Berechtigungsanalyse der IT-Rechte in Verwaltungs- und Geschäftsanwendungen

PrintMailRate-it
Von Hannes Hahn
veröffentlicht am 3. Juni 2013
 
Richtlinien, Geschäftsanweisungen, Geschäftsverteilungspläne und Arbeitsplatzbeschreibungen regeln, was eine Mitarbeiterin bzw. ein Mitarbeiter in einer Verwaltung oder in einem kommunalen Unternehmen darf und was nicht. Ob dies jedoch in der den Verwaltungs- und Geschäftsprozessen zugrundliegenden IT auch so umgesetzt ist, ist eine ganz andere Frage. Eine Berechtigungsanalyse auf IT-Ebene klärt, welchen Zugriff die Mitarbeiter in digitaler Hinsicht haben. Der Artikel zeigt, wie man vorgehen kann.
 
Das jeweilige Berechtigungssystem in Fach-, eGovernmentund doppischen Finanzmanagement- bzw. kaufmännischen ERP-Anwendungen hat die Aufgabe, die fachlichen Rechte auf technischer Ebene so einzuräumen, dass die Anwender ihrer täglichen Aufgaben ohne Hürden nachkommen können. Das Berechtigungssystem stellt aber auch sicher, dass die Anwender gemäß den Verwaltungs- und Unternehmensvorgaben nur auf die für sie relevanten Daten und Funktionen Zugriff haben.
 
Das Berechtigungssystem ist jedoch oftmals historisch gewachsen bzw. unterliegt laufend Veränderungen. Zudem lauert bei Einführung von neuen Anwendungen die Gefahr, dass man zugunsten von Lauffähigkeit und geringer Supportlast die Rechte zu weit vergibt, um Fehler und Prozessstillstand zu vermeiden. Viele Anwender dürfen am Anfang sehr viel, jedoch werden die Rechte im weiteren Verlauf nicht wieder genommen. Ergebnisse unserer IT-Prüfungen zeigen, dass viele Anwender mit sogenannten Admin-Rechten ihrer täglichen Arbeit nachgehen. Diese Konflikte gehören regelmäßig überprüft und beseitigt.
 
Aber auch bei Wachstum oder Veränderungen in der Verwaltungs- und Unternehmensstruktur ist es sinnvoll, ein besonderes Augenmerk auf die Deckungsgleichheit von Rechten der Mitarbeiter/-innen in den Verwaltungs- und Geschäftsprozessen und den Rechten als Anwender im System zu legen.
 
Dazu empfiehlt sich eine regelmäßige Überprüfung des Berechtigungssystems auf IT-technischer Ebene!
 

Gesetzliche Grundlage

Für Kommunen und Unternehmen gilt nicht nur das Eigeninteresse, sich einen Überblick über das bestehende Berechtigungssystem zu verschaffen. Hierzu bestehen auch gesetzliche Pflichten. Das Bilanzrechtsmodernisierungsgesetz (BilMoG) schreibt für Unternehmen eine Stärkung des internen Kontrollsystems (IKS) vor. Neben einem ordnungsgemäßen IKS gehört die Überwachung der vergebenen Berechtigungen sowie die Erfüllung der Anforderungen der Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoB) dazu. Auch bei Kommunen gilt die Erfüllung der Anforderungen an die GoB. So verweisen regelmäßig die landesspezifischen Gemeindeordnungen oder Haushaltskassenverordnungen auf die Einhaltung der GoB (z.B. § 95 Abs. 1 Satz 2 GO NRW) und die Prüfungspflichten bei Einsatz von IT (z. B. § 103 Abs. 1 Satz 6 GO NRW).
 

Rechteexport

Je nach zu prüfendem System müssen die Rechte zunächst ausgelesen werden. Dies ist in Abhängigkeit des Systems manchmal einfach und manchmal ist es komplex. So werden z.B. die Rechte in Microsoft Dynamics AX erst zu Laufzeit über den Kernel des Systems aufgebaut und dem Anwender wird der Zugriff erlaubt oder verwehrt. Man findet in AX keine Tabelle, die die Rechtevergabe abschließend vorhält und welche man „nur” auslesen muss, um sie prüfen zu können. Dagegen sind die Rechte in Microsoft Navision (die Basis der Anwendungen von Infoma und MPS) in einzelnen Tabellen abgelegt, die relativ aufwandsarm extrahiert werden können.
 
Rödl & Partner hat als Microsoft-Partner eine Routine entwickelt, diese Rechte z.B. aus AX auszulesen. Ähnliche Routinen liegen auch für andere Systeme wie Microsoft Navision, SAP oder dem Microsoft Active-Directory vor.
 

Auflösung von Berechtigungsgruppen

In der Regel werden in den IT-Systemen Rechte nicht direkt an einzelne Anwender vergeben, sondern über Berechtigungsgruppen organisiert. In diesen Berechtigungsgruppen werden die einzelnen Rechte verankert (z.B. in einem ERP-System die Leserecht für Sachkonten, Schreibrechte für Rechnungen, etc.) und den einzelnen Anwendern über Mitgliedschaft zugewiesen. 
 
