Mai
2008

Newcomer of the Year

E-3 Magazin, Mai 08, Seite 50, Coverstory

SECUDE Global Consulting auf dem Weg zum weltweit führenden Beratungshaus für Enterprise Risk Management (ERM)

Wachstum zum Wohle der Kunden: Interview mit Mario Linkies, Chief Executive Officer (CEO) & President, SECUDE Global Consulting & Dr. Frank Off, Chief Consulting Officer (CCO), SECUDE Global Consulting zu den Zielen und dem Hauptanliegen des aufstrebenden Beratungshauses für Governance, Risk-&-Compliance-Lösungen.

SECUDE Global Consulting (SGC) ist auf dem Weg, mittelfristig zu einem der führenden globalen Beratungshäuser für Enterprise Risk Management (ERM) aufzusteigen. Geboten werden umfassende Beratungsleistungen im gesamten Umfeld der allgemeinen IT-Sicherheit, des Risikomanagements, der strategischen Compliance und interner Kontrollsysteme, der Prozessoptimierung und des Crisis Managements. Zunächst soll dieses Wachstumsziel mit einer starken Fokussierung auf SAP-Kunden mit den derzeitigen Herausforderungen zur Erreichung eines auf Risikomanagement gerichteten Beratungsansatzes erreicht werden. Effektive Berechtigungskonzepte, die Einführung von funktionierenden internen Kontrollsystemen, sicheren IT-Architekturen wie SAP Netweaver und weiterer so genannter Compliance Lösungen sind Beispiele für diesen Ansatz. Ein zentraler Bestandteil des Beratungsportfolios bildet dabei die derzeit hohe Nachfrage nach Einführungsberatung für Governance, Risk-&-Compliance-Lösungen. SGC ist bereits Special Expertise Partner der SAP und anderer Lösungspartner. In einem zweiten Schritt werden die Beratungsleistungen auch auf Nicht-SAP-Kunden ausgedehnt. E3 hat bei den beiden Geschäftsführern und Mitgründern Mario Linkies (CEO) und Dr. Frank Off (CCO) nachgefragt, wie diese doch sehr ambitionierten Ziele erreicht werden sollen.

E3: Mit welcher Intention haben Sie SECUDE Global Consulting gegründet?

Mario Linkies: Herr Dr. Off und ich unterstützen als langjährige Unternehmensberater im Risiko- und Sicherheitsumfeld Mandanten, die täglich auf Grund ihrer globalen Ausrichtung komplexe Systemlandschaften und eine Vielzahl von innerbetrieblichen und regulativen Anforderungen in ihren geschäftlichen Entscheidungen beachten müssen. Wir waren als europäische bzw. globale Direktoren der ERM-Beratung bei SAP Consulting verantwortlich für den Aufbau einer methodisch gestützten, fachlich kompetenten Beratungsorganisation in Europa und weltweit im internationalen Firmenverbund der SAP. Diese Erfahrungen führten uns zu der Entscheidung, eine eigene Beratungsfirma mit dem globalen Fokus auf alle ERM-Themen zu gründen. Als kompetenter Beratungspartner der Mandanten und Partner beantworten wir mit einem umfassenden Ansatz Fragen zur Etablierung eines effektiven und durchgängigen unternehmensweiten Risikomanagements, des Aufbaus von Compliancelösungen und strategische Notwendigkeiten. Es versteht sich von selbst, dass wir neben Kennern der einzelnen Industrien und Branchen auch hervorragende Spezialisten und technische Experten für diese ansprungsvollen Beratungsaufgaben benötigen.

Der Name SECUDE Global Consulting verpflichtet. Wir bieten ein globales Beratungsportfolio im ERM-Umfeld mit einem globalen und fokussierten Team von Spezialisten. Wir bieten unsere Unterstützung und Lösungen global an – momentan sind wir in allen deutschsprachigen Ländern zu Hause, in Spanien, Ungarn, Polen und generell Zentraleuropa. Weitere Niederlassungen befinden sich berreits in den USA und Kanada, sowie in China und anderen asiatischen Ländern. Wir möchten unseren SAP-Kunden tatsächlich einen fachlichen und strategischen Mehrwert bieten, und dieses geht nur mit integrierten Lösungen, einem internationalen Expertenteam, und dem Verständnis für die Ansprüche unserer Mandanten und den Herausforderungen der einzelnen Branchen.

