Berechtigungen zu bestimmten Interaktionen mit IT-Systemen richten sich nach den Arbeitsaufgaben der jeweiligen Mitarbeiter - soweit so üblich. Doch damit endet vielerorts bereits der Konsens, wenn es um das Berechtigungsmanagement im Unternehmen geht. In der Praxis beginnen die Schwierigkeiten meist schon mit unterschiedlichen Interpretationen grundlegender Begrifflichkeiten: Eine Rolle etwa bedeutet für manche eine Funktionsrolle, während andere glauben, damit wäre eine Berechtigungsrolle gemeint. Auch der Begriff "Berechtigung" ist stark kontextabhängig interpretierbar. Kein Wunder also, dass auch die Vorstellungen, was genau unter einem Berechtigungsrisiko zu verstehen ist, mitunter weit auseinandergehen.
Daher gilt es zuallererst, intensive Gespräche mit allen Verantwortlichen aus den Fachbereichen, der IT-Abteilung und auch in der Chefetage zu führen, um ein gemeinsames Verständnis der Begriffe respektive der damit umschriebenen Herausforderung zu gewinnen. Aller Erfahrung nach schärft ein solcher Austausch auch die Einsicht, dass im eigenen Unternehmen ein entsprechender Handlungsbedarf besteht. Zugleich fördert der Dialog die Bereitschaft der Beteiligten, sich mit dieser Thematik konstruktiv auseinanderzusetzen.
Objektivität vs. Bauchgefühl
Um keine unrealistischen Erwartungen zu wecken: Mit Zugriffsrechten assoziierte Risiken können niemals zu hundert Prozent eliminiert werden. Aber sie lassen sich systematisch minimieren - und eben dies ist das Ziel eines unternehmensweiten Berechtigungsrisikomanagements.
Der Einsatz von Risikoregelwerken ist dabei in jedem Fall empfehlenswert, um bei der Identifikation und Evaluierung von Berechtigungsrisiken die Faktoren Zufall und Subjektivität so weit wie möglich auszuschließen. Allerdings erweist es sich in der Beratungspraxis oftmals als schwierig, die Herkunft einer Risikoeinstufung präzise nachzuvollziehen. In vielen Fachbereichen fehlt es zudem an juristischem Wissen, weshalb mögliche Verstöße gegen gesetzliche Vorschriften nicht angemessen berücksichtigt werden.
Genau diese Fähigkeit aber ist unentbehrlich, um Risiken zu identifizieren und bewerten zu können - nämlich negative Konsequenzen bestimmter Zugriffsaktionen beziehungsweise einer Kombination davon umfassend abschätzen zu können. Anders ist weder eine adäquate Risikoklassifikation der betreffenden Zugriffsrechte möglich noch eine fundierte Ableitung der technischen Anforderungen zur Risikoanalyse. Nur selten verfügt ein und dieselbe Person über alle dafür benötigten Spezialfähigkeiten. Umso wichtiger ist eine enge fachliche Kooperation über Abteilungsgrenzen hinweg, was insbesondere in großen, stark hierarchisch organisierten Unternehmen bekanntlich eine Herausforderung ganz eigener Art darstellt.
Tatsächlich ist in vielen Unternehmen die Ansicht verbreitet, dass es in den zuständigen Fachbereichen schon geeignete Mitarbeiter gäbe, die Berechtigungsrisiken aufgrund ihrer Erfahrung quasi aus dem Bauch heraus validieren können. Diese Haltung kann sich bitter rächen, denn externe Prüfer interessieren sich nicht für "gefühlte Risiken", sondern verlangen objektive Nachprüfbarkeit jeder einzelnen Risikoeinstufung. Mithin zählt Objektivität zu den wichtigsten Erfolgsfaktoren für ein tragfähiges Berechtigungsrisikomanagement.
Sicherlich: Bei der Einstufung eines Risikos in "niedrig, mittel, hoch oder kritisch" spielen stets auch subjektive Maßstäbe mit hinein. Doch auch in dieser Hinsicht lässt sich durch eine fundierte Bewertungsmethodik anhand klar definierter Kriterien der Einfluss von Subjektivität zurückdrängen. Orientierung bietet in diesem Kontext der organisatorische Wirkungskreis der Aktionen, auf die sich die zu bewertende Berechtigung bezieht. Die Frage lautet, ob sich mögliche Folgen nur auf eine Abteilung, eine Niederlassung oder den gesamten Konzern auswirken können.
