Article
Erfolgsfaktoren für eine unternehmensweite Access Governance Strategie
Sicheres Zugriffsmanagement auf IT-Anwendungen ist und bleibt eine große Herausforderung für alle Unternehmen. Die Aufgabe ist bereits unter rein technischen und organisatorischen Gesichtspunkten äußerst komplex.
Zusätzlich erschwert wird diese Aufgabe je nach Branche durch die Verpflichtung, regulatorische Anforderungen zu erfüllen. Umfassendes Zugriffsmanagement muss insofern organisatorisches Setup, verfügbare personelle Ressourcen, die mögliche technische Umsetzung und die branchenspezifischen Rahmenbedingungen berücksichtigen. Worauf sollten zukunftsorientierte Unternehmen bei der Erarbeitung einer nachhaltigen Access Governance Strategie besonders achten?
Zugriffsmanagement eine reine IT-Aufgabe? Sicher nicht!
Historisch heißt in den meisten Unternehmen die Antwort auf die Frage, wer Zugriffsmanagement macht, zumeist: die IT-Abteilung, die hat bei uns schon immer die Berechtigungen vergeben! Warum sollte man das ändern, wenn es doch scheinbar funktioniert hat?
Letztlich ist aber eben nicht die IT-Abteilung selbständig für den Schutz unternehmenskritischer Daten und die Erfüllung der regulatorischen Anforderungen verantwortlich, sondern die Eigner der betroffenen Geschäftsprozesse oder das Management. Denn die IT-Abteilung dient der technischen Umsetzung und Bereitstellung der Zugriffsrechte, für deren Definition müssen aber die Fachabteilungen zuständig sein. Denn nur die Business Process Owner selbst sind fachlich überhaupt dazu in der Lage zu beurteilen, welchem Mitarbeiter in welchem Ausmaß Zugriff auf IT-Applikationen, auf Geschäftsprozesse und damit auf kritische Daten zu gewähren ist. Dies gilt umso mehr, wenn eine Unternehmung durch Expansion, M&A, neue IT-Systeme oder mobile Lösungen inhaltlich komplexer wird. Denn je komplexer das Unternehmen, desto komplexer wird auch ein integriertes Berechtigungsmanagement.
Zudem setzt sich bei den meisten Unternehmen das zwingende Selbstverständnis durch, die Verantwortung für Corporate Governance wahrnehmen zu wollen. Das Top-Management will insofern stärker und am besten in real time darüber informiert werden, welcher Mitarbeiter Zugriff auf unternehmenskritische Funktionen und Daten innerhalb der IT-Landschaft besitzt. Neben steigenden Anforderungen an ein flexibles Reporting und messbare KPI’s treten Funktionstrennungen immer stärker in den Vordergrund. Diese werden nicht nur im Rahmen der Jahresabschlussprüfung gefordert. Vielmehr dienen diese zunächst dazu, kritische Geschäftsprozesse der Kontrolle durch die Verantwortlichen zu unterstellen und damit auch steuerbar zu machen.
Was ist eigentlich dieses SoD?
Das Prinzip der Funktionstrennung oder Segregation of Duties (SoD) stellt sicher, dass ein einzelnes Individuum nicht zu weitreichende Gestaltungs- und Kontrollmöglichkeiten über einen Geschäftsprozess erlangt. Dadurch sollen einerseits unbeabsichtigte Fehler in der Ausübung der geschäftlichen Tätigkeiten vermieden werden, andererseits sollen beabsichtigte betrügerische Handlungen erschwert werden. Konkret lässt sich das an einem Beispiel verdeutlichen: Wenn ein Mitarbeiter Lieferanten inklusive deren Bankverbindungen in einem ERP-System anlegen und gleichzeitig Zahlungen initiieren kann, so könnte er durch Zahlungsfreigaben an fiktive Lieferanten beträchtliche Finanzmittel unterschlagen.
Eine individuelle Berechtigungskonzeption für jede IT-Applikation?