Dr. Frank Off: Ein wichtiger Faktor für die hohe Nachfrage für ERM-Themen stellen die immer vielfältiger werdenden rechtlichen und legalen Anforderungen dar, die für viele Unternehmen zunehmend undurchschaubarer werden und einen hohen Beratungsbedarf zur Etablierung einer optimalen Lösung erfordern. Auch klassische SAP-Themen wie die Implementierung eines einfachen, effektiven und transparenten SAP-Berechtigungssystems erfordern nach wie vor sehr viel Expertise, viele Unternehmen haben auch heute noch nicht diese Aufgabe zufriedenstellend gelöst. SAP hat hierzu mit SAP GRC Access Control eine Lösung auf den Markt gebracht, mit dessen Hilfe diese Probleme, wie z. B. Nichtbeachtung von Funktionstrennungen in der Berechtigungsvergabe oder der Zugriff auf unternehmenskritische Informationen, besser gelöst werden. Mit der Gründung von SECUDE Global Consulting verfolgen wir daher das Ziel, ein führender Anbieter für die gesamten ERM-Bereiche zu werden und die besten Lösungen im Bereich Governance, Risk & Compliance (GRC) zu unterstützen sowie integrativ in die Architektur- und Prozessdomänen unserer Mandanten zu implementieren.

Unsere eigenen Marktanalysen zeigen, dass ein wirklich globales und spezialisiertes Beratungshaus in diesem Umfeld noch nicht existiert. Wir möchten daher die Lücke zwischen sehr großen und weltweit präsenten Beratungshäusern mit einem breiten, aber wenig fokussierten Beratungsportfolio und den kleinen, lokalen, hochspezialisierten Nischenanbietern in den nächsten ein bis zwei Jahren schließen und echte Alternativen im Beratungsgeschäft bieten.

E3: Haben Sie den Entschluss, die SGC zu gründen, allein gefasst?

Mario Linkies: Nein. Diese Entscheidungen wachsen und bilden sind heraus. SECUDE Global Consulting ist ein unabhängiges Schwesterunternehmen der SECUDE International. Wir gehören zur iT_SEC_Swiss, die von Herrn Dr. Heiner Kromer vor rund vier Jahren gegründet worden ist und Mehrheitseigner von SECUDE International als auch von SGC ist. Die iT_SEC_Swiss hat sich zum Ziel gesetzt, ein ganzheitliches Portfolio für ERM und IT-Sicherheitslösungen speziell im SAP-Kontext, aber auch darüber hinaus, anzubieten. Dies umfasst auf der einen Seite neutrale und unabhängige Beratung, aber auf der anderen Seite auch passende Sicherheitsprodukte und -lösungen für SAP-Anwendungen, wie beispielsweise SECUDE Single Sign On, Secure Network Communications oder die Lösung TrustManager, die von SECUDE International angeboten wird.

Dr. Frank Off: Herr Dr. Kromer und andere Visionäre haben die Notwendigkeiten und den Bedarf an hochwertigen Qualitätsberatungen erkannt. Die Skandale der letzten Wochen und Monate im Finanzsektor und anderen Bereichen der Wirtschaft sind nur die Spitze des Eisbergs. Kriminelle Tendenzen in allen Marktsegmenten und die Antworten der Gesetzgeber und Regulierungsstellen ergeben eine stete Nachfrage nach kompetenten Beratungsleistungen. Dieser Bedarf wird mittelfristig nicht gedeckt werden können. Investitionen in den Bereichen Risikomanagement und Sicherheit werden immer mehr zu Erfolgsfaktoren für die meisten Unternehmen. Deshalb haben wir damit begonnen, diesem Bedarf in wichtigen Märkten gerecht zu werden.

E3: Wie möchten Sie gegen große etablierte Unternehmen wie PWC, Deloitte, Accenture und andere auf dem Markt bestehen? Laufen Sie nicht Gefahr, eines Tages von diesen einfach geschluckt zu werden?

Dr. Frank Off: Wir sind der Überzeugung, dass der Markt für ERM-Beratungsleistungen weltweit ein sehr großes Potential hat und daher für jeden Anbieter entsprechend Platz zum weiteren Wachstum vorhanden ist. Dies zeigen auch verschiedene Studien der international anerkannten Analysten, wie z. B. Gartner und Burton Group, die den Gesamtmarkt auf mehrere Milliarden Dollar, einschließlich Produktlizenzen, schätzen. Wir sehen keine Gefahr einer möglichen Übernahme oder eines intensiven Verdrängungswettbewerbs.

