Zugriffsrechte: Risiken richtig managen

No
14. September 2016

 

Bei der Zuweisung von Rechten, ein bestimmtes IT-System in festgelegter Weise zu benutzen, verlassen sich viele Unternehmen auf die Risikobewertung externer Regelwerke. Die tatsächlichen Risiken hängen jedoch von einer Vielzahl unternehmensindividueller Faktoren ab – und lassen sich daher auch nur durch ein ganzheitliches Berechtigungsrisikomanagement minimieren.

Mit Zugriffsrechten assoziierte Risiken können niemals zu hundert Prozent eliminiert werden. Aber sie lassen sich minimieren und eben dies ist das Ziel eines unternehmensweiten Berechtigungsrisikomanagements. Der Einsatz von Risikoregelwerken ist dabei in jedem Fall empfehlenswert, um bei der Identifikation und Evaluierung von Berechtigungsrisiken die Faktoren Zufall und Subjektivität so weit wie möglich auszuschließen.
Vorgefertigte Risikoregelwerke, etwa für SAP-Standardtransaktionen, sind eine wertvolle Grundlage für das hauseigene Berechtigungsrisikomanagement. Dennoch sollte jedes Unternehmen prüfen, ob die dort hinterlegten Risiken und Risikoeinstufungen auch wirklich zur Spezifik der eigenen Geschäftstätigkeit passen. Sofern parallel dazu noch Eigenentwicklungen eingesetzt werden, muss das Regelwerk um daraus resultierende Berechtigungsrisiken ergänzt werden. Solange nur Risiken einzelner Berechtigungen betrachtet werden, erscheint deren Evaluierung möglicherweise noch manuell beherrschbar. Anders sieht es jedoch aus, wenn – und das ist der Alltag in vielen Unternehmen – Kombinationsrisiken bewertet werden müssen. Die Komplexität dieser Kombinationsvielfalt ist ohne toolgestützte automatisierte Risikoanalyse nicht mehr zu bewältigen.

Allerdings ist es keineswegs zwingend, dass zur Prävention und Überprüfung dieselben Werkzeuge genutzt werden. Es spricht sogar einiges dafür, internen Auditoren ein hohes Maß an Unabhängigkeit und Neutralität im Unternehmen zuzubilligen. Und anders als für Auditoren werden im Präventionsbereich zusätzliche Funktionen benötigt, die über die reine Risikoanalyse hinausgehen – etwa zur Automatisierung der Rechtevergabe oder zur Protokollierung der Nutzung bei kritischen Berechtigungsrisiken. Zumindest eine Schnittstelle zwischen Prävention und Überprüfung ist dabei aber unentbehrlich: ein gemeinsames, unternehmensweit konsolidiertes Risikoregelwerk. Auf dieser Basis kann der Einsatz unterschiedlicher Tools im Präventions- und Überprüfungsbereich durchaus sinnvoll sein.

 

Mehr Informationen zu IT Governance Solutions aus dem Bereich Insurance finden Sie hier

Mehr Informationen zu IT Governance Solutions aus dem Bereich Services finden Sie hier

 

Haben Sie noch Fragen?
Sprechen Sie uns an ... 

Dr. Martin Diez
Tel.: +49 40 22703-0
it-security.de@soprasteria.com