Optimierung von Berechtigungskonzepten

veröffentlicht am 19. Dezember 2016

​Berechtigungen sind oftmals wie eine Schachtel Pralinen, man weiß nie was drin ist. Dieses bekannte Zitat lässt sich gut auf die meisten Berechtigungskonzepte übertragen. Oftmals wurden sie im Rahmen der Systemeinführung angelegt und sind dann gewachsen. Mitarbeiter haben oftmals eine Vielzahl an Berechtigungen, von denen niemand weiß, ob sie der Benutzer tatsächlich benötigt. Berechtigungen werden „wie Benutzer xyz” vergeben.

​Zum Zeitpunkt der Systemeinführung wird automatisch auch ein Berechtigungskonzept implementiert. Hierbei wird meist auf Standard-Rollen zurückgegriffen, die der Systemanbieter automatisch zur Verfügung stellt. Das Problem dabei: kein Unternehmen ist wie ein anderes und zum Zeitpunkt der Systemeinführung kennt man als Unternehmen die Möglichkeiten des neuen Systems noch gar nicht wirklich.

Berechtigungskonzepte sind nicht konstant. Sie leben und entwickeln sich ständig weiter. In der Regel erhalten Mitarbeiter zusätzliche Berechtigungen, weil sie diese im Rahmen ihrer Tätigkeiten benötigen. Da die meisten Berechtigungskonzepte aber rollenbasiert sind, erhalten entweder alle Mitarbeiter diese Berechtigungen oder es entsteht ein neuer Wildwuchs an Berechtigungsrollen. In beiden Fällen lässt sich nach ein paar Jahren nur schwer ohne größeren Aufwand ermitteln, wer im System welche Zugriffsberechtigungen hat und warum diese zugewiesen sind.

Ein klassisches Beispiel für den Wildwuchs an Berechtigungen stellen oftmals die Auszubildenden dar. Im Laufe ihrer Ausbildungszeit durchlaufen sie verschiedenste Abteilungen und erhalten jeweils die Berechtigungen aus der neuen Abteilung – die alten Berechtigungen bleiben aber meist bestehen, weil noch einzelne Tätigkeiten aus dem alten Bereich abgeschlossen werden sollen. Im Laufe der Zeit entstehen dadurch Berechtigungsgebilde, die oftmals umfassender als bei einem  IT-Administrator sind. Von einer Vergabe der Berechtigungen nach dem Minimalprinzip kann daher keine Rede mehr sein.

Oftmals hilft es dann nur, das Berechtigungskonzept neu aufzusetzen. Dies ist mit einem großen Aufwand verbunden, bietet aber die Chance bei den Berechtigungen einen „reinen Tisch” zu machen und ein SICHERES Berechtigungskonzept zu erstellen. In einem ersten Schritt müssen Arbeitsplätze definiert werden. Hierzu zählen z.B. Kreditorenbuchhalter, Debitorenbuchhalter, Anlagenbuchhalter, Bankbuchhalter oder Lagerist. Für jeden einzelnen Arbeitsplatz muss geklärt werden, welche Berechtigungen der Mitarbeiter tatsächlich benötigt. Je nach den Möglichkeiten des ERP-Systems werden anschließend die Einzelberechtigungen in Rollen oder Sammelrollen so zusammengefasst, dass sie möglichst übergreifend genutzt und modular ausgewählt werden können. Im Idealfall hat jeder Arbeitsplatz nur eine Sammelrolle, welche aus den Einzelrollen besteht. Alternativ ist im Berechtigungskonzept festzulegen, welche Rollen für die Arbeitsplätze zusammen zu vergeben sind. Hierdurch lässt sich sicherstellen, dass es zu keinen Berechtigungskombinationen kommt, die dem Mitarbeiter kritische Berechtigungskombinationen geben. Dies dient sowohl dem Schutz des Mitarbeiters als auch des Unternehmens, da viele Prozesse ausschließlich innerhalb der IT-Systeme stattfinden und ein Internes Kontrollsystem (IKS) außerhalb des IT-Systems nicht ausreichend wirksam ist.

Bei der Beantragung von Berechtigungen für ihre Mitarbeiter können sich die Vorgesetzten sicher sein, dass die Arbeitsplatzrollen bedenkenlos zugeordnet werden können. Da natürlich auch dieses Berechtigungskonzept leben wird, sind Änderungen durch ein geregeltes Änderungsverfahren (Change Management) umzusetzen und die Interne Revision bzw. eine Externe IT-Revision als Kontrollinstanz einzubinden.