IT-gestützte Berechtigungsanalyse in gängigen IT-Systemumgebungen

Autoren: Daniel Pilschek und Hannes Hahn

veröffentlicht am 4. April 2016

Die IT-Systeme sind in den letzten Jahren immer komplexer geworden. Wesentlicher Grundpfeiler ordnungsgemäßer Prozesse in diesen Systemen ist in funktionierendes Berechtigungswesen, das die Rechte der Anwender in diesen Systemen regelt. Aufgrund zunehmender Standardisierung der IT-Systeme ist die Prüfung der eingerichteten Rechte trotz steigender Komplexität beherrschbar geblieben und zwar mit technischer Unterstützung.

Zum Hintergrund

Richtlinien regeln, was Mitarbeiter dürfen und was nicht. Ob diese Regelungen auch in den IT-Systemen umgesetzt sind, ist eine andere Frage. Hier klärt eine Analyse des Berechtigungswesens, wie der tatsächliche Zugriff der Mitarbeiter auf die IT-Systeme ausgestaltet ist und ob dieser mit den getroffen Regelungen übereinstimmt. Ein Berechtigungskonzept beschreibt ein solches System. Aus der Sicht eines funktionsfähigen internen Kontrollsystems (IKS) einer Verwaltung bzw. eines Unternehmens ergibt sich somit eine hohe Kritikalität in der Ausgestaltung des Berechtigungskonzepts.

Bisherige Vorgehensweise

In den vergangenen Jahrzehnten hat die manuelle Überprüfung des Berechtigungswesens in IT-Systemen überwogen. Dies lag zum einen daran, dass die IT-Systeme noch keinem hohen Standardisierungsgrad unterlagen. Zu oft hat man sehr individuelle Systeme zur Überprüfung vor sich gehabt, in denen nur eine manuelle Prüfung funktionierte, weil kaum Beschreibungen und Erfahrungen zu den jeweiligen Systemen vorlagen. Zum anderen war das Verständnis aufseiten der anwendenden Verwaltungen bzw. Unternehmen nur bedingt ausgeprägt, dedizierte Funktionstrennungen auch im Berechtigungswesen abzubilden; sprich: es hatten sehr viele Anwender umfassende Rechte.

Wie sieht eine Berechtigungsanalyse heute aus?

Aufgrund der Tatsache, dass viele IT-Systeme heute schon aus Wirtschaftlichkeitsgründen auf einem hohen Standard aufbauen (SAP, Microsoft Navision, Microsoft AX, etc.) und viele Branchenlösungen (Schleupen, Komuna, Infoma, etc.) einen hohen verlässlichen Standard aufweisen, ist die technische Auseinandersetzung mit dem Berechtigungssystem aus Sicht der Prüfung möglich. Es gibt ausreichend Literatur, hohe Erfahrungskurven und zum Teil auch schon erprobte fertige Tools am Markt, sodass ein komplett anderes Vorgehen in der Berechtigungsprüfung möglich ist.

Mit einer toolgestützten Analyse lassen sich viele Vorteile erzielen: Man spart Zeit und gewinnt dabei Prüfungssicherheit. Jedoch nicht jedes Tool ist ausgereift und führt zu verlässlichen Analyseergebnissen. Daher steht auch hier oftmals die Entwicklung von eigenen Analyseverfahren im Vordergrund. Welches sind die wesentlichen Schritte in einer toolgestützten Prüfung?

Am Anfang steht der Rechteexport aus dem zu prüfenden IT-System in ein gekauftes oder selbst entwickeltes Analysewerkzeug. Die einzelnen Systeme wie SAP oder Microsoft AX verfahren hier oftmals nach einem ähnlichen Denkmuster in der Führung von Rollen und Berechtigungsgruppen. Dennoch ist häufig eine tiefgehende Auseinandersetzung mit dem System (Tabellen, Funktionsweise) notwendig, um die richtigen Daten zu exportieren und diese auch „richtig” zu interpretieren.
Mit entsprechenden Schablonen aus den obigen Analyse- Tools lassen sich schnell Erkenntnisse über die spezifische Rechtevergabe herstellen. Dies ist ein enormer Zeitgewinn und stellt auch eine Erhöhung der Prüfungsqualität dar, da im vollem Umfang und nicht nur in Stichproben geprüft wird. Wir unterscheiden hier in Mengen- und Konfliktanalysen. Auch hier haben sich Schablonen in den verschiedenen Analyse-Tools herausgebildet, die den Blick auf die Mengenanalyse (z. B. „Wer darf Rechnungen freigeben?”, „Wer darf Konten anlegen”?, etc.) und Konfliktanalyse („Wer darf Rechnungen erfassen und Bankdaten ändern?”, etc.) schärfen und somit Aufwand in der Analyse sparen. Zudem lassen sich ideale „Was hat sich vom letzten Quartal zu heute verändert?” -Auswertungen erstellen.
Die Ergebnisse dienen als Grundlage für die Ableitung des Handlungsbedarfs. Hierbei kann es sich konkret um Rechteentzug handeln bzw. der Klärung des Umgangs mit Rechtekonflikten. Es kann sein, dass die Anwenderrechte so belassen werden und der Konflikt durch eine organisatorische Kontrolle kompensiert wird. Das Berechtigungskonzept ist im Idealfall regelmäßig (jährlich) über die obige Analyse zu verifizieren.