Skip to the main content.
Demo <https://www.sivis.com/de/demo>
Demo <https://www.sivis.com/de/demo>

Produkteditionen

SIVIS Enterprise Security ist die ultimative Lösung für schnelles und effektives IAM. Entdecken Sie unsere Editionen und finden Sie die Option, die den Anforderungen Ihres Unternehmens entspricht. 

Mehr erfahren 

Karriere bei der SIVIS

Deine Karriere beginnt hier! Bewirb dich bei der SIVIS und werde Teil eines großartigen Teams.

Stellenangebote

 

Segregation of Duty


Demo vereinbaren

Funktionstrennung zuverlässig gewährleisten

Unter Segregation of Duty (SoD) versteht man eine Kombination von Berechtigungen und Entscheidungsbefugnissen, die innerhalb einer Organisation verhindern, dass zu große Interessenkollisionen entstehen bzw. einzelne Personen unbeaufsichtigt größeren Schaden anzurichten vermögen. Es ist also ein Prinzip der Arbeitsteilung, das vor allem wirtschaftliche Risiken in jedem Geschäftsprozess minimieren soll.

Man spricht auch von Funktionstrennung oder der Vermeidung eines Auditkonflikts; manchmal wird auch der Begriff “Separation of Duties” verwendet.

 

Warum ist Segregation of Duties wichtig?

Ein Funktionstrennungskonflikt kann zum Beispiel entstehen, wenn ein Benutzer in einem SAP-System zu viele Rechte hat – das kommt häufig vor, kann dem Unternehmen aber größere Kosten verursachen.

Ein Beispiel wäre ein Mitarbeiter im Accounting, der sowohl Kunden- und Lieferantendaten verwalten kann als auch die Erstellung und Auszahlung von Rechnungen betreuen kann. Theoretisch hätte dieser Mitarbeiter die Möglichkeit, einen fiktiven Lieferanten anzulegen und ihm Geld für von ihm selbst erstellte Rechnungen anzuweisen.

Um das Risiko dafür zu minimieren, dass dieses Verhalten überhaupt möglich ist, und um schon den Verdacht gar nicht erst aufkommen zu lassen, werden die Aufgaben und Pflichten (Duties), die hier beschrieben sind, auf mehrere Personen verteilt (Segregation). Das Management der Berechtigungen sollte dabei immer so organisiert sein, dass Compliance-Richtlinien eingehalten werden.

Segregation of Duties spielt auch eine Rolle, um zum Beispiel Lagerhaltung, Bestellung und Kontrolle über den Unternehmensbestand (Inventory) von Materialien oder Produkten voneinander zu trennen – auch hier, um Fehler und Missbrauch von zugewiesenen Berechtigungen zu vermeiden.

Systeme wie SAP sichern Kontrolle

In Systemen wie SAP besteht die Möglichkeit, gezielt Berechtigungen zu vergeben (und zu beschränken) und so Funktionstrennungskonflikte weitgehend zu minimieren.

Ein zentrales Prinzip für SoD ist dabei die Rollenbasierte Zugriffskontrolle (Role-Based Access Control oder RBAC), mit der Interessenkonflikte und betrügerisches Vorgehen, vor allem aber auch schlicht Fehler verhindert werden sollen. Ihr Kernprinzip besteht darin, dass bestimmte Änderungen und Maßnahmen die Zustimmung von mehr als einem Benutzer benötigen.

Innerhalb eines IT-Systems lässt sich ein solches Berechtigungsmodell etwa durch ein zentral gepflegtes Identity & Access Management (IAM) umsetzen, pflegen und überwachen.


Ein Audit prüft mögliche Konflikte

In den meisten IT-Systemen sind automatisierte Audits möglich, durch die sich automatisiert erkennen lässt, ob die vergebenen Berechtigungen möglicherweise SoD-Konflikte auslösen. Wenn ein Konflikt erkannt wurde, wird dann in der Regel ein Vorschlag dazu entwickelt, den Konflikt zu beheben.

In der Regel wird der Konflikt gelöst, indem einzelnen Nutzern bestimmte Rechte entzogen werden. Allerdings ist nicht jeder Konflikt für alle Prozesse immer vermeidbar – zum Beispiel lassen sich in sehr kleinen Teams Rollen und damit Aufgaben nur in einem gewissen Maße wirklich aufteilen. Dies wird dann im Sinne der Compliance begründet und protokolliert – und Entscheidungen, die trotz eines bekannten Konflikts getroffen werden, müssen ggf. bei einem Audit gesondert geprüft werden.

Testen Sie unseren Compliance Quick Check!

Mit 515 erprobten Auditabfragen und unserer langjährigen Erfahrung stellen wir zügig fest, ob es Konflikte in Ihrem Berechtigungskonzept gibt und geben sofort Empfehlungen zu ihrer Behebung.

Jetzt den Quick Check anfragen!

orangeArrowDown

Wenn Sie SAP nutzen, besteht die Möglichkeit, die GRC-Lösungen von SAP direkt zu nutzen; GRC steht für “GRC – Governance, Risk & Compliance”. Diese bieten automatische und kontinuierliche Kontrollüberwachung in Echtzeit. Allerdings ist die Einführung sehr aufwändig, komplex und kostenintensiv.


Eine Frage der Compliance

Für die Kontrollen durch Wirtschaftsprüfer, interne und externe Revisionen sind Compliance-Verstöße stets ein wichtiges Thema – und können dann schnell zum Problem werden. Deshalb ist es wichtig, mit geeigneter Software proaktiv durch sinnvolle Aufgabentrennung in Ihrem System sicherzustellen, dass die Einhaltung der bestehenden Compliance-Richtlinien und weiterer Vorschriften garantiert ist.