Durch diesen Sachverhalt können im Verlauf der Zeit eine Vielzahl von Berechtigungsgruppen unterschiedlichsten Zuschnitts entstehen. Manche Gruppen werden ordnungsgemäß funktional entwickelt. Manche Gruppen werden der Einfachheit halber anwenderspezifisch eingerichtet. Dies kann zu einem sehr unsystematischen Verbund verschiedener Berechtigungsgruppen und zu einem Chaos auf Anwenderebene führen. 
 
Die Gefahr besteht, dass der Überblick über die Rechte in den Gruppen verloren geht. Dies führt zu nicht gewollten Rechte- Kombinationen bei den Anwendern, wenn diese Mitglied in mehreren Gruppen sind. Daher ist es notwendig, dass die Rechte aus den Gruppen pro Anwender verschnitten und analysiert werden. 
 
Die anwenderbezogene Analyse dieser Rechtevergabe ist oftmals im System sehr umständlich und wird daher nur selten bis gar nicht gemacht. Durch die von uns entwickelte Routine ist diese Analyse aufwandsärmer umzusetzen.
 

Analysemethode

Nachdem die Rechte ausgelesen wurden, werden verschiedene Analysen vorgenommen. Wir unterscheiden in Mengenanalysen und Konfliktanalysen. Die Mengenanalyse zeigt auf, wer als Anwender in bestimmten Bereichen Rechte hat. Oftmals ist die Vergabe solcher Rechte richtig und notwendig. Es gilt nur zu fragen, ob die Rechtevergabe mit der Rolle des Anwenders in der Verwaltung bzw. im Unternehmen in Einklang steht. Nicht selten haben Anwender den Aufgabenbereich gewechselt, aber die Rechte behalten. Zu den Mengenanalysen gehören z. B.:
  • Wer hat systemnahe Berechtigungen?
  • Wer hat Customizing-Rechte?
  • Wer hat Berechtigungen rund um das Jobsystem/Hintergrundverarbeitung?
  • Wer hat Berechtigungen rund um das Schnittstellensystem?
  • Wer hat Berechtigungen rund um die Berechtigungsgruppenverwaltung und die Pflege der Anwender?
  • Wer hat Berechtigungen von besonderem Umfang (wie bei Key-Usern üblich)?

 

 
Diese Mengenanalyse dient als Basis für einen Abgleich mit der in der Verwaltung bzw. im Unternehmen definierten Funktionstrennung. Das Ergebnis der Analyse wird mit dem Organigramm bzw. den Organisationsrichtlinien verglichen.
 
Danach werden Konflikte innerhalb der Rechtevergabe analysiert. Bei der Konfliktanalyse wird davon ausgegangen, dass bestimmte Rechte mit anderen Rechten im System nicht vereinbar sind. Um eine wirksame Trennung von Funktionen (Vier-Augen- Prinzip) in der Verwaltung bzw. im Unternehmen umsetzen zu können, muss diese auch innerhalb des Berechtigungssystems der Anwendungen umgesetzt sein.
 

 

Unsere Analysemethode innerhalb der entwickelten Routine kennt einen „Basisumfang” an zu analysierenden Konflikten. Zu diesen gehört z.B. in Finanzmanagementverfahren der Kommunen oder ERP-Systemen bei kommunalen Unternehmen:
  • Pflege der Kreditorenbankdaten getrennt von der Kreditorenstammpflege und Erfassung/Bearbeitung der Eingangsrechnungen
  • Erfassung/Bearbeitung von Bestellungen (Einkauf) getrennt von der Erfassung/Bearbeitung der Eingangsrechnungen
  • Pflege der Sachkontenbuchungen getrennt von der Buchungserfassung im Hauptbuch, etc.

 

 
Dieser Basisumfang kann und sollte um für die Kommunen oder die Unternehmen spezifische interne Kontrollen und Funktionstrennungen angereichert werden. Diese Methode der Konfliktanalyse setzt eine genaue Kenntnis des Rechtesystems voraus, um die gewünschte Funktionstrennung im System analysieren zu können. Über die regelmäßige IT-Prüfung bei unseren Mandanten hat Rödl & Partner viele Anwendungssysteme analysiert und diese der Routinenentwicklung zugeführt.
 

Handlungsbedarf

Das Analyseergebnis dient als Ausgangsgrundlage für die Ableitung des Handlungsbedarfs. Wir kennen drei Stufen: In einer ersten Stufe müssen den Anwendern kurzfristig die Rechte entzogen werden, die definitiv nicht zum Modell einer ordnungsgemäßen Funktionstrennung passen. Dazu zählen z.B. Entwicklerrechte für die Geschäftsleitung oder Admin-Rechte auf Sachbearbeitungsebene. 
 
In einer weiteren Stufe muss geklärt werden, wie mit Rechtekonflikten umzugehen ist. Dabei kann eine Lösung sein, dass idealerweise der Rechtekonflikt durch Rechteentzug gelöst wird. Es kann aber auch sein, dass die Anwenderrechte so belassen werden und der Konflikt durch eine organisatorische Kontrolle kompensiert wird.
 
In jedem Falle ist in einer dritten Stufe ein Berechtigungskonzept aufzubauen bzw. ein bestehendes anzupassen. Dieses Berechtigungskonzept ist im Idealfall regelmäßig (jährlich) über die obige Analyse zu verifizieren. 
 
 

 

Kontakt

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00

Anfrage senden

Contact Person Picture

Falk Hofmann

ISO/IEC27001/KRITIS -Auditor

Partner

+49 30 810 795 84

Anfrage senden

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu