Doch ist so etwas nur in den USA möglich?
Unwahrscheinlich. Laut dem Statistischen Bundesamt weisen circa 10 Prozent aller deutschen Unternehmen eklatante Sicherheitsmängel bei ihren IT-Systemen auf.
Die vernetze Welt macht das Leben und die Arbeit schneller und effizienter. Menschen kommunizieren längst nicht mehr nur mit ihrer direkten Umwelt, sondern chatten, mailen und twittern rund um den Globus. Die Möglichkeiten, die sich daraus für Geschäftsprozesse ergeben, sind enorm.
Zeitgleich steigen in dieser neuen Arbeitswelt aber auch die Risiken exponentiell und rasant an. Im täglichen Geschäft greift man längst nicht mehr nur auf Daten des eigenen Netzwerkes zu. Nutzer erhalten mittlerweile auch Inhalte, die sich auf Rechnern rund um den Globus befinden. Jeder kann sich – mit mehr oder weniger hohem Aufwand – wichtige und womöglich geschäftsentscheidende Daten aus jedem Winkel der Welt beschaffen, solange sie nur in digitaler Form vorliegen und auf einem Server abgespeichert wurden.
Trauriger Spitzenreiter ist dabei der Datenklau durch Mitarbeiter eines Unternehmens. Zugänge sind hier meist leicht zu beschaffen. Insbesondere mit Anzeige-Berechtigungen innerhalb eines SAP-Systems wird oft sehr sorglos umgegangen: „Kreditoren anzeigen das ist doch nur eine Anzeige-Berechtigung.“ Solche oder ähnliche Aussagen hören IT-Berater bei ihren Kunden häufig. „SE16 – ist doch nur eine Tabellenanzeige“. Welche Berechtigungen benötigte der Bankmitarbeiter damals wohl, um eine CD mit Kundendaten zu erstellen?
Compliance Management bedeutet nicht nur, vier-Augen-Prinzipien einzuhalten. Es impliziert auch, den für ein Unternehmen so elementaren Datenschutz zu berücksichtigen. Sowohl die Überwachung der Gewaltentrennung als auch die Kontrolle kritischer Anzeige-Berechtigungen lässt sich in heutigen SAP-Systemen kaum noch manuell erreichen. Um hier noch den Überblick zu behalten, sind unterstützende Reports, Tools und Prozesse essentiell. Denn nicht der bloße Besitz eines Compliance-Produktes steigert die Sicherheit, sondern dessen effiziente Nutzung.
Und genau in dieser richtigen Nutzung der Software liegt der Schlüssel zur fachgemäßen Datensicherung verborgen. Wichtig ist dabei vor allem, das Produkt so einzusetzen, dass es Mitarbeiterinnen und Mitarbeiter so kurz wie möglich von ihrer eigentlichen Tätigkeit abhält. Prozesse so zu implementieren, dass sie leicht in die täglichen Geschäftsprozesse integriert und intuitiv bedient werden können ist dabei der entscheidende Faktor. Nur dann ist der Einsatz eines Compliance Produktes wirklich effizient und minimiert dadurch die Unternehmensrisiken.
Die Berater der ConVista haben sich auf die SAP BusinessObjects-Lösung „GRC Access Control“ spezialisiert. Diese Lösung kombinieren sie mit passenden Berechtigungskonzepten und/oder deren Neugestaltung. In der Projektpraxis hat sich dabei herausgestellt, dass in der Mehrzahl der Fälle ein Redesign der alten Berechtigungsprofile notwendig ist, bevor die GRC Access Control-Lösung implementiert werden kann. Zum Ende des vergangenen Jahres hat das Team begonnen, einen Ramp Up der neuen Version des SAP GRC mit den Themen Access Control, Process Control und Identity Management zu starten. Dieser Prozess wird bis Mitte des Jahres 2011 andauern.