Die Aufgabentrennung (SoD, Segregation of Duties oder auch Separation of Duties) ist ein Sicherheitsprinzip, das von Unternehmen eingesetzt wird, um Betrug und Fehler zu vermeiden. Aus diesem Grund ist die Segregation of Duties ein wichtiger Bestandteil vieler gesetzlicher Vorschriften wie dem Sarbanes-Oxley Act und dem Gramm-Leach-Bliley Act. Mit der zunehmenden Anzahl von Systemen, die Unternehmen zur Abwicklung ihrer Geschäfte verwenden, ist die Erstellung, Aufrechterhaltung und Überwachung von SoD-Policys jedoch schwierig geworden – schlimmstenfalls sogar unmöglich. Hier erfahren Sie, wie die Implementierung geeigneter SoD-Kontrollen Risiken reduzieren, die Einhaltung von Vorschriften verbessern, die Compliance optimieren und gleichzeitig die Effizienz steigern kann.
Was ist Segregation of Duties (SoD)?
Bei der Segregation of Duties bzw. Separation of Duties geht es um die Aufgabentrennung. Es handelt sich um eine interne Kontrolle, die sich auf rollenbasierte Zugriffskontrollen (RBAC) stützt, um Fehler zu vermeiden. Bei der Segregation of Duties (SoD) haben verschiedene Benutzeridentitäten (Einzelpersonen, Teams oder Dritte) unterschiedliche Rollen mit jeweils separaten Aufgaben innerhalb eines Transaktions-Workflows inne. Ein anschauliches Beispiel bezieht sich auf Mitarbeiter, zu deren Aufgaben es gehört, mit Geld umzugehen. Dabei gibt es separate Teams: Das eine Team empfängt Zahlungen von Verkäufern, das andere zahlt Gelder an Verkäufer aus. Durch die Aufteilung dieser Aufgaben auf zwei verschiedene Teams können Unternehmen verhindern, dass eine der beteiligten Parteien einen Betrug begeht, was das Risiko von Straftaten minimiert.
Was ist eine Segregation-of-Duties-Policy?
SoD-Policies sind die Prozesse, Richtlinien und/oder Regeln, die ein Unternehmen erstellt hat, um dafür zu sorgen, dass Sicherheitskontrollen vorhanden sind und gleichzeitig die betriebliche Effizienz und die Kosten in Einklang gebracht werden. Ursprünglich mussten Unternehmen derartige Policies manuell erstellen und verwalten und sie dann manuell überprüfen, um die Compliance aufrecht zu erhalten. Dies führte zu veralteteten, ungenauen SoD-Policies, für deren Pflege und Korrektur die Mitarbeiter viel Zeit aufbringen mussten. Heute gibt es Tools, mit denen Unternehmen SoD-Policies mithilfe von Automatisierung und Analyse ganz einfach erstellen, aufrechterhalten und überprüfen können.
Was sind SoD-Verstöße?
Wenn ein Benutzer die ihm gewährten Zugriffsrechte ausnutzt, indem er Aktionen durchführt, die durch Unternehmens-Policies oder Branchenbestimmungen verboten sind, gilt dies als Verstoß. Technisch gesehen liegt jedoch ein Verstoß vor, wenn ein Benutzer die Kontrolle, die er nicht haben sollte, über mehr als eine Stufe eines Arbeitsablaufs erlangt. Dabei könnte es sich z. B. darum handeln, dass ein Benutzer einen Käufer einrichten, die Lieferantenrechnung eingeben, die Kontenabstimmung durchführen und auch die Zahlung an den Lieferanten genehmigen kann. Oder ein Benutzer könnte gleichzeitig Produkte bestellen und die Bestandsbuchhaltung durchführen. Richtig angewandt, verhindert SoD durch interne Kontrollen derartige Interessenskonflikte und optimiert die Sicherheit und Compliance.
Warum ist SoD wichtig für die Compliance?
Durch die Segregation of Duties verbessert sich die Einhaltung der Vorschriften, da die Möglichkeit der Kontrolle aus einer Hand bzw. durch eine Person beseitigt und die interne Prozessevaluierung gefördert wird. Durch die Beschränkung des Zugriffs von jedem Benutzer auf das, was er wirklich für seine Aufgaben benötigt, können Unternehmen Risiken besser eindämmen. Insbesondere bei der Zuweisung von Rollen kann dieser Prozess allerdings kompliziert werden, denn dabei könnte man sich schnell in Details verlieren. Deshalb ist es ratsam, eine Reihe von Standardrollen für jede Art von Aktivität (z. B. Buchhaltung, Management usw.) zu erstellen. Um spätere, größere Probleme zu vermeiden, ermöglicht SoD auch die frühzeitige Erkennung und Adressierung von Verstößen – auch solchen, die sich auf bestimmte Practices wie den Sarbanes-Oxley Act (SOX) oder die Datenschutz-Grundverordnung der Europäischen Union (GDPR) beziehen. Und schließlich ist eine kontinuierliche Überprüfung entscheidend für eine effektive Umsetzung. Mit den richtigen Software-Tools und Prozessen wie der SoD-Risikoanalyse und detaillierten Audit-Kontrollen können Unternehmen mögliche Verstöße vorhersehen und verborgene Verstöße schnell und effizient erkennen.
Mit dem SoD Policy Management können Sie Interessenskonflikte verhindern, benutzerdefinierte Policies anwendungsübergreifend erstellen sowie durchsetzen und die Compliance-Anforderungen Ihres Unternehmens erfüllen.
Das könnte Sie auch interessieren:
Übernehmen Sie die Kontrolle über Ihre Cloud-Plattform!
Erfahren Sie mehr über SailPoint und SoD.