Die Digitalisierung und neue Technologien fordern in vielen Bereichen ein Umdenken beim Umgang mit IT. Der Schutz von Daten und Informationen über Berechtigungskonzepte ist dabei besonders wichtig!

Technologische Veränderungen wirken sich deutlich auf die IT-Landschaften von Unternehmen aller Branchen und Unternehmensgrössen aus. Cloud-Lösungen sind längst kein No-Go mehr, durch Analytics, AI und RPA ergeben sich neue Möglichkeiten und transaktionale und analytische Systeme verschmelzen zusehends. Der Schutz von Daten und Informationen ist dabei wichtiger denn je. Es gilt, sensible Daten, Assets, Know-how und IP zu schützen, indem Datenzugriffe über Berechtigungskonzepte gesteuert und überwacht werden. Anforderungen ergeben sich aus Gesetzen wie dem Bundesdatenschutzgesetz oder der EU-Datenschutz-Grundverordnung sowie regulatorischen Anforderungen, z. B. durch die BaFin, und internen Regelungen der Unternehmen.

Analytische Systeme gewinnen an Bedeutung

Unsere Erfahrung zeigt, dass Unternehmen dabei oft einzelne Anwendungen oder Systeme isoliert betrachten. Dabei erhöhen die unterschiedlichen Berechtigungskonzepte und -prozesse den Aufwand für Administratoren und Anwender und erschweren Transparenz über vergebene Berechtigungen und damit verbundene Risiken. Ausserdem fokussieren sich Unternehmen vor allem auf die transaktionalen Systeme, wie klassische ERP-Anwendungen.

Dabei werden immer mehr Daten in analytische Systeme übertragen, ausgewertet und für die Unternehmenssteuerung sowie strategische Entscheidungen verwendet. Beispiel hierfür sind moderne Enterprise-Performance-Management-Plattformen (EPM) mit Komponenten für BI, Analytics und/oder Planung, die Daten aus verschiedensten Quellsystemen bearbeiten. Big-Data-Anwendungen oder Data Lakes konsolidieren grosse Mengen strukturierter und unstrukturierter Daten.

Abschaffen von Silos als Schlüssel zum Erfolg

Aber wie stellen Unternehmen sicher, dass alle Daten ausreichend geschützt und interne wie externe Anforderungen eingehalten werden? Wie können Berechtigungen einfach verwaltet und vergeben werden? Wie ist klar ersichtlich, wer welche Berechtigungen benötigt und welche Risiken sich daraus ergeben? Die Antworten hierfür liegen in den folgenden drei Prinzipien:

  1. Kein Silodenken! Keine abweichenden Vorgaben, Rollenkonzepte und Prozesse für einzelne Anwendungen oder organisatorische Einheiten.
  2. Fokus auf die Risiken! Wo kein Risiko, keine Einschränkungen.
  3. Effizienz und Schnelligkeit! Automatisierung bei Analyse, Erstellung und Administration von Berechtigungen.

Unser Ansatz für ein anwendungsübergreifendes Berechtigungsmanagement berücksichtigt u. a. die folgenden Fragestellungen:

  • Sind zentrale Anforderungen und Vorgaben für das Rollenkonzept, wie z. B. zu kritischen Berechtigungen, oder Vorgaben zur Rollenarchitektur definiert?
  • Wie integriert sich das Berechtigungsmanagement in das bestehende interne Kontrollsystem und Identity & Access Management?
  • Wurde festgelegt, welche Systeme integriert werden, und wie erfolgt eine Priorisierung und Risikobewertung der relevanten Systeme?
  • Wurden alle notwendigen Rollen und Verantwortlichkeiten festgelegt?
  • Wie können anwendungsübergreifend Berechtigungsrollen oder Arbeitsplätze definiert werden, die sich an der Aufbau- und Ablauforganisation orientieren?
  • Welche bestehenden Rollenkonzepte und Prozesse können wie als „Bausteine“ ins übergeordnete Konzept übernommen werden?
  • Wo können Tools im Projekt und späteren Betrieb unterstützen?

Fazit

Ein anwendungsübergreifendes Berechtigungsmanagement schafft Synergien und erhöht Transparenz über mögliche Risiken. Zentrale Vorgaben erhöhen Effizienz und Effektivität durch einheitliche Konzepte, Prozesse und Tools. Auch bei zukünftigen Veränderungen der Organisation oder Systemlandschaft bleibt das Konzept flexibel, sicher und administrierbar!