Zugriffsberechtigungen / Access Management in rechnungslegungsrelevanten SAP ERP-Systemen

(Diss.) Informationen, ihre abgeleiteten Datenentsprechungen und die darauf fußenden Ablage- und Aufbereitungsstrukturen in den Systembestandteilen der Informationstechnologie (IT) stellen heute wesentliche Werte für Unternehmen dar und müssen daher folgerichtig adäquatem Schutz unterworfen sein. „Sicherheitsvorfälle wie die Offenlegung oder Manipulation von Informationen können weitreichende geschäftsschädigende Auswirkungen haben oder die Erfüllung von Aufgaben behindern und somit hohe Kosten verursachen.“ In der Öffentlichkeit diskutiert werden viele davon aus datenschutzrechtlicher Sicht, wenn es z.B. darum geht, dass dem Unternehmen personenbezogene Daten wie Kreditkartendaten oder ähnlich kritische, vom Kunden überlassene Informationen „verloren gehen“, jedoch beginnt erst danach die notwendige Betrachtung der Grundlagen. Basis dafür ist das Bedürfnis, dass Daten, Prozesse, IT-Systeme, Vernetzung und die Prozessadressaten in einem Zustand der Kontinuität ohne störende Einflüsse agieren bzw. funktionieren, damit die Wertschöpfungs- und Ressourcenverwendungsketten reibungslos realisiert werden können. „IT-Governance soll sicherstellen, dass die IT den optimalen Beitrag zur Wertschöpfung des Unternehmens in Bezug auf die Gewährleistung der Unternehmensstrategie und der Unternehmensziele liefert“ – wo im Detail möglich mit einer indikatorenorientierten Steuerungsausrichtung des IT-Einsatzes. Informations- und IT-Sicherheit als Teilaspekte des Sicherheitsmanagements im Unternehmen haben wiederum das Ziel, die Verfügbarkeit, die Vertraulichkeit, die Integrität und den vertrauenswürdigen Umgang mit den Informationen und abgeleiteten Daten, aber auch die Zuverlässigkeit, Unversehrtheit und Robustheit der Hard- und Software-Technologie zu gewährleisten. Weder die Wahl von Produkten noch einer Organisation zur Gewährleistung von IT-Sicherheit dürfen dabei aber – vornehmlich aus wirtschaftlichen Erwägungen heraus – die Prozesse im Unternehmen zu stark behindern, auch nicht, wenn Funktionstrennungen („Segregation of Duties“ [SoD]) systemseitig implementiert werden, weil mit bestimmten Funktionskombinationen ein natürliches Potential für Missbrauch assoziiert wird.