Wie prüfen IT-Prüfer, ob Zugriffsberechtigungen „richtig“ vergeben worden sind?
Moin,
an die, die in der IT Abteilung / IT Prüfung arbeiten:
Wie prüfen externe IT Prüfer nach, ob die IT-Abteilung die (Zugriffs-)Berechtigungen von Benutzern richtig vergeben haben?
Und schauen dann die IT-Prüfer auch nach, was man wirklich gemacht hat (also auf welche Datei man zugegriffen hat / welche Vorgänge bearbeitet worden sind etc.) oder wird geschaut, ob sich die IT-Abteilung an die internen Vorgaben gehalten hat?
Grüße
m.
4 Antworten
Deine Frage ist sehr generisch. Sie komplett zu beantworten würde sehr, sehr viel Text erfordern. Ich versuche mal die wichtigsten Punkte kurz zu beschreiben.
Grundsätzlich schauen IT-Auditoren erstmal was das Risiko ist. In der Regel gibt es in diesem Bereich 3 relevante Risiken.
- Jemand hat falsche Berechtigungen erhalten
- Jemand wurden die Berechtigungen nicht entzogen (z. b. nach Entlassung)
- Weitreichende Berechtigungen wurden zu umfangreich vergeben
Dabei schauen die Prüfer zunächst einmal, wie die Prozesse bei euch aufgebaut sind und bewerten, ob die Prozesse zur Berechtigungsvergabe/entzug etc. geeignet sind, die oben genannten Risiken abzudecken. Kurz gesagt, ob eure Berechtigungsprozesse allgemeinen Standards entsprechen. Danach wird der Prüfer eine Stichprobe aus allen Berechtigungsvergaben und aus allen entlassenen/versetzen Mitarbeitern ziehen und für diese Stichprobe testen, ob gem. eurem Prozess verfahren wurde. Also ob z. B. Genehmigungen erteilt wurden usw.
Normalerweise prüft der Prüfer nicht explizit, ob auch die richtige Berechtigung vergeben wurde, sondern nur ob der Prozess eingehalten wurde. Sollte allerdings jemand aus dem Lager eine Berechtigung für die Buchhaltung freigeben, fällt das dem Prüfer nat. auf.
Die Prüfer schauen ohne besonderen Grund nicht danach auf welche Dateien zugegriffen wurde. Dies erfolgt nur, wenn Verdacht auf Unregelmäßigkeiten besteht.
Welche (betriebswirtschaftlichen) Vorgänge bearbeitet wurden, wird aber die Finanzprüfung überprüfen.
Beantwortet das so in etwa deine Frage?
Danke! Wie schätzt du den o.g. Sachverhalt ein?
Sieht man in SAP dies denn?
Oben schreibst du etwas über Dateien öffnen, die ihn nix angehen. Hier fragst du ob man was in SAP sieht. Ich verstehe den Zusammenhang leider nicht direkt. Hat der Prakti Berechtigung im Dateisystem bekommen oder hat er SAP Rollen bekommen?
Mit der Rolle hat er ja die Möglichkeit bekommen, die Dateien zu öffnen. Deshalb die Frage: Prüfen IT Prüfer, auf welche Dateien man zugegriffen hat?
Also eine Rolle für die Personabteilung. Man darf es eigentlich nur für das Recruting verwenden, jedoch hat man auch Zugang zu Gehaltsabrechnungen.
Würden IT Prüfer jetzt auch schauen, ob der Prakti die Rolle nur für das Rekrutieren verwendet hat oder (obwohl er es eig. nicht dürfe) auch in Entgeltabrechnungen nachgeschaut hat?
Danke :)
Also so richtig passt das noch nicht zusammen. In SAP öffnet man eigentlich keine Dateien. Aber ich denke mal, ich weiß ungefähr, was du meinst.
Die Antwort auf deine Frage lautet - sehr unbefriedigend für dich - es kommt drauf an. Es ist möglich. Aber zur Wahrscheinlichkeit kann ich nichts sagen, da ich die Umstände der Prüfung nicht kenne.
okey, worauf kommt es dann bei einer Prüfung an, dass es möglich wäre? Weil oben stand geschrieben, dass normalerweise geprüft wird, ob die internen Prozesse eingehalten worden sind.
Wie kann ich mir das dann vorstellen: Die SAP Prüfer rufen dann die Historie auf und öffnen jeden einzelnen Suchvorgang und schauen was geöffnet / bearbeitet / worden ist?
