Menschen von oben fotografiert, die an einem Tisch sitzen.

adesso Blog

Methodik

14. November 2019 von Andreas Fritz

Geschwindigkeit als kritischer Sicherheitsfaktor

Manchmal scheint es nur das eine oder das andere Extrem zu geben: Entweder dominiert Hektik das Tagesgeschehen im Unternehmen oder aber Entscheidungen ziehen sich hin wie Kaugummi und nichts bewegt sich. Dabei ist Geschwindigkeit in jeder Hinsicht ein absolut kritischer Faktor für die Sicherheit in Unternehmen, insbesondere in Sicherheitsprozessen. Was ich damit meine, vor allem im SAP-Bereich, möchte ich an zwei Beispielen verdeutlichen:

1. SAP-Systeme werden regelmäßig einer Risikoanalyse unterzogen. Diese Analyse zeigt Schwachstellen, die behoben werden müssen. Bei jeder Korrektur dieser Risiken möchten in der Regel viele Kolleginnen und Kollegen aus dem jeweiligen Fachbereich und der IT eingebunden werden. Das hat zur Folge, dass es zu einer Vielzahl an Abstimmungsrunden kommen kann, die wiederum mehr und mehr zu Verzögerungen führen.

2. Das Berechtigungsteam wird überfrachtet mit Anfragen. Täglich müssen hunderte Rollenänderungen umgesetzt werden. Weil es manchmal schnell gehen muss, werden die Änderungen auch auf Zuruf eingespielt. Ein Anruf genügt, weil man die Kollegin oder den Kollegen noch von früher kennt. Dass dabei regelmäßig Folgeprobleme auftreten und der Flickenteppich immer größer wird, ist allen bewusst. Überblick? Fehlanzeige. Doch der Zeitdruck ist hoch und das Personal knapp. Was bleibt anderes übrig?

Bereits diese Beispiele zeigen, dass der Faktor Geschwindigkeit mit der Sicherheit im Unternehmen korreliert. Aber gibt es eigentlich so etwas wie eine „optimale Geschwindigkeit“? Und wie kann diese Geschwindigkeit erreicht werden? Drei Tipps für die Umsetzung:

Die passende Perspektive

Wie die beiden Beispiele bereits gezeigt haben, gibt es zwei absolute Extreme, was die Geschwindigkeit angeht. Das eine Extrem resultiert in Untätigkeit. Etwa als Ergebnis einer gewissen Sorglosigkeit - in Köln würde man sagen „Et hätt noch immer jot jejange“. Häufiger zu beobachten sind allerdings eine übermäßige Planung und viel zu viele Abstimmungen, damit keine Fehler passieren.

Das andere Extrem kann mit dem Begriff Hektik umschrieben werden. Kaum ausgesprochen, muss alles erledigt sein – am besten asap. Es ist das „einfach mal machen“, obwohl noch nicht einmal das gemeinsame Ziel klar ist. Bei einem hohen Maß an Aktionismus sind viele Arbeitsergebnisse umsonst und die gesteckten Ziele werden um Längen verfehlt.

Zwei Geschwindigkeitsextreme und der Einfluss auf die Sicherheit

Während die Perspektive auf der einen Seite unnötig langfristig ist, ist sie auf der anderen Seite sehr kurzfristig. Es wird entweder die perfekte Lösung für die Unendlichkeit gesucht oder hektisch von Tag zu Tag gearbeitet.

Der Clou besteht darin, die Perspektive auf die Mittelfristigkeit auszurichten. Damit ist ein Zeitraum gemeint, der überblickt und gleichzeitig für weitere Schritte auch klar unterteilt werden kann. Dieser Zeitraum muss dafür noch nicht mal voll geplant werden. Daraus entstehen dann im besten Fall Fragen, die auf den Zustand abzielen:

  • Wie müsste das Berechtigungskonzept aussehen, sodass es die nächsten zwei bis drei Jahre bestehen kann?
  • Wie sollen die Zugriffsprozesse in sechs Monaten aussehen und gelebt werden?
  • Welche Kontrollen können im nächsten Quartal mit dem Fachbereich besprochen und in den Kontrollzyklus mit aufgenommen werden?

Die Geschwindigkeitsmessung starten

Wenn die Perspektive einmal klar ist, kann es sofort losgehen. Oder? Fast. Denn zum einen muss geklärt werden, welche Geschwindigkeit gemeint ist zum anderen, woran sich feststellen lässt, ob ein Team oder ein Prozess nun schneller oder langsamer wird.

Um diese Fragen zu klären, lassen sich drei verschiedene Arten von Geschwindigkeiten nennen, die in vielen (Sicherheits-)Prozessen eine Rolle spielen. Je nach Prozess können auch noch weitere Faktoren relevant sein.

  • Reaktionsgeschwindigkeit: Anforderungen aus Fachbereichen werden geäußert oder Schwachstellen treten spontan auf. Wie schnell kann das Team reagieren und den ersten Schritt einleiten?
  • Entscheidungsgeschwindigkeit: Bei einigen Themen ist noch unklar, was konkret passieren soll. Wie lange dauert es hier, eine Richtung für die nächsten Schritte festzulegen?
  • Umsetzungsgeschwindigkeit: Nach einer Entscheidung steht die Umsetzung an. Hierbei ist also die Zeit zwischen Umsetzungsbeginn und Umsetzungsende gemeint.

