Suchen

Berechtigungsvergabe Rezertifizierung nicht erst beim Audit erzwingen

| Autor / Redakteur: Martin Kuppinger* / Stephan Augsten

Manchmal ist im Unternehmen eine Rezertifizierung der Berechtigungen vonnöten. Die Neuvergabe der Benutzerrechte kann aber sehr aufwändig werden, was mitunter dazu führt, dass der Prüfende einfach alles durchwinkt. Mit Alibi-Rezertifizierungen ist aber keinem geholfen.

Firma zum Thema

Setzt man einen kontinuierlichen Prozess zur Neuvergabe von Berechtiungen um, spart man sich eine aufwändige Rezertifizierung.
Setzt man einen kontinuierlichen Prozess zur Neuvergabe von Berechtiungen um, spart man sich eine aufwändige Rezertifizierung.
(Bild: Archiv)

Viele Unternehmen sehen sich durch externe regulatorische Anforderungen oder wegen der Vorgaben der internen IT-Auditoren gezwungen, Rezertifizierungsprozesse für Berechtigungen umzusetzen. Dieses Unterfangen ist oft ausgesprochen aufwändig und führt dazu häufig noch zu unbefriedigenden Resultaten.

Der schlimmste Fall sind dabei sicher dicke Stapel von Ausdrucken mit Berechtigungen. Manager sollen diese überprüfen und als korrekt abzeichnen, falls sie nicht irgendwelche fehlerhaften Berechtigungen finden und reklamieren. Dieser Fall tritt besonders dann ein, wenn noch kein geeignetes Werkzeug zur Unterstützung der Rezertifizierungsprozesse eingeführt wurde, aber dennoch Audit-Anforderungen erfüllt werden müssen.

Die Erwartungen an die Qualität der Prüfung dürfen in solchen Fällen nicht hoch sein – hier kann es allenfalls noch darum gehen, ein Audit zu bestehen, aber nicht darum, ernsthaft Risiken zu erkennen und zu beseitigen. Aber auch wenn unterstützende Werkzeuge und Workflows eingesetzt werden, läuft die Neuvergabe von Berechtigungen oft nicht so, wie sie sollte.

Wenn die Berechtigungsprüfung zur Last wird

Manager lassen sich oft nur nach einer oder mehreren Eskalationen dazu bewegen, die Rezertifizierung durchzuführen. Als vermeintlich einfachste Lösung wird dabei dann die Option gewählt, pauschal alle Berechtigungen als korrekt zu klassifizieren. Eine typische Ursache hierfür ist, dass viel zu oft die Prüfung von Berechtigungen gefordert wird, deren Bedeutung die Rezertifizierer gar nicht kennen.

Listen von SAP-Transaktionscodes sind dabei sicher ein Extremfall, aber kryptische Berechtigungsbezeichnungen auf Systemebene finden sich allzu oft. Der Prüfprozess kann nur erfolgreich sein, wenn die Last auf viele Schultern verteilt wird und Rezertifizierer etwas prüfen müssen, das sie auch überprüfen können.

Ein Abteilungsleiter weiß, welche Aktivitäten seine Mitarbeiter in welchen Geschäftsprozessen ausführen müssen und in welchen Projekten sie sind. Er weiß aber meist nicht, welche Active Directory-Gruppen, SAP-Systemrollen oder anderen technischen Artefakte dafür benötigt werden. Das wissen aber die Key User, Business-Architekten oder andere Experten an der Schnittstelle zwischen Business und IT – oder sogar erst die Systemadministratoren.

(ID:43392992)