Blog - Artikel

Compliance-Beantragungs- und Genehmigungsverfahren

von Ute Schwietering (Kommentare: 0)

I. Einführung

Komplexer werdende Unternehmensstrukturen und IT-Systeme führen zu immer größeren organisatorischen und administrativen Aufwänden. Übersichtlichkeit, Überprüfbarkeit und Bedienbarkeit werden durch unkontrolliert wachsende Systeme untergraben. Mitarbeiter verschwenden Zeit mit unproduktiven Verwaltungsaufgaben. Revisoren und Wirtschaftsprüfer bemängeln immer öfter undefinierte Prozesse und fehlende Transparenz in der Verwaltung von Zugriffsrechten. Durch fehlende organisatorische Vorgaben kann es zu unberechtigtem Zugriff auf Daten kommen. Datenverluste oder Manipulation von Daten richten erhebliche Schäden an.

Um diesem Mangel entgegenzutreten und zur Unterstützung der Mitarbeiter im Unternehmen, sollte ein internes Verfahren für Berechtigungsmanagement eingeführt werden. Dieses Kontrollsystem ist ein Prozessmodell, das u.a. bestimmte Verfahren für die Beantragung und Genehmigung von IT-Berechtigungen festschreibt.

II. Compliance: Standards und Anforderungen

Mit dem Begriff Compliance wird die Einhaltung von Gesetzen und Richtlinien sowie von Verträgen und unternehmensspezifischen Regelungen bezeichnet.

Zu den Gesetzen und Richtlinien, die relevante Anforderungen an Unternehmen stellen, gehören z.B.:

  • Basel II
  • das deutsche Handelsrecht
  • das Bundesdatenschutzgesetz
  • branchenspezifische Regelungen wie MaRisk für Kreditinstitute

Alle Richtlinien, so unterschiedlich sie im Einzelfall auch aufgebaut sind, beschäftigen sich mit ähnlichen Zielsetzungen:

  • Identifikation und Bewertung von Risiken
  • ordnungsgemäße Organisation des Geschäftsbetriebs
  • Steuerung, Kontrolle und Transparenz der Geschäftstätigkeit

Während sich die oben genannten Richtlinien mit dem Unternehmen allgemein beschäftigen, wurden weitere Standards definiert, die die Umsetzung des internen Kontrollsystems in der IT unterstützen sollen.

Hierzu gehören die Standards:

  • COBIT (Control Objectives for Information and Related Technologies)
  • ISO/IEC 27001 bzw. ISO/IEC 17799
  • IDW PS 330 (Prüfungsstandard 330 des Instituts der Wirtschaftsprüfer: Abschlussprüfung bei Einsatz von Informationstechnologie)

Damit IT-Systeme diese Standards erfüllen können, müssen bestimmte Mindestfunktionen vorhanden sein. Diese Funktionen beziehen sich auf die Anwendungsbereiche Identifikation, Benutzerverwaltung, Berechtigungsvergabe, Protokollierung und Prüfung und gelten für alle Anwendungen, die von den oben genannten Richtlinien und Standards betroffen sind.

Geforderte Funktionen je Anwendungsbereich

Identifikation

  • jeder Benutzer muss sich am System anmelden, damit alle Aktionen und Datenzugriffe eindeutig zugeordnet werden können

Benutzerverwaltung

  • die Einrichtung von Benutzerkonten unterliegt einem Genehmigungsverfahren
  • die Konten ausgeschiedener Mitarbeiter müssen zeitnah deaktiviert bzw. gelöscht werden

Berechtigungsvergabe

  • die Vergabe von Berechtigungen an Benutzer unterliegt einem Genehmigungsverfahren mit 4-Augen-Prinzip
  • nicht mehr benötigte Berechtigungen müssen zeitnah entzogen werden
  • jeder Benutzer darf nur die Berechtigungen erhalten, die er für seine Arbeit unbedingt benötigt (engl. principle of least privilege, „Need to know“-Prinzip)
  • kritische Berechtigungen, die die Funktionstrennung berühren und daher niemals gleichzeitig an einen Benutzer vergeben werden dürfen, müssen definiert und gepflegt werden
  • die gesammelten Berechtigungen eines Benutzers dürfen niemals die Funktionstrennung in der Organisation verletzen (engl. separation of duty)

