Die Einführung der Datenschutz-Grundverordnung (DSGVO) hatte erhebliche Auswirkungen auf die Art und Weise, wie Unternehmen im Bereich der Informationstechnologie mit personenbezogenen Daten umzugehen haben. Um den strengen Datenschutzanforderungen zu entsprechen, ist das Compliance Management seit der Einführung zu einem zentralen Thema für Unternehmen geworden.
 
Unter Compliance Management versteht man die systematische Strategie von Unternehmen, welche die Einhaltung aller Gesetze und Regularien, denen sie unterliegen, sicherstellen soll.

In den Letzten Jahren konnte man eine stetige Entwicklung in Richtung größerer Komplexität in Gesetzten und Vorschriften beobachten. Dies erhöht das Risiko für Strafen und Sanktionen für Unternehmen, die kein oder nur ein undurchdachtes Compliance Management betreiben.

Um ein erfolgreiches Compliance Management zu gewährleisten, ist eine systematische Herangehensweise und Implementierung von bestimmten Methoden unausweichlich.

Eine Antwort auf diese Herausforderung könnte die Nutzung technologischer Unterstützung bieten. Durch die Einführung von Software-Tools wie der OX GRC-Suite können Unternehmen die Herausforderungen der komplexen Compliance-Verwaltung reduzieren und ihre Aufmerksamkeit verstärkt auf die wesentlichen Aspekte ihrer Unternehmung lenken.

User Management und Workplace Management

Die Komponenten User Management und Workplace Management der OX GRC-Suite bieten die Möglichkeit, den administrativen Aufwand in der Benutzer- und Berechtigungsverwaltung eines Unternehmens drastisch zu reduzieren und gleichzeitig das wichtige Prinzip der minimalen Berechtigungsvergabe umzusetzen. Dieses Prinzip ist von großer Bedeutung im Kontext der Compliance Anforderungen für Unternehmen, da überflüssige Berechtigungen eines Benutzers in einem SAP-System oftmals den unbefugten Zugriff auf sensible Daten ermöglichen.

Die Berechtigungsvergabe erfolgt durch die Zuordnung eines Benutzers, über das User Management, zu einem Arbeitsplatz. Den Arbeitsplätzen werden im Workplace Management Rollen zugeordnet, welche die zugeordneten Benutzer erben.

Ein Arbeitsplatz ist für bestimmte Aufgaben im System zuständig und die zugeordneten Mitarbeiter erhalten lediglich die Berechtigungen, welche zur Erfüllung der Aufgabe erforderlich sind.

Welche Probleme bei Verzicht auf die Berechtigungsvergabe mithilfe eines solchen Konzepts entstehen, wird im späteren Praxisbeispiel erläutert.

Rulebook Editor und Compliance Engine

Die in der OX GRC-Suite enthaltene Compliance Engine besitzt einen besonders hohen Stellenwert bei der Einhaltung gesetzlicher Vorgaben in Bezug auf das Risikomanagement und den Umgang mit sensiblen Daten. Um der Datenschutz-Grundverordnung (DSGVO) und weiteren externen Vorschriften gerecht zu werden, ist daher eine noch strengere und präzisere Vergabe von Berechtigungen, an die Anwender in einem SAP-System, erforderlich.

Da ein Anwender in einem SAP-System oftmals eine große Anzahl an Berechtigungen besitzt, ist es für den Administrator schwierig einen Überblick darüber zu behalten, ob kritische Berechtigungen vergeben sind und damit einhergehend ein Sicherheitsrisiko auftreten kann.

Mithilfe des Rulebook Editors und der Compliance Engine lässt sich die Sicherheit eines SAP-Systems und der sensiblen Daten deutlich erhöhen.

Während man im Rulebook Editor kritische Berechtigungskombinationen in Form von Regeln verfasst, hat man in der Compliance Engine die Möglichkeit verschiedene Objekte auf die zuvor verfassten Regeln zu prüfen. Dabei können diese Objekte Arbeitsplätze, Rollen oder Benutzer sein. Sobald ein Verstoß gegen eine Regel vorliegt, kann man mithilfe des Reportings einsehen, welches Objekt den Verstoß gegen welche Regel ausgelöst hat.

Praxisbeispiel

Ein praxisorientiertes Beispiel lässt sich durch einen Mitarbeiter eines Unternehmens darstellen, der schon seit langer Zeit in dem Unternehmen tätig ist. Für seine Aufgaben hat der Mitarbeiter in seiner Laufbahn eine große Anzahl an Berechtigungen gesammelt.

Da das Unternehmen auf ein Tool wie die OX GRC-Suite verzichtet hat, erfolgte eine additive Berechtigungsvergabe. Dem Mitarbeiter wurden Berechtigungen für Bereiche, in denen er früher tätig war, nicht entzogen und besitzt nun überflüssige und somit oftmals sicherheitskritische Berechtigungswerte.

Der Administrator kann nun mithilfe der Compliance Engine die Berechtigungen der Mitarbeiter gegen die definierten Regeln prüfen und bekommt so die Auskunft, ob die Berechtigungsvergabe kritische Werte enthält.

Darüber hinaus kann dieses Problem von vorne rein vermieden werden, wenn die OX GRC-Suite von Beginn an in ein neues SAP-System implementiert wird und die Berechtigungsvergabe ausschließlich über das enthaltene Workplace Management erfolgt. Die Benutzer besitzen dadurch zu jedem Zeitpunkt nur die Berechtigungen, welche sie zum Erfüllen ihrer Aufgabe benötigen.

Sicherheit im SAP-System mit der OREXES GRC-Suite

Die OX GRC-Suite und ihre Komponenten bilden insgesamt die perfekte Lösung, um externen Vorschriften in Bereichen wie DSGVO, Risikoanalyse (KonTraG), Buchführung (GoB), sowie unternehmenseigenen Vorschriften und vielen weiteren Bereichen gerecht zu werden.

Das Workplace Management und das User Management reduzieren nicht nur den administrativen Aufwand erheblich, sondern realisieren zudem das Prinzip der minimalen Berechtigungsvergabe.

Somit kann in Zusammenspiel mit dem Rulebook Editor und der Compliance Engine die Sicherheit eines SAP-Systems konstant kontrolliert und der vorschriftsgemäße Umgang mit sensiblen Daten im Produktivbetrieb gewährt werden.

Für weitere Information zur OX GRC-Suite und den einzelnen Komponenten besuchen Sie gerne den Blogartikel zur ersten Vorstellung der OX GRC-Suite oder kontaktieren Sie uns direkt, um gemeinsam für Sie und Ihr Projekt die perfekte Lösung zu finden.