Mario Linkies: Wie bereits erwähnt, bieten die großen Beratungs- und Wirtschaftsprüfungsunternehmen neben den ERM-Beratungsleistungen noch ein Vielfaches an weiteren Dienstleistungen. SECUDE Global Consulting setzt eindeutig auf Partnerschaft in einem sich wandelnden Markt. Die mittleren und großen Krisen unserer Zeit, der Einfluss von Wirtschaft und die Ausdehnung des Homo Sapiens auf fast alle geographischen Bereiche der Erde und damit die Natur, die sozialen Probleme der Jugend, Kultur und Bildung, diese und viele andere Faktoren führen zu einem immer stärker wachsenden Bedürfnis nach Sicherheit und der Reduzierung bedrohlicher Umstände. Deshalb wird in den kommenden Jahren der Fokus auf eine solide Beherrschung von Risiken in allen Lebensbereichen zum essentiellen Bestandteil der Kultur, auch in den Unternehmen. Darum gibt es ein globales Bedürfnis nach wirtschaftlicher Sicherheit. Markt-, Finanz- und Investitionsrisiken werden genauso integraler Bestandteil von Lösungen für Enterprise Risk Management wie technische IT-Risiken, Geschäftsprozessrisiken oder legale Compliance-Risiken. Auch Umwelt- und gesellschaftliche Risiken müssen in die Betrachtung einer verantwortungsvollen und auf Erfolg orientierten Unternehmenspolitik eingebunden werden. In all diesen Bereichen und vor allem bei integrativen, holistischen Lösungen stehen wir noch am Anfang, und die Unternehmen beginnen langsam, sich diesen Themen umfassend zu nähern.

E3: Wie sehen Ihre Wachstumsziele für die nächsten drei Jahre aus?

Mario Linkies: Wir haben im ersten Jahr ein Beratungsteam mit weltweit 60 hochspezialisierten Beratern aufgebaut. Im ersten Jahr konnten wir 50 Kunden gewinnen, darunter viele namhafte Unternehmen aus unterschiedlichen Branchen und einige Referenzkunden, wie den Mitteldeutschen Rundfunk in Deutschland oder Johnson & Johnson in den Vereinigten Staaten von Amerika. Für SECUDE Global Consulting bedeutet Wachstum der kontrollierte Umgang mit Ressourcen und Fachkräften. Wissen und Qualität der Leistungen ist einer der wesentlichen Erfolgsfaktoren. Daher investieren wir auch in junge Absolventen, die ein umfangeiches Ausbildungsprogramm durchlaufen, ehe sie einen Beratungsauftrag übernehmen können. Neben der Wirtschaftlichkeit ist das wichtigste Ziel, überdurchschnittliche Erfolge in allen Beratungsprojekten zu generieren. Das bedeutet Verständnis für die Anforderungen unserer Mandanten, exzellente und innovative Lösungen, und eine dynamische Beantwortung von Fragen in einer schnell wechselnden Geschäftsumgebung. Daher sind 300 und mehr Berater in drei Jahren für uns durchaus realistische Wachstumsziele.

Dr. Frank Off: Was die geographische Expansion angeht, so werden wir neben wichtigen Märkten wie China und Indien auch noch in diesem Jahr in Südamerika in drei Ländern vertreten sein. Die Beratung für Osteuropa wird vor allem von Österreich aus initiiert. Da wir ein Schweizer Unternehmen sind, führen wir von hier aus auch intensive Entwicklungen für den italienischen, französischen und liechtensteinischen Markt durch.

In den großen Regionen entstehen zudem Ausbildungszentren, die wir sowohl für internes, als auch für externes Training nutzen werden. Das internationale Schulungsteam hat seine Arbeit bereits begonnen.

E3: Was sind aus Ihrer Sicht die derzeitigen Hauptanliegen der SAP-Kunden im Bereich Risikomanagement?

Dr. Frank Off: Auf Grund der komplexer werdenden SAP-Anwendungslandschaft, die teilweise auf verschiedenen technischen Plattformen wie Java oder ABAP implementiert sind, existiert bei vielen Kunden eine gewisse Unsicherheit, wie sie zum Beispiel eine technische Sicherheitsinfrastruktur etablieren, die ihre SAP-Systeme vor externen als auch internen Angriffen schützt. SAP und andere Anbieter bieten nun verstärkt neue Lösungen in den unterschiedlichsten Bereichen für Enterprise Risk Management an. Identity & Access Management Systeme wie SAP NW IDM 7.0 oder Siemens DirX, Berechtigungssysteme wie SAP GRC Access Control oder Risikomanagementsysteme wie SAP GRC Risk Management sind Lösungen, die Teilbereiche des ERM abdecken. Die Komplexität liegt aber meist weniger in der eingesetzten Technologie als vielmehr im Bereich der organisatorischen Verankerung innerhalb des jeweiligen Unternehmens. Oftmals sind Änderungswiderstände gegenüber den neuen Prozessabläufen, z. B. dem Informationseignerprinzip, vorhanden, die nur durch eine intensive Schulung und informative Aufklärung der Beteiligten überwunden werden können.