Protokollierung

  • alle kritischen Systemzugriffe und alle Administrationstätigkeiten müssen protokolliert werden

Prüfung

  • es muss sichergestellt sein, dass Verstöße gegen die Sicherheitsrichtlinien zeitnah entdeckt werden
  • alle Sicherheitseinstellungen in Anwendungen und Systemen sind korrekt konfiguriert und werden regelmäßig überprüft

Die Erfüllung dieser Anforderungen ist keine IT-Aufgabe allein, sondern berührt auch die Geschäftsprozesse und betrifft damit das gesamte Unternehmen.

III. Risiken und Chancen

Häufig stellt ein Unternehmen fest, dass es Probleme bei der Umsetzung der Anforderungen gibt und damit kein ausreichendes Kontrollsystem implementiert ist. Um den damit verbundenen Risiken zu begegnen, bieten sich verschiedene Strategien an:

  • Das Risiko eingehen und nichts tun

    Diese Strategie sollte wegen der Haftungsrisiken für Vorstände und Geschäftsführer nicht verfolgt werden (vgl. BITKOM: Matrix der Haftungsrisiken).

  • Das Risiko vermeiden (Unterlassen der risikobehafteten Tätigkeiten)

    Durch diese Strategie wird das Problem gelöst, allerdings können dadurch auch mögliche Chancen nicht genutzt werden. Viele Risiken lassen sich aber kaum vermeiden, ohne den Geschäftsbetrieb einzustellen.

  • Das Risiko abwälzen (z.B. auf eine Versicherung)

    In der Praxis funktioniert dieser Weg meistens nicht, da die Versicherungen für ihre Risikobewertung und damit Prämienberechnung die gleichen Maßstäbe anlegen wie jene, denen man ausweichen will.

  • Das Risiko aktiv reduzieren

    Man wird selbst aktiv und behebt die gefundenen Mängel.

Diese Strategien beziehen sich selbstverständlich nur auf Risiken, die das Unternehmen selbst beeinflussen kann.

Bei der Auswahl einer Strategie sollte in Betracht gezogen werden, ob sich durch aktive Reduktion des Risikos Chancen für das Unternehmen insgesamt ergeben, z.B. eine vereinfachte Informationsbeschaffung, -verteilung und -verarbeitung. Werden neue, geordnete Prozesse definiert, um vorhandene Mängel zu beheben, ergeben sich daraus oft Möglichkeiten zur Automatisierung, die zu mehr Effizienz und höherer Benutzerzufriedenheit führen können.

IV. Fallbeispiel: Beantragung und Genehmigung von Berechtigungen

Mit Hilfe eines Prozesses zur Beantragung und Genehmigung von Berechtigungen lassen sich viele Anforderungen an ein geordnetes und transparentes Verfahren zum Schutz der Daten vor unberechtigtem Zugriff und zur Sicherstellung von Funktionstrennungen umsetzen.

In einem solchen Verfahren beantragt ein Mitarbeiter seine gewünschten Zugriffsrechte. Dieser Antrag muss sowohl von seinem Fachvorgesetzen als auch vom Verantwortlichen für das betroffene System genehmigt werden, bevor ein IT-Mitarbeiter die Berechtigung technisch zuordnet. Durch die Zustimmung von (mindestens) zwei verantwortlichen Personen ist ein 4-Augen-Prinzip gewährleistet.

Ein solches Verfahren kann formularbasiert oder mit Hilfe von IT-Anwendungen umgesetzt werden.

