}

Was ist Segregation of Duties?

Funktionstrennung

Was ist Segregation of Duties (SoD)?

Segregation of Duties (SoD), auch bekannt als "Prinzip der Funktionstrennung" ist ein Geschäftsprozess innerhalb einer funktionalen Organisation. SoD-Richtlinien fungieren als Sicherheitsvorkehrung, denn viele Geschäftsprozesse können, wenn sie von einer einzigen Person ausgeführt werden, oft zu einem Interessenkonflikt führen. 

Eines der bekanntesten Prinzipien der Funkionstrennung ist das Vier-Augen-Prinzip. Beispielsweise sollte ein Mitarbeiter nicht in der Lage sein, sowohl Bestellungen einzureichen und diese in einem Zug zu genehmigen. Die SoD-Prinzipien schreiben vor, dass solche Prozesse zwischen mehreren Personen innerhalb einer Organisation aufgeteilt werden müssen. Bei risikoreichen Prozessen kann ein Prozess sogar mehrere Genehmigungsschritte erfordern.

Segregation of Duties in der Praxis 

  • Mitarbeiter können keine eigenen Rückerstattungen beantragen oder ihre eigenen Bestellungen ausführen.
  • Projektleiter müssen die von ihren Teams geleistete Arbeit oder die Dokumentation überprüfen und abzeichnen

  • Personalabteilungen dürfen keine Gehaltsstufen festlegen

  • Für die Bestellung des Inventars müssen andere Mitarbeiter verantwortlich sein als diejenigen, die die erhaltenen Waren überprüfen und in die Inventarsysteme eingeben.

Durch interne Kontrollen werden unvereinbare Verantwortlichkeiten getrennt, um mögliche Lücken zu verhindern und menschliche Fehler zu minimieren. Der Schutz vor Erpressung und weiteres sind wichtige Aspekte für Mitarbeiter mit Schlüsselpositionen oder die mit wertvollen Daten umgehen.

Ohne SoD-Richtlinien sind die oben erwähnten Beispiele anfällig:

  • Mitarbeiter könnten in der Lage sein, Gelder in betrügerischer Weise an sich selbst weiter zu leiten

  • Mitarbeiter, die ihre eigene Arbeit bearbeiten, erkennen möglicherweise keine Fehler oder könnten einen nicht konformen Zugang ausnutzen

  • Die Personaleinstellung kann einem Freund bevorzugt zugewiesen werden

  • Ein Mitarbeiter könnte bei der Bestellung von Waren für sich selbst bestellen und dies vertuschen

Eine Kombination, die es ausmacht: SoD und Identity- und Access Management

Die Einführung der rollenbasierten Zugriffskontrolle (Role-Based Access Control,RBAC) durch Identity- und Access Management (IAM) ist die Grundlage vieler SoD-Prozesse. Rollen können je nach Abteilung oder Funktion festgelegt werden. RBAC stellt sicher, dass Benutzer nur Zugriff auf ihre Ressourcen erhalten, die ihre Rolle erfordert - nicht mehr und nicht weniger.

IAM-Systeme erstellen zudem Audit-Trails, indem sie jegliche Aktivitäten der Benutzer protokollieren. IT-Administratoren können über diese Audit-Protokolle, die Einhaltung der Vorschriften auf Knopfdruck nachweisen. Darüber hinaus helfen Audit-Trails bei der Identifizierung und Behebung von Lücken innerhalb der RBAC-Struktur.

Häufig werden Audit-Trails noch manuell vorbereitet, was einen enormen Aufwand und mehrere involvierte Mitarbeiter bedeutet. Dank der automatisiert erstellten Audit-Trails in IAM verringert sich der Aufwand für die Vorbereitung auf die anstehenden Prüfungen durch Dritte enorm.

In fast allen Organisationen sind Ad-hoc-Änderungen erforderlich. Diese Anforderungen müssen erfüllt werden, während gleichzeitig auch die SoD als die geltende Vorschrift eingehalten werden muss. 

Das ist der große Vorteil von IAM-Lösungen. Viele IAM-Systeme verfügen über eine Employee-Self- Service-Plattform für den Antrags- und Genehmigungs-Workflow.

Bei einer Employee-Self-Service-Plattform können Benutzer ihre zusätzlichen Zugangsanforderungen beantragen. Ihre Anträge werden dann zur Genehmigung an eine oder mehrere Verantwortliche weitergeleitet.

Einige Plattformen berücksichtigen die SoD-Richtlinien bereits während der Antragsphase und verhindern so, dass Benutzer Zugang beantragen können, der gegen die Richtlinien verstoßen würde.

Neue Vorschriften und Datenschutz einhalten

Eines der aktuellsten Gesetze, welches öffentliche und private Organisationen betrifft, ist die Datenschutzgrundverordnung (DSGVO). Sie enthält weitreichende Veränderungen hinsichtlich der Datenerhebung, -speicherung und -zugang. In Zukunft wird die SoD-Richtlinie über die Frage hinausgehen müssen, wer welchen Teil eines Prozesses ausführt. Für die Einhaltung der Richtlinien ist es jetzt erforderlich, dass durchgesetzt wird, welche Benutzer Zugriff auf welche Daten im Dateisystem Ihrer Organisation haben.