Vom Controlling bis zur Verwaltung: ERP-Systeme (Enterprise Resource Planing) kommen in allen Unternehmensbereichen zum Einsatz. Herzstück solcher Geschäftsressourcenplanungen sind die einzelnen Rollen und Zugriffsberichtigungen, die Mitarbeitern zugewiesen werden und mit denen sich Prozesse und Arbeitsabläufe sicher und transparent gestalten lassen.
Gerade während der Corona-Krise gewinnen solche Systeme an Bedeutung – Mitarbeiter greifen nun vermehrt aus dem Homeoffice auf Daten und Prozesse zu. Viele Unternehmen schöpfen dieses Potenzial aber wegen eines unstrukturierten Berechtigungsmanagements nicht aus. Um Ordnung ins Chaos zu bringen ist eine sorgfältige Überprüfung der Rollen und Berechtigungen notwendig. Mit manuellem Arbeitsaufwand ist dies kaum zu leisten, dank intelligenter Softwaretools aber lässt sich das Problem schnell und nachhaltig lösen.
Für Unternehmen und Mitarbeiter bedeutet das Berechtigungsmanagement in ERP-Systemen ein hohes Maß an Klarheit und Sicherheit – wenn es strukturiert und richtig zum Einsatz kommt. Denn dank der Definition und Zuweisung der einzelnen Rollen und Berechtigungen können beispielsweise Zugriffsbefugnisse sowohl formal vergeben als auch fest in die Arbeitsprozesse implementiert werden. Im Arbeitsalltag aber zeigt sich, dass dieses Berechtigungsmanagement in vielen Unternehmen noch sehr unorganisiert gehandhabt wird. Dadurch verhindern sie nicht nur effizienteres Arbeiten, sondern schaffen mitunter gravierende Sicherheitsprobleme.
An Brisanz gewinnt das Problem auch durch die pandemiebedingte Arbeit im Homeoffice. Denn bei der Öffnung interner Systeme für Fernzugriffe sollten sämtliche Berechtigungen korrekt und konsistent sein. Nur so lassen sich unbefugte Zugriffe auf kritische Informationen ausschließen und Fehler aufgrund der Intransparenz eines mangelhaft gepflegten Berechtigungskonzeptes vermeiden. Zusätzlich ist zu beachten, dass einzelne Mitarbeiter zeitweise gar nicht oder weniger arbeiten, da sie in Kurzarbeit sind oder Urlaubstage für die Betreuung ihrer Kinder nutzen. Damit das Tagesgeschäft im Unternehmen aber ohne Einschränkungen weiterlaufen kann, übernehmen dann Kollegen ihre Aufgaben. Das SAP-Berechtigungsmanagement muss für Krisenzeiten also angepasst werden.
Mangelhaftes Konzept verursacht Sicherheitsprobleme und unnötige Kosten
Allein in SAP gibt es ca. 150.000 Transaktionen, die einzelnen Nutzern, Nutzgruppen, Rollen oder auch Sammelrollen zugewiesen werden können. Die Praxis zeigt, dass regelmäßig neue Nutzer, Rollen und Berechtigungen hinzugefügt werden – auch in Krisenzeiten wie der Corona-Pandemie, wenn Mitarbeiter über einen längeren Zeitraum teilweise oder ganz ausfallen und andere ihre Aufgaben übernehmen. Bestehende Rollen und Berechtigungen werden aber selten überprüft, und allenfalls dann reduziert, wenn ein Mitarbeiter das Unternehmen verlässt. Dabei braucht ein Mitarbeiter gewisse Berechtigungen manchmal eben nur übergangsweise, um zum Beispiel einen Kollegen zu vertreten.