In Unternehmen sind bisweilen vorhandene Genehmigungsprozesse per Telefon oder formloser E-Mail nicht ausreichend, da (neben vielen weiteren Gründen) eine nachträgliche Prüfung der Anträge nicht möglich ist und das erforderliche 4-Augen-Prinzip nicht eingehalten wird.

Formularbasiertes Verfahren

Beim klassischen Verfahren füllt der Mitarbeiter ein Papierformular aus und übergibt es an seinen Vorgesetzten, der es nach Prüfung und geleisteter Unterschrift an den Verantwortlichen für das betroffene System weiterleitet. Stimmt dieser ebenfalls zu, sendet er das auch von ihm unterschriebene Formular an die IT-Abteilung. Ein IT-Mitarbeiter stellt das gewünschte Zugriffsrecht bereit, unterschreibt das Formular ebenfalls, benachrichtigt den Antragsteller per E-Mail oder Telefon und händigt das Formular der Revisionsabteilung aus, die es ordentlich für spätere Prüfungszwecke abheftet.

Bei einem solchen Verfahren gibt es viele Probleme:

  • Mitarbeiter wissen oft nicht, welche Berechtigungen sie beantragen müssen, oder sie kennen nicht die genauen technischen Namen

    Die Zahl der Berechtigungen kann in ERP-Systemen leicht 100 oder mehr erreichen, der Überblick geht dann schnell verloren und falsche Berechtigungen werden beantragt.

    Manche Unternehmen versuchen, das Problem mit Hilfe eines Stellenplans und der Definition von Arbeitsplätzen zu umgehen, verschieben die Probleme damit allerdings nur eine Ebene tiefer in die IT, die diese Daten dann verwalten muss.
  • Eine Prüfung der Berechtigungen ist kaum möglich

    Durch Lagerung der genehmigten Papieranträge in Ordnern ist eine Revision nur stichprobenartig möglich.

  • Beim Ausscheiden eines Mitarbeiters oder beim Wechsel der Stelle können die betroffenen IT-Systeme und Berechtigungen nicht ermittelt werden

    Diese Information ist nicht technisch verfügbar, sondern nur in Form von Formularen, und damit nur schwer zu finden.

  • Der Genehmigungsprozess ist langwierig

    Der Genehmigungsprozess kann Tage dauern, insbesondere, wenn verschiedene Standorte im Unternehmen beteiligt sind. Dieses Problem potenziert sich mit der Anzahl der IT-Systeme.

Insgesamt ist ein formularbasiertes Verfahren aufwendig, teuer (in Form von Prozesskosten) und wenig transparent. In der Praxis müssen Benutzer erfahrungsgemäß lange auf ihre Berechtigungen warten, und der Reiz steigt, das bürokratische Verfahren „auf dem kurzen Dienstweg“ zu umgehen. Das angestrebte Ziel einer Erhöhung der Sicherheit wird so unterlaufen.

IT-gestütztes Verfahren

Es bietet sich an, ein IT-gestütztes Workflow-Verfahren zur Beantragung und Genehmigung von Berechtigungen zu implementieren.

In einem solchen Verfahren werden die Anträge elektronisch gestellt, die Kommunikation zwischen den Beteiligten findet über das Workflow-System und per E-Mail statt. Alle Informationen über laufende und abgeschlossene Genehmigungsverfahren sind in einer zentralen Datenbank vorhanden und können jederzeit geprüft und ausgewertet werden.

Ein IT-basiertes Verfahren ist die geeignete Lösung, um ein ordnungsgemäßes Verfahren sicherzustellen.

Kauf oder Eigenentwicklung?

Wenn eine Entscheidung zur Einführung eines Workflow-Systems gefallen ist, stellt sich die Frage, ob ein kommerzielles Produkt lizenziert oder ein eigenes System entwickelt werden soll.

Vorteile eines kommerziellen Produkts sind längere Tests und damit eine höhere Qualität, Nachteile u.U. kompliziertes Customizing oder fehlende Funktionen.