Mario Linkies: Unternehmen konzentrieren sich noch zu häufig auf Einzelthemen und verlieren daher schnell den Blick auf gesamtheitliche Lösungen, die im ersten Ansatz teurer und aufwändiger erscheinen, mittelfristig aber besser und kostengünstiger den Erfolg garantieren. Externe Prüfungen decken einige der Schwachstellen auf, ohne wirklich passende Lösungsansätze zu bieten. Oft entsteht reaktives Verhalten und führt zu erhöhten Lösungsaufwänden, ohne zu den tatsächlichen Ursachen zu dringen. Berechtigungsmanagement ohne integrierte und automatisierte Risikobetrachtung oder einseitiges organisatorisches Augenmerk genügt den Anforderungen nicht. Wichtig sind Einfachheit und Transparenz, ohne Flexibiltät und notwendige Komplexität zu verlieren. Unternehmen sind sich oft der eigenen Risiken bewusst. Ganzheitliche Risiko- und Kontrollstrategien fehlen aber. Kompensierende Kontrollen und ausreichende Sicherheitsmaßnahmen sind mangelhaft. Unsere Beratung kann hier helfen, kurzfristige Probleme zu identifizieren, Lösungen zu etablieren und in eine Gesamtstrategie zu integrieren.

Dr. Frank Off: Weltweit agierende Konzerne sind derzeit schon dabei, Risikomanagementsysteme zu etablieren. Dabei ist es notwendig, frühzeitig kriminelle und korrupte Verbindungen in der Organisation und darüber hinaus zu erkennen, ehe diese zu schwerwiegenden Risikokonglomeraten, oder auch Pilzkulturen genannt, heranwachsen können. In vielen Fällen agieren Mitarbeiter mit betrügerischen Absichten nicht allein, sondern schließen sich zusammen. Dieses im Ansatz zu erkennen, ist nicht trivial, sondern benötigt eine Zusammenführung von forensischen Methoden mit dem etablierten Risikomanagementsystem.

E3: Was ist aus SAP-Bestandskundensicht der Unterschied zwischen dem SAP GRC-Modul (Governance, Risk & Compliance) und dem Enterprise Risk Management (ERM) von SECUDE Global Consulting?

Mario Linkies: ERM hat für SGC die Bedeutung einer ganzheitlichen Methodik und liefert mit den einzelnen Bausteinen, die wir in der E3-Ausgabe im Januar 2008 vorgestellt hatten, ein Rahmenwerk zum Aufbau eines ganzheitlichen Risikomanagements für das Unternehmen. Beim ERM steht der Schutz aller materiellen und imateriellen Unternehmenswerte im Vordergrund. Dabei müssen sowohl technische als auch prozessuale und organisatorische Lösungen Beachtung finden. SAP GRC sind Softwarelösungen zur Unterstützung beim Aufbau eines gut funktionierenden und nachhaltigen ERM-Systems. Auch die Nichteinhaltung gesetzlicher Vorschriften und branchenspezifischer Vorgaben (Non-Compliance) ist ein Risiko für jedes Unternehmen. Letztlich drohen nicht nur finanzieller Schaden, sondern auch rechtliche Konsequenzen. Daher müssen Tools und Softwarelösungen eingebunden werden in ein Netz von organisatorischen Maßnahmen, Sicherheitsprozessen, Mitarbeiter, der Bestimmung von Verantwortlichkeiten und der kontinuierlichen Kontrolle und Verbesserung des internen Risiko- und Kontrollmanagements.