Ich werde deine Frage nicht so beantworten können, dass du "ruhig schlafen kannst".
Ich kenne das Prüfungsziel nicht. Ich kenne die Prüfer nicht. Und ich kenne eure Systemarchitektur nicht.
Ich könnte jetzt 17 verschiedene Alternativen aufzählen , was alles denkbar wäre, aber ich glaube, dass bringt dir auch nichts.
Es tut mir leid.
Und wenn du Prüfer wärst, wie würdest du denn vorgehen?
*da du ja als SAP Prüfer im IT audit bist,
wie du würdest du denn vorgehen.
Ja danke dir. Was bedeutet denn Verdacht auf Unregelmäßigkeit in der Praxis?
LG.
Auch das ist ein sehr weitläufiges Feld. Aber wenn zum Beispiel bei einer der o. g. Prüfungshandlungen eine systematische oder sogar vorsätzliche Prozessabweichung festgestellt wird.
Oder wenn im Rahmen der Prüfung festgestellt wird, dass relevante Systemparameter verändert wurden.
Ich hab das Gefühl du willst auf einen konkreten Fall hinaus. Beschreibe den Sachverhalt und ich antworte.
Nun: Ein Praktikant bekommt für seine Aufgaben eine Zugriffsberechtigung.
Da der Prakti jedoch einen in passionierten MA „vertritt“ werden ihm Zugriffe wie ein vollwertiger MA (nach unterschriebener Belehrung) zugeteilt.
Der Prakti darf nur die Sachen sehen / bearbeiten, die mit seinem Aufgabenfeld übereinstimmen.
Wie die Neugier kommt, öffnet die Prakti Dateien (nicht ändern / bearbeiten) die nichts mit seinem Aufgabenfeld zu tun haben.
Prüfen so etwas die IT Prüfer oder ist das die eigentliche Aufgabe der Vorgesetzten / IT - Mitarbeiter?
Der Prakti / Werkstudent ist nun nicht mehr im Betrieb (nicht weil der gekündigt wurde, sondern weil das Praktikum zu Ende ist).
Das einfachste Konzept ist, so restriktiv wie möglich zu arbeiten. Das bedeutet, man gibt erstmal keine rechte. Wenn man Rechte vergibt, dann keineswegs über eine treestruktur alle Unterrechte komplett freigegeben, wenn es nicht notwendig ist.
Gleichzeitig gilt zu überlegen, ob eine Freigabe eine andere aushebeln kann, daher immer schauen was wo in der Hierarchie steht.
Wenn diese Regeln beachtet wurden, fängst du an mit den höchsten Berechtigungen zu arbeiten und arbeitest dich nach unten weiter, bis zur gewünschten Ebene
Üblicherweise werden primär die definierten Prozesse geprüft - sprich das, was dokumentiert ist (das kennzeichnet eigentlich alle Prüfungen und Zertifizierungen, egal in welchem Gebiet). Ob das tatsächlich so umgesetzt wurde, lässt sich in der Regel nur stichprobenartig prüfen.
Das ist nicht richtig. Ich kann einer Kontrollprüfung nicht entgehen, indem ich einfach keinen solchen Prozess habe.
Wenn du keine Prozesse hast, arbeitest du nicht - dann gibt es auch wenig Risiken. Die Frage ist, ob die Prozesse definiert und dokumentiert sind. Sind sie es nicht, ist das im Regelfall als pauschales Risiko einzustufen.
Und wie gesagt: Ganz primär wird in aller Regel Papier geprüft. Egal ob es um Steuerrecht, gewerberechtliche oder branchenspezifische Vorschriften, Arbeitssicherheit, Datenschutz oder IT-Sicherheit geht. Danach kann man dann prüfen, ob das, was auf dem Papier steht, auch so umgesetzt wurde.
Es gibt Prüfungen in denen das so ist (ISO 27001). Aber es gibt auch Prüfungen wo es definitiv nicht so ist. Denn nur weil es kein Papier gibt, auf dem ein Prozess steht, kann ich die Jahresabschlussprüfung nicht abbrechen. Wenn das so wäre, wären 80 % der deutschen Unternehmen ohne testierten Jahresabschluss.
Anhand eines soll und ist konzeptes
Wann finden IT Prüfungen im Jahr statt? Danke dir.