Als weiteres Validierungskriterium sollte zudem der Schutzbedarf der involvierten Daten herangezogen werden - wobei personenbezogene Information, die dem Datenschutzgesetz unterliegt, in der Regel zu einer höheren Risikoeinstufung führt.
Einheitliche Regelwerke
Selbstverständlich sind vorgefertigte Risikoregelwerke, etwa für SAP-Standardtransaktionen, eine wertvolle Grundlage für das hauseigene Berechtigungsrisikomanagement. Dennoch sollte jedes Unternehmen prüfen, ob die dort hinterlegten Risiken und Risikoeinstufungen auch wirklich zur Spezifik der eigenen Geschäftstätigkeit passen. Sofern parallel dazu noch Eigenentwicklungen laufen, muss das Regelwerk um daraus resultierende Berechtigungsrisiken ergänzt werden.
Solange Unternehmen nur die Risiken einzelner Berechtigungen betrachten, erscheint deren Evaluierung möglicherweise noch manuell beherrschbar. Anders sieht es jedoch aus, wenn - und das ist der Alltag in vielen Unternehmen - Kombinationsrisiken zu bewerten sind: Welches Risiko ergibt sich zum Beispiel aus zwei risikobehafteten Aktionen, die zwei unterschiedlichen Rollen zugeordnet sind und über ein oder mehrere Rollenbündel einem bestimmten Benutzer zugewiesen wurden? Die Komplexität dieser Kombinationsvielfalt ist ohne toolgestützte automatisierte Risikoanalyse nicht mehr zu bewältigen.
Allerdings ist es keineswegs zwingend, zur Prävention und Überprüfung dieselben Automatisierungswerkzeuge zu verwenden. Es spricht sogar einiges dafür, internen Auditoren ein hohes Maß an Unabhängigkeit im Unternehmen zuzubilligen. Zumindest eine Schnittstelle zur Prävention ist dabei aber unentbehrlich, und zwar ein gemeinsames, unternehmensweit konsolidiertes Risikoregelwerk. Auf dieser Basis kann der Einsatz unterschiedliche Tools im Präventions- und Überprüfungsbereich durchaus sinnvoll sein. Denn anders als für Auditoren werden im Präventionsbereich zusätzliche Funktionen benötigt, die über die reine Risikoanalyse hinausgehen - etwa zur Automatisierung der Rechtevergabe oder zur Protokollierung der Nutzung bei kritischen Berechtigungsrisiken.
Foto: Tashatuvango - www.shutterstock.com
Individualisierung sparsam einsetzen
Im Risikoregelwerk sind nicht nur die Einstufungen risikobehafteter Berechtigungen von "niedrig" bis "kritisch" hinterlegt, sondern auch deren Handhabung - also Maßnahmen, die im Zuge der Berechtigungsprozedur zur Risikovermeidung oder -minderung vorgesehen sind. Abzuraten ist hierbei von einer mitarbeiterindividuellen Risikohandhabung. Theoretisch könnte beispielsweise ein Anfänger bei fahrlässigem Umgang mit Authentifizierungsdaten, die ihn zur Wahrnehmung der betreffenden Rechte legitimieren, eine zusätzliche Belehrung erhalten, während ein Experte im selben Fall mit einer Rüge rechnen müsste.
Eine solche Vorgehensweise ist in der Praxis jedoch derart personalintensiv, dass sie insbesondere in großen Organisationen zu einem unvertretbar hohen Aufwand führen würde. Mitarbeiterbezogene Unterscheidungen empfehlen sich hingegen bei der eigentlichen Berechtigungsvergabe für bestimmte Aktionen: Bei hohem Risiko mit Protokollierungspflicht könnten Rechte zum Beispiel ausschließlich an Experten übertragen werden. Doch handelt es sich hier bereits um eine Frage, die über das Berechtigungsrisikomanagement hinausgeht und das Berechtigungskonzept betrifft.
Zu guter Letzt ist die Einrichtung einer zentralen Risikomeldestelle für Mitarbeiter ratsam. Denn mancher Mitarbeiter, dem beispielsweise Daten angezeigt werden, die er nach eigener Auffassung nicht hätte sehen dürfen, meldet dieses vermeintliche Berechtigungsrisiko sofort nach ganz oben - ein authentischer Fall, der für erheblichen Aufruhr im gesamten Mittelbau des betroffenen Unternehmens sorgte.