Dr. Frank Off: Nehmen wir zum Beispiel die chemische Industrie, die extrem verantwortungsbewusst und aufmerksam mit den gesetzlichen Auflagen umgehen muss. Jeglicher Verstoß – beispielsweise gegen den neuen Erlass REACH – kann hier sofort zum Produktionsstopp einer Produktlinie führen. Für das jeweilige Unternehmen stellt das natürlich ein enormes finanzielles Risiko dar. Auch Unternehmen, die in punkto Corporate Governance Defizite aufweisen, werden auf dem Markt selten langfristig erfolgreich agieren können. Ausführende und kontrollierende Organisationseinheiten müssen unabhängig voneinander sein, da sonst eine richtige Kontrolle der Prozessabläufe nicht stattfindet. Mitarbeiter brauchen klare, ethisch basierte Handlungsanweisungen, die ihnen zur Grundlage bei ihrer täglichen Entscheidungsfindung dienen. Hierzu müssen geeignete Richtlinien im Unternehmen etabliert sein, die als kulturelle Leitlinie dient. SAP GRC Process Control ist in diesem Umfeld ein effektives unterstützendes Werkzeug, mit dessen Hilfe sich Verstöße gegen die Regelwerke und Kontrollen auf eine automatisierte Weise managen lassen. SGC fokussiert sich auf dezidiertes branchenspezifisches Wissen, um gezielt jedem einzelnen Kunden maßgeschneiderte Lösungen liefern zu können.

E3: Wer soll sich in einem Unternehmen mit den Themen Enterprise Risk Management und GRC beschäftigen? Wer soll dafür verantwortlich sein?

Dr. Frank Off: Die Aufteilung der verschiedenen Themen in den Unternehmen ist auch dezentral gelöst. Unterschiedliche Abteilungen und Projekte beschäftigen sich mit Themen wie technischer Sicherheit, Einhaltung von gesetzlichen Vorgaben (Compliance), Risikomanagement für das Finanzwesen oder das Berechtigungsmanagement, allerdings oftmals unabhängig und losgelöst voneinander. Diese Aufgaben sollten in einem strategischen ERM-Projekt gebündelt oder zumindest zentral koordiniert werden. Eine Stabstelle des Chief Financial Officers (CFO) oder des Chief Security Officers (CSO) sollte hierfür verantwortlich sein. Die Einbindung aller Fachbereichsverantwortlichen ist wesentlich für den durchgängigen Erfolg des Gesamtprojekts. Diese tragen auch die Verantwortung zur Einhaltung der einzelnen Kontrollziele. Das ERM-Team muss die Effizienz der eingeführten Kontrollen und Sicherheitsmaßnahmen überwachen.

E3: Wie werden organisatorische versus technologische Abwehrmaßnahmen eingesetzt und bewertet?

Mario Linkies: Bei vielen unserer Mandanten erkennen wir eine starke Tendenz zur Adressierung der Risiken mit vorwiegend technischen Kontrollmaßnahmen. Dieser Ansatz reicht natürlich nicht aus. Technische Lösungen müssen immer mit organisatorischen Maßnahmen flankiert werden. Dazu gehört auch die Verbesserung des allgemeinen Sicherheitsbewusstseins im Unternehmen. Vor allem durch so genanntes Social Engineering können Angreifer schneller in den Besitz von vertraulichen Informationen gelangen als durch komplexe technische Angriffe über das Internet. Bei Social Engineering wird beispielsweise versucht, über gezielte Telefonate mit Mitarbeitern eines Unternehmens an vertrauliche Informationen zu gelangen. Daher bieten wir gesamtheitliche Lösungen zur langfristigen Zufriedenheit unserer Kunden.

E3: Vielen Dank.

Sicherheit und Berechtigungen in SAP-Systemen

Autoren: Mario Linkies, Frank Off; ISBN 978-3-89842-670-1; SAP PRESS

Inhalt: Dieses Buch erläutert technischen Beratern, IT-Managern und Berechtigungsadministratoren alle Aspekte der IT-Sicherheit im Umfeld von SAP NetWeaver. Der erste Teil des Buches bietet Ihnen einen Einstieg in die Gesamtthematik: der Bewertung von Risiken, der Erstellung von Kontrolloptionen, dem Design von Sicherheitsmaßnahmen und der geeigneten Vorgehensweise zum Aufsetzen der unterstützenden Verfahren und Prozesse. Sie erhalten einen Überblick über rechtliche Vorgaben (z. B. Sarbanes-Oxley Act und Basel II), lernen die Best Practices einer SAP-Sicherheitsstrategie kennen und werden mit internationalen Sicherheitsstandards vertraut gemacht. Der zweite Teil widmet sich der technischen Umsetzung dieser Sicherheitsmaßnahmen: Vom Berechtigungskonzept über infrastrukturelle Maßnahmen im Portalumfeld, Collaboration-Szenarien mit SAP XI bis hin zur Prozessplanung – es werden sowohl die Gefahrenpotenziale anhand von Beispielen als auch die spezifischen Konzepte für Applikations- und Systemsicherheit für die einzelnen SAP-Komponenten und -Lösungen dargestellt.

