Die Standardsituation: ein Bewerber mit beeindruckendem Lebenslauf, positive Gespräche – der richtige Kandidat für diese Position. Mit der Einstellung erhält der Neue weitreichende Zugriffsrechte auf die Firmendaten und -systeme. Ohne einen Vertrauenszuschuss in die Person wäre die Zusammenarbeit zwar nicht zustande gekommen, dennoch bleibt immer ein Restrisiko des Missbrauchs durch Mitarbeiter. Firmen schwanken hier zwischen hohen Sicherheitsanforderungen und praktikablen Lösungen. „Dieses Problem wird oft an uns heran getragen“, sagt Bianca Folkerts, Associate Partnerin bei ConVista Consulting. „Der richtige Ansatz ist ein ausgefeiltes Access Control Management, das Mitarbeiter auch vor unbeabsichtigten Fehlern schützt.“
Die Expertin für Compliance Management weiß: „Es muss nicht immer eine kriminelle Absicht hinter einem Datenmissbrauch stecken. Oft schöpfen Nutzer schlicht die Möglichkeiten aus, die ein System bietet oder verwechseln Test mit Produktivsystem.“ Wenn Berechtigungsprozesse optimal angepasst sind, werden diese Lücken automatisch geschlossen. „Unternehmen schützen auf diese Weise nicht nur ihre Daten, sondern schaffen gleichzeitig die Basis für eine vertrauensvolle Zusammenarbeit – ohne ihre Mitarbeiter in komplizierte Dos-and-Don’ts-Listen einführen zu müssen“, so Folkerts weiter.
Risiko analysieren und effizient verwalten
Die Vorteile eines professionell eingeführten Access Control kommen auch dann zum Tragen, wenn Mitarbeiter intern wechseln oder neue Funktionen übernehmen. So erlaubt eine im Benutzer-Änderungsprozess integrierte Risiko-Analyse, schon während des Änderungsprozesses eventuell entstehende Risiken in den Zugriffen zu simulieren. Damit ist es möglich, präventiv zu reagieren, bevor der Benutzer vielleicht zu viele Berechtigungen erhält, oder zu dokumentieren, dass die richtige Stelle im Haus die vorhandenen Risiken wahrgenommen und kontrolliert. Außerdem ist es bei diesem automatisierten Benutzerantragsprozess nicht mehr nötig, Änderungen von Hand einzugeben. Sie werden vielmehr vom System effizient verwaltet und geprüft. Statt also laufend Rollen manuell zu vergeben kann die IT sich voll auf das Thema Sicherheit konzentrieren.
Alles möglich: SAP oder heterogene Systemlandschaft
Eine der meist genutzten Standardlösungen ist SAP BusinessObjects Access Control, auf die Folkerts spezialisiert ist. Diese Anwendung bietet insbesondere Unternehmen, die bereits die Produktwelt des Walldorfer Softwarehauses nutzen, beste Möglichkeiten, sich umfassend und automatisiert zu schützen. Liegt eine heterogene Systemlandschaft vor, profitieren Kunden bei einer Implementierung von der weitrechende Expertise des internationalen Beratungshauses ConVista bei Non-SAP-Systemen und Schnittstellen zu anderen SAP-Modulen. Ebenso entscheidend für die erfolgreiche Beratung und Einführung neuer Systeme ist die weitreichende Kenntnis verschiedener Branchen, darunter Versicherungs- und Energiewirtschaft, Telekommunikation und Einzelhandel.
IT-Verantwortlichen, die jetzt eine Anpassung ihrer Sicherheitssystem planen, rät Folkerts: „Sicherheit ist immer eine Vertrauensfrage und die Implementierung von Zugangs- und Berechtigungskontrollen zieht bisweilen umwälzende interne Prozesse mit sich. Wichtig sind daher Partner, die zuhören, offen kommunizieren und lösungsorientiert denken. Dann ist auch gewährleistet, dass das Optimum für die jeweiligen speziellen Anforderungen erreicht wird.“