in der Art und Weise, wie die IT Berechtigungen darstellt – als Codes und Rollennamen, die für das Unternehmen unverständlich sind und sich nicht in konkrete Vorgänge umsetzen lassen. Es ist schwer zu erwarten, dass ein Vertriebsleiter versteht, was die Rolle ‚Z1000_LOGISTICS‘ bedeutet und welche Risiken damit verbunden sind, wenn ein Untergebener diese Rolle innehat.
Das „Anspruchsberechtigungssammler-Syndrom“ – wie Sie unnötigen Zugriff auf Systeme vermeiden
Janek ist ein typisches Beispiel für einen ‚Anspruchssammler‘. Mit dem Fortschreiten seiner Karriere sammelt er immer mehr Zugänge an, ohne die vorherigen loszuwerden. Dieses Phänomen, das es in fast jeder Organisation gibt, stellt ein ernsthaftes Sicherheitsrisiko dar.
Um dieses Syndrom zu verhindern, sind regelmäßige, intelligente Überprüfungen der Ansprüche notwendig. Anstatt alle detaillierten Ansprüche zu analysieren (was ineffizient wäre), sollte der Fokus auf sensible Funktionen und potenzielle Risiken gelegt werden.
Außerdem ist es wichtig, zu prüfen, ob die fraglichen Zulagen überhaupt genutzt werden. Die Erfahrung von Experten zeigt, dass überflüssige Berechtigungen oft ein Jahr oder länger ungenutzt bleiben. Solche inaktiven Zugänge sollten vorrangig gestrichen werden.
Fünf Kardinalfehler bei der Überprüfung von Ansprüchen
Bei der Analyse von Erfahrungen aus verschiedenen Projekten lassen sich fünf häufige Fehler bei der Prüfung von Ansprüchen feststellen:
- die Überprüfung als reine IT-Aufgabe zu behandeln – wie bereits erwähnt, sollten Entscheidungen über Berechtigungen in der Verantwortung des Unternehmens liegen,
- Überprüfung aller Berechtigungen, anstatt sich auf potenzielle Bedrohungen zu konzentrieren – die Analyse von Hunderten von detaillierten Berechtigungen für jeden Benutzer ist ineffizient und entmutigt Geschäftsinhaber,
- die Darstellung von Berechtigungen in technischer Sprache – Manager benötigen Informationen darüber, welche Geschäftsvorgänge ein Benutzer durchführen kann, und nicht, welche technischen Berechtigungscodes er hat,
- Fehlende Informationen über die tatsächliche Verwendung der Vollmacht – wenn Sie wissen, ob eine Vollmacht verwendet wurde, ist es viel einfacher zu entscheiden, ob sie zurückgehalten oder entzogen werden soll,
- Manuelle Aufbereitung der Daten für die Überprüfung – in großen Organisationen kann dies Wochen dauern und mit zahlreichen Fehlern behaftet sein.
Überprüfung von Ansprüchen in der Praxis: von den Grundlagen bis zu fortgeschrittenen Lösungen
Eine effektive Überprüfung der Berechtigungen sollte sich auf die geschäftlichen Risiken konzentrieren und nicht auf technische Details. Anstatt den Geschäftsinhabern eine Liste von Rollen und Berechtigungen zu präsentieren, sollten ihnen die potenziellen Risiken des Mitarbeiterzugriffs aufgezeigt werden.
Anstatt z.B. zu kommunizieren, dass ‚Janek die Rolle Z1000_LOGISTICS hat‘, ist es besser zu kommunizieren, dass ‚Janek als Vertriebsleiter kritische Lagervorgänge durchführen kann, wie z.B. Inventur oder Lagerfreigaben, was ein Betrugsrisiko darstellt‘.
Es ist auch nützlich, Informationen über die tatsächliche Nutzung der Ansprüche zu liefern – ob der Arbeitnehmer die betreffenden Funktionen in letzter Zeit tatsächlich genutzt hat. Ungenutzte Ansprüche sind in der Regel ein guter Kandidat für die Streichung.
In großen Unternehmen ist die Überprüfung von Ansprüchen ohne die richtigen Tools praktisch unmöglich. Spezialisierte GRC-Systeme (Governance, Risk und Compliance) können den gesamten Prozess rationalisieren, indem sie die Aufbereitung der Daten automatisieren, die Berechtigungen in einer für das Unternehmen verständlichen Weise darstellen und die Entscheidungen für Audits dokumentieren.
Kennen Sie die Berechtigungen Ihrer Mitarbeiter in ERP-Systemen?
Viele Unternehmen sind sich des Umfangs der Berechtigungen, die Mitarbeiter in ERP-Systemen und anderen wichtigen Anwendungen besitzen, nicht vollständig bewusst. Die Situation wird dadurch erschwert, dass Berechtigungen auf verschiedenen Ebenen erteilt werden können – direkt, über Rollen, Gruppen oder Profile.
Eine Analogie könnte die Situation mit den Türschlüsseln sein: Was nützt es uns, herauszufinden, wer einen speziellen Schlüssel für das Archiv hat, wenn die Mitarbeiter einst Universalschlüssel erhalten haben, die zu allen Schlössern passen? Infolgedessen haben viele Mitarbeiter möglicherweise Zugang zu sensiblen Bereichen, auch wenn sie offiziell keinen Zugang haben sollten.
Eine umfassende Überprüfung der Berechtigungen sollte alle möglichen Zugriffspfade und potenzielle Sicherheitsumgehungen berücksichtigen. Nur so können Sie sicher sein, dass der Grundsatz der Mindestpräferenz tatsächlich eingehalten wird.
Berechtigungen in ERP-Systemen: Wie man einen zeitraubenden Prozess in ein effektives Sicherheitsinstrument verwandelt
Eine Überprüfung der Berechtigungen muss keine lästige Aufgabe sein, die wertvolle Arbeitszeit verschlingt. Mit der richtigen Herangehensweise und der richtigen Auswahl von Tools kann sie zu einem effektiven Mittel werden, um die Sicherheit des Unternehmens zu stärken und die Einhaltung von Vorschriften zu gewährleisten.
Die Schlüsselelemente eines solchen Ansatzes sind:
- konzentrieren Sie sich auf Geschäftsrisiken und nicht auf technische Details,
- die Darstellung von Ansprüchen in einer für Unternehmen verständlichen Sprache,
- Informationen über die tatsächliche Verwendung von Zertifikaten,
- Automatisierung der Datenaufbereitung für die Überprüfung,
- Einsatz geeigneter Tools zur Unterstützung des gesamten Prozesses.
Ein gut durchdachter Prozess, der von den richtigen Tools unterstützt wird, macht die Überprüfung von Berechtigungen schneller und effizienter. Mit einem solchen Modell verbringt das Unternehmen nicht Hunderte von Stunden mit manuellen Analysen, sondern konzentriert sich auf die Identifizierung und Abschwächung echter Zugangsrisiken.