Aus dem Inhalt:

• Best Practices und Komponenten von SAP-Sicherheitsstrategien • Grundlagen technischer Sicherheit • Risiko- und Kontrollmanagement • Legale und innerbetriebliche Anforderungen • Länderspezifische Sicherheitsstandards • Anwendungssicherheit für SAP NetWeaver und SAP-Lösungen • Technische Umsetzung der Anforderungen • Grafische Darstellung von Technologieschichten mit dem Global Security Positioning System.

Dieses Buch erläutert technischen Beratern, IT-Managern und Berechtigungsadministratoren alle Aspekte der IT-Sicherheit im Umfeld von SAP NetWeaver. Mit Poster: Dieses Buch enthält zusätzlich ein Poster zum Global Security Positioning System, das Ihnen als Navigationshilfe dient – sowohl im Buch als auch bei der täglichen Arbeit.

Quelle: www.sap-press.de

Corporate Governance als Bestandteil einer erfolgreichen ERM-Strategie – Erkennen und Verhindern von Pilzbefall im Unternehmen

Corporate Governance

Die Strategie für Enterprise Risk Management (ERM) bildet mit der Komponente Corporate Governance und unternehmensspezifischen Richtlinien und Handlungsanweisungen (Policies & Procedures) ein solides Fundament für ein durchgängiges und transparentes Kontroll- und Sicherheitssystem im Unternehmen. Dabei ist der präventive Teil ein wesentliches Merkmal zur Risikominimierung und dem Aufbau einer organisationsweiten Sicherheitskultur.

Enterprise Risk Management hat in den vergangenen Jahren auf Grund der zunehmenden legalen und regulativen Anforderungen stetig und bestimmt an Wichtigkeit zugenommen und ist aus dem Geschäftsalltag nicht mehr wegzudenken. In diesem Zusammenhang fällt fast immer der Begriff der Corporate Governance. Was verbirgt sich hinter diesem Begriff? Corporate Governance ist eine Grundlage für erfolgreiches Unternehmertum. Sie unterstützt eine verantwortungsvolle Unternehmensführung, die es dem Unternehmen erlaubt, gesund und kontrolliert zu wachsen. Ziel hierbei ist die Etablierung einer maßvollen und für jederman nachvollziehbaren Handlungsgrundlage für Aktivitäten und Entscheidungen. Der Umgang mit materiellen und immateriellen Werten in den Unternehmensprozessen muss jederzeit auf negative Folgen geprüft und durch jeden Mitarbeiter sorgsam bedacht werden, damit Risiken erkannt und Verluste für die Organisation und Gemeinschaft vermieden werden können. Im besten Fall etabliert sich damit eine sicherheitsorientierte Kultur, bei der Verantwortung und Sicherheitsbewusstsein bei allen Mitarbeitern existiert und gelebt wird.

Erreicht werden diese Ziele nicht nur durch gute Kontrollen und Sicherheitsmaßnahmen, sondern auch durch eine transparente Informationspolitik und eine offene, vor allem interne, Kommunikation. Der Schutz der Unternehmenswerte sowie die Einhaltung der gesetzlichen und innerbetrieblichen Vorgaben wird auf diese Weise inhärenter Bestandteil der Arbeitsprozesse und somit der gesamtheitlichen Unternehmenspolitk.

Es liegt in der Natur der Sache, dass die Komplexität der Unternehmensprozesse mit der Größe des Unternehmens zunimmt. Oft wird diese Komplexität durch schnelles Wachstum zusätzlich verstärkt. Das Ergebnis sind Kontrollverluste und die Möglichkeit von exorbitanten Schäden. Beispiele der letzten Tage und Wochen aus der Banken- und Finanzbranche sind hinreichend bekannt. Übersicht und Transparenz, die Durchsetzung von regulierenden Maßnahmen und die Einhaltung einer effizienten Sicherheitsstruktur zur Unterstützung der Geschäftsaktivitäten ist damit eingeschränkt, und Geschäftsentscheidungen werden auf Grund unzureichender oder nicht akurater Informationen getroffen und führen zu Fehlentscheidungen oder verdecken den Blick auf mögliche Betrugsbiotope und darin entstehende kriminelle Pilzkulturen.

