Berechtigungsvergabe

Rezertifizierung nicht erst beim Audit erzwingen

| Autor / Redakteur: Martin Kuppinger* / Stephan Augsten

Setzt man einen kontinuierlichen Prozess zur Neuvergabe von Berechtiungen um, spart man sich eine aufwändige Rezertifizierung.
Setzt man einen kontinuierlichen Prozess zur Neuvergabe von Berechtiungen um, spart man sich eine aufwändige Rezertifizierung. (Bild: Archiv)

Manchmal ist im Unternehmen eine Rezertifizierung der Berechtigungen vonnöten. Die Neuvergabe der Benutzerrechte kann aber sehr aufwändig werden, was mitunter dazu führt, dass der Prüfende einfach alles durchwinkt. Mit Alibi-Rezertifizierungen ist aber keinem geholfen.

Viele Unternehmen sehen sich durch externe regulatorische Anforderungen oder wegen der Vorgaben der internen IT-Auditoren gezwungen, Rezertifizierungsprozesse für Berechtigungen umzusetzen. Dieses Unterfangen ist oft ausgesprochen aufwändig und führt dazu häufig noch zu unbefriedigenden Resultaten.

Der schlimmste Fall sind dabei sicher dicke Stapel von Ausdrucken mit Berechtigungen. Manager sollen diese überprüfen und als korrekt abzeichnen, falls sie nicht irgendwelche fehlerhaften Berechtigungen finden und reklamieren. Dieser Fall tritt besonders dann ein, wenn noch kein geeignetes Werkzeug zur Unterstützung der Rezertifizierungsprozesse eingeführt wurde, aber dennoch Audit-Anforderungen erfüllt werden müssen.

Die Erwartungen an die Qualität der Prüfung dürfen in solchen Fällen nicht hoch sein – hier kann es allenfalls noch darum gehen, ein Audit zu bestehen, aber nicht darum, ernsthaft Risiken zu erkennen und zu beseitigen. Aber auch wenn unterstützende Werkzeuge und Workflows eingesetzt werden, läuft die Neuvergabe von Berechtigungen oft nicht so, wie sie sollte.

Wenn die Berechtigungsprüfung zur Last wird

Manager lassen sich oft nur nach einer oder mehreren Eskalationen dazu bewegen, die Rezertifizierung durchzuführen. Als vermeintlich einfachste Lösung wird dabei dann die Option gewählt, pauschal alle Berechtigungen als korrekt zu klassifizieren. Eine typische Ursache hierfür ist, dass viel zu oft die Prüfung von Berechtigungen gefordert wird, deren Bedeutung die Rezertifizierer gar nicht kennen.

Listen von SAP-Transaktionscodes sind dabei sicher ein Extremfall, aber kryptische Berechtigungsbezeichnungen auf Systemebene finden sich allzu oft. Der Prüfprozess kann nur erfolgreich sein, wenn die Last auf viele Schultern verteilt wird und Rezertifizierer etwas prüfen müssen, das sie auch überprüfen können.

Ein Abteilungsleiter weiß, welche Aktivitäten seine Mitarbeiter in welchen Geschäftsprozessen ausführen müssen und in welchen Projekten sie sind. Er weiß aber meist nicht, welche Active Directory-Gruppen, SAP-Systemrollen oder anderen technischen Artefakte dafür benötigt werden. Das wissen aber die Key User, Business-Architekten oder andere Experten an der Schnittstelle zwischen Business und IT – oder sogar erst die Systemadministratoren.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43392992 / Sicherheits-Policies)