IT-Applikationslandschaften wachsen historisch. Verbunden damit wächst auch die Komplexität des Berechtigungsmanagements. Erfahrungsgemäß zeigt sich, dass nicht selten in Unternehmen für jede IT-Applikation ein eigenes separates Berechtigungskonzept im Einsatz ist. Je nach Größe des Unternehmens steigt die Komplexität der Berechtigungsverwaltung und Administration ins Unbeherrschbare, treibt die involvierten Abteilungen an die Leistungsgrenze und kann sogar im völligen Überblicks- und Kontrollverlust enden. Gleichermaßen, und das ist beinahe noch bedenklicher, kann so nicht über verschiedene Systeme hinweg sichergestellt werden, dass die Anwender auch tatsächlich ein konsistentes Zugriffsniveau besitzen. Geschäftsprozesse, die mehrere IT-Systeme betreffen, müssen einheitlichen Funktionstrennungsregeln unterworfen sein; Daten, die in verschiedenen Business-Intelligence-Systemen zugleich gespeichert werden, müssen auch einem gleichartigen Schutz unterworfen sein.
Heterogene IT-Applikationslandschaft – hom*ogene Access Governance
Sind die ersten Anstrengungen unternommen und die ersten Hürden genommen, ein ausgereiftes und passendes Berechtigungskonzept für ein ERP-System erstellt und implementiert zu haben, sollte das Schutzniveau daher auf weitere ERP-Systeme, IT-Applikationen oder sogar die gesamte IT-Landschaft erweitert werden. Separate und isolierte Berechtigungskonzepte maximieren den Aufwand und bieten gleichzeitig keine Möglichkeit, die geforderte bereichs- oder unternehmensweite Kontrolle auszuüben.
An dieser Stelle empfehlen sich holistische Identity & Access Management Lösungen. Die Identitäten der natürlichen Personen in einem Unternehmen oder einem Unternehmensverbund werden dabei an einer zentralen Stelle verwaltet, um jederzeit zu wissen, welcher User zu welchem Zeitpunkt Zugriffsrechte auf welche Systeme und damit Geschäftsprozesse besitzt. Ebenso werden IT-Applikationen zusammenhängend betrachtet, sodass Zugriffsrechte immer in Abhängigkeit von Geschäftsprozessen gewährt und kontrolliert werden. Erst dieser Ansatz ermöglicht eine Vereinheitlichung der Access Governance Prozesse wie automatisierte und funktionsgebundene Vergabe und Entzug von Berechtigungen, regelmäßige Rezertifizierungen und einen ständigen Soll-Ist-Abgleich zwischen genehmigten und vergebenen Zugriffsrechten – und damit eine effiziente Unternehmenssteuerung aus Compliance- und Security-Gesichtspunkten.
Identity & Access Management (IAM) Lösungen
Kann man die folgenden Fragen überwiegend mit Ja beantworten, so ist es höchst naheliegend sich über eine Identity & Access Management Strategy ernsthafte Gedanken zu machen.
- Besteht meine IT Landschaft aus mehreren Systemen und Applikationen ?
- Müssen meine Mitarbeiter auf mehrere Systeme und Applikationen zugreifen um Ihren Arbeitsplatz zu erfüllen ?
- Sind die Kosten der Nutzeradministration vergleichsweise hoch aufgrund der Komplexität ?
- Muss ich regulatorische Anforderungen für die Vergabe von kritischen Berechtigungen erfüllen ?
Bringt man Identity & Access Management (IAM) in den Kontext der voran beschriebenen Problematik der Administration und Handhabbarkeit der unterschiedlichen Berechtigungskonzeptionen, so kann man IAM als die strategische Weiterentwicklung der Einzelkonzeptionen bezeichnen. Aber vielmehr bietet IAM weitaus größere Möglichkeiten Compliance Anforderungen zu erfüllen und kann bei richtigem Einsatz die Corporate Governance Funktionen deutlich unterstützen.
Gerade in Zeiten der fortschreitenden Digitalisierung, Nutzung von Cloudbasierten Services, Bring Your Own Device (BYOD) Strategien und Mobile Apps Nutzung wird die herkömmliche Nutzer und Berechtigungsstrategie auf den Prüfstand gestellt und vor schier unlösbare Herausforderungen gestellt.
Stehen Sie vor diesen Herausforderungen und haben Fragen die bisher unbeantwortet blieben ? Deloitte ERS hilft Ihnen bei der erfolgreichen Durchführung von IAM Projekten und begleitet Sie durch den gesamten Projektlebenszyklus.