Corporate Governance und Unternehmenskultur

Corporate Governance ist ein Maßnahmenkatalog zur Durchsetzung unternehmenseigener Kontrollen und Richtlinien zur Etablierung von geschäftlichen, ethischen, moralischen und legalen Grundsätzen und Anweisungen innerhalb der Organisation. Dabei geht es um das Initiieren von Schutzmaßnahmen für Unternehmens- und anderer Werte, und um die praktische Umsetzung dieser Handlungsanweisungen im täglichen Geschäft. Auch die Überwachung der Einhaltung dieser Grundsätze und Maßnahmen ist ein wichtiger Bestandteil einer effizienten Corporate Governance. Das Unternehmen muss sich dabei in die Lage versetzen, Aufsicht in allen Bereichen der Organisation zu etablieren. Dabei wird jedem einzelnen Mitarbeiter eine gesonderte und seinem Bereich entsprechende Aufsichtspflicht zuteil. Die offiziellen internen und externen Aufsichtsgremien dagegen legen die Kontrollprozesse fest, überwachen die Einhaltung der Vorgaben und verbessern durch permanente Präsenz die Sicherheit im Unternehmen. Dabei ist es entscheidend, dass Aufsichtsgremien einen echten unabhängigen Status genießen. Ansonsten werden Regelverstöße und Risiken missachtet und nicht entsprechend korrigiert.

Status Quo

Speziell die letzten bekannt gewordenen Fälle der Subprime Finanzkrise oder die Betrugs- und Korruptionsskandale in namhaften internationalen Großunternehmen zeigen deutlich die Notwendigkeit einer durchgängigen und umfassenden Corporate Governance in allen Bereichen der Wirtschaft und des öffentlichen Lebens. Veruntreuung, Betrug, Diebstahl, Korruption, Spionage und andere Spielarten der Wirtschaftskriminalität haben in der jüngsten Geschichte einen Sog an Werte- und damit auch moralischen Verlusten initiiert. Dabei sind Gegenmaßnahmen, verständliche Mittel zur Kontrolle und Abwehr verfügbar und können mit teilweise moderatem Aufwand (im Gegensatz zu den aufgetretenen Schäden) in den Unternehmen implementiert werden.

Anforderungen

Anforderungen, die Maßnahmen zur Corporate Governance definieren, sind zum Beispiel

  • Schutz von Unternehmenswerten wie Immobilien, Menschen, Informationen, IT-Infrastruktur, Marktwert, Branding, Reputation. Produkte und spezielles Wissen
  • Schutz von täglichen Prozessabläufen, geschäftlichen Entscheidungen, transaktionalen Verantwortlichkeiten und begleitender kontrollierender Maßnahmen
  • Beachtung von innerbetrieblichen Erfordernissen und externer branchenspezifischer Vorgaben und legaler Anweisungen im Rahmen der innerbetrieblichen Geschäftstätigkeit und externer Kommunikation
  • Etablierung einer unabhängigen ausführenden Überwachungseinheit (Corporate Legislative Supervisory) mit zureichenden Befugnissen
  • Etablierung einer unternehmens- und organisationsweiten Sicherheits- und Governance-Kultur zur Erkennung von Schwachstellen und Risiken, Vermeidung und Verhinderung von Angriffen und Fehlern und die ständige Selbstkontrolle Einzelner
  • Security Intelligence zur schnellen Identifikation von Angriffen und möglichen korrupten Verbindungen (so genannten kriminellen Pilzkulturen) und die kontinuierliche Verbesserung des internen Risiko-Kontroll-Systems

Gesetzliche Anforderungen bilden einen Teil der notwendigen Richtlinien und Handlungsanweisungen. Dazu sind nationale Gesetze zum Datenschutz und zur Einhaltung des Risikomanagements ebenso wichtig wie industriespezifische Vorgaben zur Herstellung von Medikamenten oder zur Produktion von Automobilen. Diese Anforderungen bilden die gesetzliche Grundlage zur Einhaltung von Minimalanforderungen in den jeweiligen Branchen.
Neben GoBS (Gesetz ordnungsgemäßer datenverarbeitungsgestützter Buchführungssysteme) und KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) gibt es viele wichtige gesetzliche Vorgaben, u. a.