Überraschend ist das nicht, denn in Systemen, die teils zehn oder fünfzehn Jahre gewachsen sind, wäre die Überprüfung sämtlicher Berechtigungen auf herkömmlichem Wege eine kaum zu bewältigende Herkulesaufgabe – zumal in vielen Unternehmen bisher noch nicht einmal ein so genanntes Tracing eingesetzt wird, mit dem nachverfolgt werden kann, welcher Nutzer welche Berechtigungen wie häufig nutzt. Gleichzeitig sind aber die Sicherheitsprobleme, die durch mangelhafte Berechtigungskonzepte entstehen können, kaum zu überschätzen. Da ist der Einkaufsmitarbeiter, der in die Buchhaltung wechselt, sich im Anschluss selbst als Lieferanten registriert und dann quasi seine eigenen Rechnungen bezahlt, noch ein minder schwerer Fall.
Darüber hinaus kann das Berechtigungschaos auch zu erhöhten Kosten führen, wenn etwa Lizenzen für Nutzer bezahlt werden, die die entsprechenden Programme weder brauchen noch damit arbeiten. Und schließlich gewinnt das Thema Berechtigungskonzept auch bei der Wirtschaftsprüfung mehr und mehr an Bedeutung. Höchste Zeit also, das eigene Berechtigungskonzept mal gründlich aufzuräumen. Die gute Nachricht ist, dass es neue intelligente Lösungen gibt, um auch unübersichtliche Berechtigungssituationen wieder in den Griff zu bekommen.
Tracing verfolgt Nutzung einzelner Berechtigung nach
Um festzustellen, welche Nutzer welche Berechtigungen, Rollen und Inhalte wie häufig nutzen, sollte zunächst ein Zugriffs-Tracing implementiert werden. Hier werden alle Aktionen und Zugriffe aufgezeichnet. Nachdem dieses Tracing etwa ein halbes oder ein Jahr aktiv war, liefert es eine gute Datenbasis zur Überprüfung der tatsächlich benötigten Berechtigungen und Rollen.
Intelligente neue Software-Lösungen checken auf der Grundlage der Tracing-Daten sämtliche Aktionen automatisch und leiten daraus sinnvolle Empfehlungen zum Entzug gewisser Rollen ab. Alle Rollen, die im Tracing-Zeitraum nicht genutzt wurden, werden aber nicht etwa automatisch entzogen, sondern den verantwortlichen Mitarbeitern zur Überprüfung angezeigt. Dasselbe gilt für Rollen-Konstellationen, die inkonsistent erscheinen – etwa parallele Rechte für Einkauf und Buchhaltung. Auch sie werden zur Prüfung vorgeschlagen. Der große Vorteil ist, dass nicht alle existierenden Berechtigungen gecheckt werden müssen, sondern nur die, die wirklich nicht benötigt wurden. Gleichzeitig schließen die persönliche Prüfung und Entscheidung aus, dass Berechtigungen versehentlich entzogen werden. Schließlich kann es gute Gründe dafür geben, dass bestimmte Zugriffsrechte in einem Zeitraum nicht genutzt wurden – während pandemiebedingter Kurzarbeit zum Beispiel.
Fazit
Das Berechtigungsmanagement transparent, widerspruchsfrei und qualitativ zu gestalten ist gerade in der pandemiebedingten Umstrukturierung der Arbeitssituation unverzichtbar. Denn Unternehmen können mit einem gut funktionierenden ERP-System Kosten sparen und eine hohe Sicherheit ihrer Daten und Prozesse gewährleisten. Die Neugestaltung bestehender Systeme bedeutete bislang jedoch einen enormen Arbeitsaufwand und war kaum zu leisten. Dank neuer Softwarelösungen können nun aber sämtliche Berechtigungen automatisch gescannt und auf ihre Konsistenz überprüft werden. Das vereinfacht die Kontrolle und Änderung der einzelnen Rollen erheblich und hilft dabei, das Potenzial des Berechtigungsmanagements voll auszuschöpfen.
Philipp Latini, Geschäftsführer SIVIS GmbH
www.sivis.com