Was ist Segregation of Duties?

Was ist Segregation of Duties (SoD)?

Segregation of Duties (SoD), auch bekannt als „Prinzip der Funktionstrennung“ ist ein Geschäftsprozess innerhalb einer Organisation. SoD-Richtlinien fungieren als Sicherheitsvorkehrung, denn viele Geschäftsprozesse können, wenn sie von einer einzigen Person ausgeführt werden, zu einem Interessenkonflikt führen.

Eines der bekanntesten Prinzipien der Funkionstrennung ist das Vier-Augen-Prinzip. Beispielsweise sollte ein Mitarbeiter nicht in der Lage sein, sowohl Bestellungen einzureichen, als auch diese im gleichen Zug zu genehmigen. Die SoD-Prinzipien schreiben vor, dass solche Prozesse unter mehreren Personen innerhalb einer Organisation aufgeteilt werden müssen. Bei risikoreichen Prozessen kann ein Prozess sogar mehrere Genehmigungsschritte erfordern.

Segregation of Duties in der Praxis

• Mitarbeiter können keine eigenen Rückerstattungen beantragen oder ihre eigenen Bestellungen ausführen.
• Projektleiter müssen die von ihren Teams geleistete Arbeit oder die Dokumentation überprüfen und abzeichnen.
• Personalabteilungen dürfen keine Gehaltsstufen festlegen.
• Für die Bestellung des Inventars müssen andere Mitarbeiter verantwortlich sein als diejenigen, die die erhaltenen Waren überprüfen und in die Inventarsysteme eingeben.

Durch interne Kontrollen werden unvereinbare Verantwortlichkeiten getrennt, um mögliche Lücken zu schließen und menschliche Fehler zu minimieren. Der Schutz vor Erpressung oder Datenmissbrauch sind wichtige Aspekte, um Mitarbeiter in Schlüsselpositionen oder solche, die mit sensiblen Daten umgehen, zu schützen.

Ohne SoD-Richtlinien sind die oben erwähnten Beispiele anfällig:

• Mitarbeiter könnten in der Lage sein, Gelder in betrügerischer Weise an sich selbst weiterzuleiten.
• Mitarbeiter, die ihre eigene Arbeit kontrollieren, erkennen Fehler möglicherweise nicht oder könnten einen nicht konformen Zugang ausnutzen.
• Ein Freund eines Personalmitarbeiters kann bevorzugt eingestellt werden.
• Ein Mitarbeiter könnte bei der Bestellung von Waren für sich selbst bestellen und dies vertuschen.

Eine gute Kombination: SoD und Identity & Access Management

Die Einführung der rollenbasierten Zugriffskontrolle (Role-Based Access Control, RBAC) durch Identity und Access Management (IAM) ist die Grundlage vieler SoD-Prozesse. Rollen können je nach Abteilung oder Funktion festgelegt werden. RBAC stellt sicher, dass Benutzer nur Zugriff auf die Ressourcen erhalten, die ihre Rolle erfordert – nicht mehr und nicht weniger.

IAM-Systeme erstellen zudem Audit-Trails, indem sie jegliche Aktivitäten der Benutzer protokollieren. IT-Administratoren können über diese Audit-Protokolle die Einhaltung der Vorschriften auf Knopfdruck nachweisen. Darüber hinaus helfen Audit-Trails bei der Identifizierung und Behebung von Lücken innerhalb der RBAC-Struktur.

Häufig werden Audit-Trails noch manuell vorbereitet, was einen enormen Aufwand und mehrere involvierte Mitarbeiter bedeutet. Dank der automatisiert erstellten Audit-Trails in IAM verringert sich der Aufwand für die Vorbereitung auf eine anstehende Prüfung durch Dritte enorm.

In fast allen Organisationen sind Ad-hoc-Änderungen erforderlich. Diese Anforderungen müssen erfüllt werden, während gleichzeitig auch die SoD als die geltende Vorschrift eingehalten werden muss.

Das ist der große Vorteil von IAM-Lösungen. Viele IAM-Systeme verfügen über eine Employee-Self-Service-Plattform für Antrags- und Genehmigungs-Workflows.

Bei einer Employee-Self-Service-Plattform können Benutzer ihre zusätzlichen Zugangsanforderungen beantragen. Ihre Anträge werden dann zur Genehmigung an einen oder mehrere Verantwortliche weitergeleitet.

Einige Plattformen berücksichtigen die SoD-Richtlinien bereits während der Antragsphase und verhindern so, dass Benutzer Zugang beantragen können, der gegen die Richtlinien verstoßen würde.

Neue Vorschriften und Datenschutz einhalten

Die Datenschutzgrundverordnung (DSGVO) enthält weitreichende Vorschriften hinsichtlich Datenerhebung, -speicherung und -zugang. In Zukunft wird die SoD-Richtlinie über die Frage hinausgehen müssen, wer welchen Teil eines Prozesses ausführt. Für die Einhaltung der Richtlinien ist es erforderlich, dass durchgesetzt wird, dass Benutzer nur angemessenen Zugriff auf Daten im Dateisystem Ihrer Organisation haben.