GRC_ComplianceManagement

Daniel Moos Capgemini

Sicherheitslücken in Unternehmen bieten Angriffsflächen

Governance, Risk &Compliance GRC-Lösungen

ERP-Systeme, SAP

Daniel Moos Capgemini

Governance, Risk &Compliance GRC-Lösungen

ERP-Systeme, SAP

Daniel Moos Lieferanten, Geschäftspartner und Kunden bedingen in global tätigen Unternehmen komplexe Strukturen. Eine intensivere Regulierung, gestiegene Sensibilität der Öffentlichkeit für Unternehmensbelange und mehr interne Unternehmensrichtlinien bringen deshalb den Druck mit sich, sich mit GRC Governance Risk & Compliance auseinanderzusetzen. Ein gutes Risikomanagement beginnt deshalb bereits bei der Identifikation von Schwachstellen. Dafür gibt es unterschiedliche Methoden innerhalb von Governance, Risk & Compliance. In der Aufbau-, Ablauforganisation und in der IT können heutzutage innerhalb weniger Wochen alle GRC-relevanten Unternehmensbereiche auf Schwachstellen untersucht und zu eingetretenen Schadensfällen mögliche Risiken und Lösungen aufgezeigt werden.

In Zeiten, in denen fast jeder Schritt im Unternehmensprozess IT-gestützt ist, bedeutet eine gute Sicherheitsvorsorge, entsprechende Kontrollinstanzen und Abläufe zu implementieren. Neben grundsätzlichen Fragen – wie sieht im Fall der Fälle der Prozess aus, wer darf was entscheiden, welche Richtlinien gibt das Unternehmen und welche das Gesetz vor? – müssen getroffene Entscheidungen zum Beispiel für Haftungsfragen nachvollziehbar sein. Angesichts der hohen Komplexität der Prozesse, der Auslagerung von Services und einem hohen Grad an Digitalisierung wird es für Unternehmen zunehmend schwerer, Schwachstellen völlig auszuschließen – und das trotz interner Revisoren oder Compliance Beauftragter. So finden sich in nahezu jedem Unternehmen entsprechende Schwachstellen, bei denen am häufigsten das Risiko der Datenmanipulation und des Datenverlustes unterschätzt wird.

Risikofaktor Mitarbeiter – viele nehmen

Daten mit

Studien wie die des unabhängigen Forschungsinstituts Ponemon aus dem Jahr 2009 – also vor der Aufregung um Wikileaks - belegen, dass das Unrechtsbewusstsein von Mitarbeitern in punkto „Datenklau“ eher gering ist: Fast die Hälfte der 1.000 Befragten (45 Prozent) deckte sich bei ihrem Ausscheiden aus dem Unternehmen mit Daten ein, mehr als ein Drittel nahm Kundendaten mit (39 Prozent), 35 Prozent andere personenbezogene Daten, 16 Prozent entwendete Finanzdaten. Zwar werden die meisten dieser Fälle nicht aktenkundig und in der Regel nicht einmal bemerkt. Dennoch können sie sehr schädlich sein, etwa wenn der ehemalige Mitarbeiter Kundeninformationen bei seinem neuen Arbeitgeber nutzt.

Beträchtliche Schäden entstehen Unternehmen durch Betrugsdelikte. Ein Beispiel hierfür bildet die Analyse eines Unternehmens, in dem kurz zuvor ein Angestellter über zehn Millionen Euro entwendete und sich damit ins Ausland abgesetzt hatte. „Gelegenheit macht Diebe“, fällt einem dazu ein. Erst vier Wochen nach Verschwinden des Mitarbeiters wurde der Betrug überhaupt entdeckt! Ermöglicht wurde das Fehlverhalten, weil der Mitarbeiter zu viele Befugnisse innerhalb des ERP-Systems Enterprise Reource Planning hatte und darüber hinaus keinerlei Prozesskontrollen implementiert waren. Das Planungssystem verfügte über keine immanenten Kontrollen und war im Reporting für Betrugsfälle zu langsam bzw. auch nicht dezidiert ausgeprägt um Vorkommnisse dieser Art automatisiert weitergeben zu können.

Die Möglichkeiten für Schwachstellen – und demnach auch für Betrug – sind zahlreich. Ein Beispiel: Ein Mitarbeiter verfügt über weitreichende Befugnisse im Bereich Kreditoren. Er veranlasst nicht nur den Zahlungslauf, sondern darf außerdem Rechnungen buchen und Bankdaten anlegen. Auf ein eigenes Konto Geld zu transferieren, wäre für ihn ein Leichtes. Ein weiteres Beispiel sind Berechtigungen, die quasi „auf Zuruf“ erteilt werden und deren Vergabe nicht protokolliert wird. Auffällig ist, dass dies häufig in mittelständischen Unternehmen, in denen die Mitarbeiter einander gut und lange kennen, geschieht. Dann bekommen beispielsweise Mitarbeiter Berechtigungen, etwa um den kranken Chef zu vertreten. Das ist zwar gut gemeint, sollte aber unbedingt vermieden werden. Aus GRC-Perspektive kann man hier empfehlen, die Freigabe nur über einen speziellen Freigabeprozess zuzuweisen, die ausgeführten Aktivitäten des Vertreters regelmäßig zu kontrollieren und – die Berechtigung wieder zurückzurufen, wenn sie nicht mehr benötigt wird.

Schwachstellen aufspüren – die berühmte Nadel im Heuhaufen

Egal ob interne Task Force eines Unternehmens oder externer Berater, Schwachstellen werden mittels eines effektiven Projektteams identifiziert: Dieses analysiert die Organisation und deren Prozesse, Business- und IT-Projekte, eingesetzte Applikationen und Tools, Konzepte und das Unternehmensumfeld: Welche nationalen und internationalen rechtlichen Bestimmungen und Anforderungen muss das Unternehmen beachten? Hier liegt die Messlatte in der Finanzdienstleitungs- oder Pharmabranche besonders hoch.

Das Team untersucht alle bestehenden Konzepte zum Beispiel für Berechtigungen, den Support, Notfälle oder für SAP. Welche GRC-Tools sind im Einsatz? Das betrifft SAP-Standard-Lösungen für Benutzer-, Rollen- und Risikomanagement oder Non-SAP-Tools zur Benutzeradministration oder für das Risikomanagement. Das vorhandene IT-System wird erfasst und die Schnittstellen mit den Applikationen auf ihre Sicherheit überprüft. Dabei gilt der Grundsatz: Die sicherste Berechtigungsvergabe ist nutzlos, wenn die Schnittstellen undicht sind und dort jemand direkt auf eine Datenbank zugreifen kann. Auch die Organisation an sich mit all ihren internen Prozessen und Abläufen wird im Detail betrachtet: