Mehr Security in der Automobilbranche durch Berechtigungsredesign
Autor: Luca Cremer | 21. April 2021
Für die IT-Sicherheit in Unternehmen ist es wichtig, dass die richtigen Berechtigungen vergeben sind. Besonders komplex ist das in der Automobilbranche, in der es häufig zu Fehlberechtigungen kommt. Mit einem Berechtigungsredesign wird dieses Problem gelöst.
Herausforderungen bei den Berechtigungen in der Automobilbranche
Die Automobilbranche ist stärker als andere Branchen von komplexen Unternehmensstrukturen geprägt. Es gibt nicht nur viele Mitarbeiter, Leiharbeiter und Zeitarbeiter, sondern auch viele verschiedene Zulieferer mit Zugang zu Systemapplikationen. Zu den fachspezifischen Bereichen kommt außerdem ein hoher Digitalisierungsgrad dazu. Das macht die Vergabe von Berechtigungen deutlich anspruchsvoller als in anderen Branchen.
Probleme und Risiken mangelhafter Berechtigungen in der Automobilbranche
TISAX (Trusted Information Security Assessment Exchange) vom Verband der Automobilindustrie (VDA) oder auch SAE J3061 sind Beispiele für die hohen sicherheitstechnischen Anforderungen, die vom Gesetzgeber an die Automobilbranche gestellt werden. Bei TISAX handelt es sich um ein Informationssicherheitssystem, das vom VDA als Standard für die Branche konzipiert wurde. Die SAE International bietet mit der SAE J3061 ein Guidebook für den Sicherheitsstandard.
Doch mit einer hohen Fluktuation wie in dieser Branche fällt es Betrieben oft schwer, die Anforderungen an ein gradliniges Berechtigungskonzept zu erfüllen. Denn Änderungen in der Personalorganisation führen immer auch zu notwendigen Aktualisierungen der Berechtigungen. Das gilt nicht nur für Kündigungen oder Neuanstellungen, sondern auch für Positionswechsel, Abteilungswechsel oder eine Veränderung der Zuständigkeiten.
Doch die Berechtigungen sollten gerade hier nicht vernachlässigt werden. Beispielsweise sind wichtige Daten über Innovationen der Weltmarktführer entscheidend für den Unternehmenserfolg. Sie müssen trotz vieler RFC-User im Dokumentenmanagement hinreichend geschützt sein. Das Sicherheitsrisiko steigt jedoch mit der Anzahl der User und somit der RFC-Schnittstellen. Auch ehemalige Mitarbeiter dürfen nicht in der Konzeption vergessen werden. Nur so wird sichergestellt, dass sie ihre Berechtigungen mit dem Austritt aus dem Unternehmen auch stillgelegt werden.
Nicht zuletzt kommen aber auch rechtliche Probleme auf Betriebe zu, die sich nicht an die strengen gesetzlichen Vorgaben halten. Diese juristischen Schwierigkeiten führen schließlich ebenfalls zu wirtschaftlichen Schäden wie Strafzahlungen. Es gibt demnach einige gute Gründe dafür, die Berechtigungen schnell in Ordnung zu bringen.
Ein Berechtigungsredesign muss her
Die Lösung für vernachlässigte Berechtigungen ist ein Redesign. Dieses sorgt strukturiert dafür, dass die Berechtigungen aller Mitarbeiter und Externen geprüft und überarbeitet werden. Auf diese Weise wird auch bei komplexen Strukturen niemand übersehen, sodass von Anfang an eine klare Übersicht über alle Berechtigungen hergestellt werden kann.
Unter Berücksichtigung des User-Lifecycle-Managements werden alle RFC-User überarbeitet. Beachtet werden auch die Funktionsrollen in Verbindung mit den unterschiedlichen Arbeitsplätzen und die Berechtigungen für Notfallnutzer, die bei Problemen im SAP-System schnell reagieren und helfen können.
Ebenfalls Teil eines Redesigns kann ein Archivierungskonzept für die Datenarchivierungssysteme sein. Dieses ist wichtig, da die Datenmengen eines Unternehmens kontinuierlich wachsen und eine unkontrollierte Verwaltung und Speicherung administrative und finanzielle Folgen haben kann. Somit deckt das Redesign alle betroffenen Bereiche ab und verhindert die schweren Folgen mangelhafter Zugriffsrechte. Dadurch wird das Berechtigungsredesign für Dialog und RFC-User zu einem sicheren Erfolg.
In unserem Webinar “SAP-Systeme besser berechtigen und schützen” erfahren Sie mehr zum Thema. Wenn Sie darüber hinaus Fragen oder Beratungsbedarf haben, schreiben Sie uns gerne eine Mail an info@rz10.de.