Auf diese Weise lassen sich alle Prozesse in verschiedene Geschwindigkeiten aufteilen und es wird deutlich, dass Abhängigkeiten zu anderen Kenngrößen bestehen - beispielsweise zur Anzahl der Themen.

In stark frequentierten Prozessen, wie zum Beispiel Benutzeranträgen, lohnt es sich dann, diese Geschwindigkeiten tatsächlich auch als Kennzahlen zu messen. Wenn solche Geschwindigkeiten einmal erfasst sind, dann können sie auch optimiert werden, wie das folgende Praxisbeispiel zeigt:

Das SAP GRC wurde als das Managementwerkzeug eingeführt, um die Sicherheitsprozesse in der SAP-Landschaft zu steuern. Durch automatische Kontrollen und einen entsprechenden Job im SAP GRC Process Control wurden dort täglich Schwachstellen gemeldet. Allerdings bekamen die Mitarbeitenden dadurch so viele Tickets in ihren Arbeitseingang, dass sie sehr lange brauchten, um diese anzugehen. Wurde ein Ticket einmal angenommen, dauerte die Umsetzung dann nicht mehr lange.

Wenn wir nur die reine Reaktionszeit von einem Tag betrachten, ist diese sehr gut, weil das GRC-System die Schwachstellen sofort und zügig erkennt. Ist die gesamte Zeit bis zur Behebung wichtiger, dann gibt es auf jeden Fall noch Optimierungspotenzial.

Diese Problematik wurde durch eine Umstellung der Job-Frequenz von täglich auf wöchentlich gelöst. Dementsprechend erhalten die Mitarbeitenden die Ergebnisse nun in gesammelter Form. Die Entscheidungszeit verkürzte sich auf durchschnittlich drei Tage und somit auch die gesamte Bearbeitungszeit. Viel wichtiger noch: Die reine Bearbeitungszeit durch die Mitarbeiterinnen und Mitarbeiter reduzierte sich ebenfalls drastisch um 73 Prozent, was wiederum einen Fokus für neue Themen ermöglichte.

Die Verkürzung von Entscheidungs- und Bearbeitungszeit

Das Momentum bewusst entwickeln

Um auf die passende Geschwindigkeit im Betrieb zu kommen, ist Momentum notwendig. Damit ist nicht eine planlose Beschleunigung gemeint, sondern ein gewisses Maß an Schwung, der eingeleitet wird. Für diesen Schwung können auf viele verschiedene Arten Impulse gesetzt werden:

Geschwindigkeit durch gutes Design: In der Entstehungsphase von Prozessen sollte bereits der mögliche Durchsatz im Auge behalten werden. Wenn einmal alle Prozesse durchgespielt werden (und nicht nur die Wichtigsten), dann fallen sehr schnell Lücken auf, die später sonst auch auftreten würden.

Um das Beispiel der Implementierung von SAP GRC Access Control noch mal aufzugreifen: Ist später nachvollziehbar, aus welchen Anträgen welche Risiken ins System gekommen sind? Oder gibt es Teilschritte in der Beantragung, die abgekürzt oder automatisch genehmigt werden können? So können bereits in der Design-Phase unnötige Hürden abgebaut werden, die später für Frust und Verlangsamung sorgen würden.

Geschwindigkeit durch gezielte Steuerung: In der täglichen Arbeit lässt sich vieles optimieren und effizienter gestalten. Doch wird es dadurch auch effektiv? Der Fokus auf einige wenige Themen und ohne viel Multitasking verspricht mehr Schlagkraft. Wenn dazu eine entsprechende Fehlerkultur entwickelt wird, und jeder für Themen Verantwortung übernimmt, stellt sich plötzlich ein gewisses Tempo ein. Zum Beispiel im Team für interne Kontrollen: Ist ein klarer Ablauf für Kontrolländerungen etabliert? Mit einem zentralen Kommunikationskanal, der transparent und messbar ist (also nicht E-Mail)? Und gibt es keine gemischten, sondern eindeutig definierte, verantwortliche Personen für Kontrollen?

Geschwindigkeit durch Engagement: Letztlich bleibt kein Konzept, kein System und keine Technologie für ewig bestehen. Es braucht immer wieder Mut, sich den neuen Themen anzunehmen und sie aus der Sicherheitsbrille zu betrachten. Genauso braucht es viel Engagement, die Prävention als Prinzip zu etablieren. Doch das lohnt sich. Denn so wird aus der reinen Reaktion eine Aktion. Statt sich nur von Audit zu Audit zu hangeln, sollten stattdessen mit Mut Gegenmaßnahmen ergriffen werden.

Wie erkennbar ist, bleibt die Geschwindigkeit in jeder Hinsicht ein absolut kritischer Faktor für die Sicherheit in Unternehmen. Einen geeigneten Weg zwischen Aktionismus und Überplanung zu finden, ist nicht schwer. Es geht im Grunde nur darum, die geeignete Perspektive für die nächsten Schritte zu finden.

Bild Andreas Fritz

Autor Andreas Fritz

Andreas Fritz ist Berater für IT- und Revisionsleiter, die ihre SAP-Sicherheit verbessern wollen. Drei typische Anliegen seiner Kundinnen und Kunden sind: Sie möchten ihre Kontrollen automatisieren, ihr Zugriffsmanagement beschleunigen und ihre Risiken klar identifizieren können.

Kategorie:

Methodik

Schlagwörter:

SAP

IT-Sicherheit

Diese Seite speichern. Diese Seite entfernen.