Bei Industrie 4.0 kommt die Sicherheit schnell unter die Räder

Im Falle des Anlagenbauers kam diese Kombination an Berechtigungen durch ein historisch gewachsenes Berechtigungskonzept zustande, in dem Rollen immer weitervererbt und mit zusätzlichen Transaktionen angereichert wurden.

Leider ist diese Vorgehensweise bei vielen Unternehmen auch heute noch gängige Praxis und macht es Mitarbeitern einfach, sich auf Kosten der eigenen Firma zu bereichern.

Dem wirkt ein gutes SAP-Berechtigungsmanagement entgegen. Es reduziert die Gefahr, dass es zu unberechtigten Zugriffen auf kritische Daten in SAP-Systemen kommen kann.

Wesentlich für den Datenschutz in Unternehmen und Organisationen ist ein auf dem neuesten Stand befindliches Berechtigungskonzept. Es belegt, wer in der Firma auf welche Daten Zugriff hat.

Ein ausgefeiltes Berechtigungskonzept berücksichtigt auch Mitarbeiter-Vertretungen bei Krankheit und Urlaub. Es berücksichtigt den Wechsel von Mitarbeitern in andere Abteilungen – oder ihren Weggang. Neue Nutzer werden automatisch in das Berechtigungskonzept integriert.

Aber eine andere Entwicklung macht mir viel größere Sorgen. Neue IT-Trends wie mobile Endgeräte und damit verbundene Anwendungen konterkarieren in Unternehmen das Thema Sicherheit – und zwar von Grund auf.

Dabei spiele ich vor allem auf direkte Vernetzungen auf Geräteebene durch IoT und Industrie 4.0 an. Das muss man sich mal vorstellen: Plötzlich erhalten selbst Geräte Zugriffsrechte auf personenbezogene Daten und verarbeiten diese automatisiert.

Alle reden zwar von Industrie 4.0 – und jeder will noch schnell auf den fahrenden Zug aufspringen. Das Thema Sicherheit kann dabei aber schnell unter die Räder kommen.

Bei der IT-Sicherheit kommt es zudem immer öfter darauf an zu prüfen, ob Mitarbeiter ihre Berechtigungen wirklich sachgerecht einsetzen und nicht missbrauchen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) thematisiert das Thema SAP-Rollen- und -Berechtigungskonzepte in seinem IT-Grundschutzkatalog, dessen Lektüre ich jedem IT-Leiter nur ans Herz legen kann.

Hier wird ausdrücklich auf die Notwendigkeit einer besonders sorgfältigen Vergabe von kritischen Berechtigungen sowie der regelmäßigen Überprüfung des bestehenden Rollen- und Berechtigungskonzeptes hingewiesen.

Doch wie lässt sich dies im Unternehmensalltag möglichst einfach umsetzen? Und was ist mit kritischen Berechtigungskombinationen, also mit zwei Berechtigungen, die erst zusammen vergeben kritisch werden?

Das A und O ist hier ein durchdachtes Berechtigungskonzept. Hier sollte jeder CEO von Beginn an darauf achten, dass durch die Kombination von Berechtigungen keine Risiken entstehen.

Sensible Berechtigungen sollten nur bei absoluter Notwendigkeit vergeben werden. SAP-Anwender können sich hier am DSAG-Prüfleitfaden orientieren. Ein internes Kontrollsystem (IKS) ist ebenfalls von Vorteil.

Änderungen lassen sich z. B. automatisch lückenlos und nachvollziehbar dokumentieren, sofern man das SAP-Berechtigungswesen mit Funktionen oder Tools von Drittanbietern komplettiert.

Im Idealfall sollte man die Auswirkungen der Vergabe neuer Berechtigungen bereits im Vorfeld der Produktivsetzung simulieren können. Nur so können typische Konflikte rechtzeitig und automatisch erkannt und gebannt werden.

Ferner lassen sich auf diese Weise alle Rollen und Berechtigungen periodisch oder anlassbezogen ohne großen Aufwand prüfen. Und noch eine Sache liegt mir am Herzen: Ihr Unternehmen profitiert zusätzlich, wenn Sie bei der Umsetzung neuer Compliance-Anforderungen an Ihr Berechtigungsmanagement auch die Folgen von Datenabflüssen neu bewerten.

Denn diese verursachen immer höhere Kosten, wie die 11. aktuelle Data Breach Study von Ponemon belegt. Danach sind die Gesamtkosten für Datenmissbrauch in Unternehmen von zwölf Industrieländern von 3,8 auf 4 Millionen Dollar angestiegen.

Ob das Berechtigungskonzept Ihres Unternehmens diesen vielen Bedrohungslagen standhält, sollten Sie besser heute als morgen unter die Lupe nehmen.