Warum die meisten Berechtigungskonzepte scheitern | Tobias Harmes
Autor: Tobias Harmes | 23. November 2018
Spielstraße heißt ja laut StVO Schritttempo. Eigentlich könnte ich ja meine Kinder deshalb einfach auf der Straße spielen lassen. Leider klappt das nicht wirklich, wenn nicht ab und zu mal auch die Regeln (z.B. durch einen Blitzer) kontrolliert werden. In vielen Unternehmen gibt es jedoch kein Interesse an der Durchsetzung von Regeln. Es gibt anscheinend grenzenloses Vertrauen, dass alle die Geschwindigkeit einhalten - warum eigentlich?
… als Podcast
Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast
…auf YouTube
YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms
Kennen Sie jemanden, der beim Wort Regelwerk leuchtende Augen bekommt? Nein, ich meine jetzt nicht die alte Rollenspiel-Gruppe, die sich jeden Samstagabend zum “Das schwarze Auge“-Spielen getroffen hat. Dann fällt Ihnen niemand ein? Tja, mir auch nicht.
Regelwerke haben einen schlechten Ruf. Regeln verlangsamen, lähmen und überfordern. Mit dem Effekt, dass quasi als Selbstverteidigung eine Gemeinde schon mal sämtliche Straßenschilder bis auf eins abbaut. Das letzte Schild steht am Ortseingang und lautet: “Vorfahrt geändert.” Ab da gilt Paragraf 1 Absatz 1 der Straßenverkehrsordnung: “Die Teilnahme am Straßenverkehr erfordert ständige Vorsicht und gegenseitige Rücksicht.”
Im Prinzip ist so eine Kultur des Vertrauens etwas, was ich jedem Unternehmen wünsche. Ständige Vorsicht und gegenseitige Rücksicht lässt zwar Ermessungsspielraum, aber insgesamt versuchen alle dafür zu sorgen, dass niemand unter die Räder kommt.
Ich begegne vielen Unternehmen, die liebend gerne auf ihre Regelwerke verzichten würden zugunsten einer Kultur des Vertrauens. Nur frage ich mich, ob das in Wirklichkeit nicht Bequemlichkeit gepaart mit Naivität ist. Oder netter formuliert: ein großes Missverständnis. Denn wenn jemand in dem besagten Dorf ohne Nummernschild auf der Straße fahren würde, dann würde ihn die Polizei trotzdem rauswinken. Fehlende Schilder hin oder her. Gegenseitige Rücksichtnahme und eine Kultur des Vertrauens erreicht man nur, wenn es keine Anonymität im System gibt und keine Hintertüren. Und auch alle hinsehen. Und eben das erreicht man nur mit der richtigen Konfiguration. Wo steht die beschrieben? Richtig – im Regelwerk, auch Berechtigungskonzept genannt.
Neues SAP Berechtigungskonzept vom führenden SAP-Security Berater
Wir helfen SAP Kunden, ein neues Berechtigungskonzept einzuführen, dass den Prüfer zufriedenstellt und im Betrieb reibungslos funktioniert.
Vielleicht ist es auch an der Zeit zu akzeptieren, dass klassische Regelwerke allein zum Scheitern verurteilt sind. Ich habe schon mehrere dutzend Berechtigungskonzepte gesehen, die so niemals im System angekommen sind (oder höchstens gehalten haben bis der Polizist der Prüfer weg war). Weil es auch stimmt, dass wenn ich heute bei SAP Sicherheit alles richtig machen will, ich bei manuellem Vorgehen genauso wie ein Verkehrsteilnehmer im Schilderwald überfordert bin. Ich müsste ja nicht nur Informatik, sondern auch Wirtschafts-Wissenschaften, Jura und am besten auch noch Kriminalistik studiert haben. Wahlweise noch FI-Prozesswissen mit krimineller Kreativität erforschen. Für die gute Seite versteht sich. Das schafft aber niemand neben Tickets abarbeiten und interne Projekte zum Erfolg bringen.
So wie Autos aktuell beigebracht wird, Verkehrsregeln zu befolgen und bei Bedarf Gegenmaßnahmen einzuleiten, gibt es ebenfalls sehr gute Ansätze Software beizubringen, aktuelle Sicherheitsregeln im SAP System zu prüfen und zu alarmieren. Der Roboter prüft automatisch und verschafft mir eine Übersicht, wie die Lage aussieht. Das ist kein Misstrauen, das ist proaktiv und sorgt dafür, dass niemand überfahren wird. Das ist dann ein internes Kontrollsystem für SAP IT Sicherheit. Ein Regelwerk mit eingebauter Selbstprüfung. Das wäre doch mal was.
Wie denken Sie darüber?
Mit freundlichen Grüßen,
Tobias Harmes
PS: Wenn Sie Fragen haben, können mich für eine Expert Session buchen: https://rz10.de/online-beratung-tobias-harmes/