Eine Eigenentwicklung kann besser an das Unternehmen angepasst werden, Nachteil ist der meistens schlecht kalkulierbare Entwicklungsaufwand.

Hier bietet sich an, eine Kostenrechnung durchzuführen und beide Modelle zu betrachten.

Zur Erstellung der Kostenrechnung müssen folgende Kosten betrachtet werden:

  • Direkte Produktkosten

    Das sind direkte Lizenz- und Hardware-Kosten für ein kommerzielles Produkt, sowie Entwicklungskosten für selbst erstellte Anwendungen (diese Kosten beinhalten: Entwicklungssysteme, kommerzielle Komponenten, Datenbanklizenzen, Entwicklungskosten [Verrechnungskosten für interne Mitarbeiter der Entwicklung oder Kosten externer Entwickler]).

  • Direkte Implementierungskosten

    Hierhin gehören zusätzliche Kosten der Einführungsphase, z.B. Einspielen von Stamm- und Bewegungsdaten, externes Consulting, externe Schulungskosten.

  • Indirekte Implementierungskosten

    Hier wird die Arbeitszeit interner Mitarbeiter für Einführung und Schulungen des Systems betrachtet.

  • Direkte Betriebsführungskosten

    Das sind z.B. Wartungsgebühren für ein kommerzielles Produkt.

  • Indirekte Betriebsführungskosten

    Unter diesem Punkt werden die Administrations- und Arbeitsaufwände zusammengefasst, die im Zusammenhang mit dem Produkt stehen.

Um diese indirekten Betriebsführungskosten vorab ermitteln zu können, werden mit Hilfe der Anforderungen der Geschäftsprozesse an das IT-System Fallbeispiele (engl. use cases) definiert.

Mit Fallbeispielen werden die typischen Tätigkeiten betrachtet, die Anwender mit dem System durchführen. Ziel ist es, sie optimal bei ihrer Arbeit zu unterstützen und so eine hohe Produktivität zu erreichen.

Die Nützlichkeit unterschiedlicher Produkte kann am besten durch den Vergleich von Fallbeispielen auf die im Unternehmen existierenden realen Anforderungen überprüft werden. Sinnvoll ist z.B. der Einsatz einer Testinstallation, um die gewünschten Features zu überprüfen. Der übliche Weg des Vergleichs von Feature-Listen (d.h. Auflistungen der einzelnen Funktionalitäten ohne Hintergrundinformationen zur Anwendbarkeit) führt oft zu einer quantitativen Bewertung („das eine Produkt hat 10 Features mehr, die wir zwar nicht unbedingt brauchen, aber ...“). Hierbei können keine qualitativen Aussagen über die Prozesskosten getroffen werden. Oft nutzt diese Software den Anwendern nicht im erhofften Maße, sondern führt sogar zu komplizierteren Arbeitsprozessen, weil die ungenutzten Funktionen zusätzliche Aufwände in Konfiguration oder Bedienung verursachen.

Nach Zusammenstellung aller Kosten zur Einführung und Betriebsführung eines Produktes ergibt sich eine realistische Bewertung, die als gute Grundlage für eine unternehmerische Entscheidung dienen kann.

V. Fazit

Zur Sicherstellung des Schutzes von Daten gegen unberechtigten Zugriff sowie zur Gewährleistung von Funktionstrennungen ist die Einführung eines Verfahrens zur Beantragung und Genehmigung von Berechtigungen zu empfehlen.

Mit einem solchen Verfahren lassen sich wichtige Compliance-Anforderungen erfüllen. Es sollte IT-gestützt implementiert werden und Workflow-Funktionen nutzen, um den Anwendern, Entscheidern und Prüfern jederzeit einen verlässlichen Überblick zu ermöglichen und so bestmögliche Transparenz über genehmigte und erteilte Berechtigungen zu gewährleisten.

(Dies ist ein Fachartikel unserer früheren Kolumne "Einwurf")

Zurück