  • 8. EU-Richtlinie zum Aufbau eines internen Kontrollsystems nach Vorbild des US-amerikanischen Sarbanes-Oxley Act (SOX),
  • REACH zur Registrierung, Evaluierung, Zulassung und Restriktion von Chemikalien in Europa,
  • MaRisk der Bundesaufsichtsbehörde für die Finanzindustrie (BaFin) zur Vorgabe der Mindestanforderungen zur Etablierung eines Risikomanagements für Finanzinstitute und Versicherungen,
  • Basel II und III für die Gesamtheit aller Eigenkapitalvorschriften inklusive Bewertung von Kreditausfallrisiken, Marktpreisrisiken, Kreditrating, und neuerdings auch operationeller Risiken,
  • Solvency II für die Aufsichtsrichtlinien in der Versicherungsbranche (geplant für 2008).

Weiterhin sind die Unternehmen aufgefordert, eigene betriebsspezifische Risiken zu identifizieren und daraus die notwendigen Maßnahmen in Richtlinien und Handlungsanweisungen zu übersetzen. Diese können durch separate Kontroll-, Sicherheits- und Monitoringprozesse unterstützt oder in die Geschäftsabläufe integriert werden.

Ausgangspunkt für eine erfolgversprechende Bildung geeigneter Corporate-Governance-Strukturen muss immer die Betrachtung von Unternehmenswerten sein. Dabei kommt es jedoch auch auf äußere Wirkungsbereiche (zum Beispiel im verbundenen Partnernetzwerk oder kommunalen Bereich) an. Kernkraftwerksbetreiber tragen beispielsweise eine höhere Verantwortung gegenüber dem kommunalen Umfeld als ein Getränkehersteller. Das verbesserte Werteverständnis führt zu einem erhöhten Bewusstsein innerhalb der Organisation durch die Beteiligten und einer erhöhten Akzeptanz von Maßnahmen und Kontrollen zum Corporate Governance.

Policies & Procedures

Wichtige Leitlinien und Anweisungen, die im Unternehmen definiert und implementiert werden müssen, sind

  • Datenschutzrichtlinie
  • Einkaufsrichtlinien
  • Markenmanagement
  • Vertragsmanagement
  • Controlling-Anweisungen
  • Vorschriften zur Verwendung von
  • Informationstechnologie
  • Datenklassifikation und Stammdatenmanagement
  • Benutzer- und Berechtigungsverwaltung
  • Vorschriften zum Umgang mit
  • vertraulichen Informationen
  • Reiserichtlinien
  • Kundenmanagement
  • Ethic Codex für Finanzangelegenheiten
  • Firmenkulturrichtlinien

Diese Einzelanweisungen müssen in ihrer Komplexität erfasst und in einem geordneten, transparenten Managementkontrollsystem umgesetzt werden. Dazu gehören auch Bereiche wie interne und externe Kommunikation, Schulung und Ausbildung von Mitarbeitern, Vorbildfunktion der Managementebenen, Einbindung aller Mitarbeiter in die Verantwortungsteilung und Darstellung der Nutzenspotenziale für jeden Einzelnen.

Kontrolle der Kontrollen

Corporate Governance kann nur effektiv bestehen, wenn die aufgestellten Regeln und Anweisungen nachvollziehbar und zielführend sind. Die Balance zwischen Kontrollanforderung und aufgesetzten Maßnahmen ist eine wichtige Kenngröße zur Messung des Erfolgs. Dabei gibt es Kontrollen und Sicherheitsmaßnahmen, die permanent auf ihre Wirkung und Effizienz geprüft werden müssen. Andere Maßnahmen sind dagegen periodisch und stichprobenartig zu überwachen.

Ein gutes internes Kontrollsystem erkennt dabei frühzeitig grobe Verstöße und kriminelle Verbindungen (Pilzgeflechte), um rechtzeitig Gegenhandlungen einzuleiten. Dabei ist die Verbindung von gesamtheitlicher Risikoanalyse, technischen und prozessualen Lösungen, operativem Sicherheitsmanagement und forensischer Analyse der Schlüssel zum Erfolg. Die Verbindung von automatisierten und manuellen Kontrollen hilft dabei, eine Datenbasis zu schaffen, um wirkungsvoll und optimiert präventiv und im Ansatz Verstöße gegen die Corporate Governance zu erkennen und zu bekämpfen.

Autor: Sascha-Alexander Beyer, Senior Manager SECUDE Global Consulting

IAM als zentraler Bestandteil einer umfassenden ERM-Strategie

Identity & Access Management (IAM)

Identity & Access Management (IAM) befasst sich mit der Identifizierung, Anlage, Verwaltung und Terminierung von Identitäten mit Zugang zu Informationssystemen, Gebäuden und Daten.

Identitäten sind zum Beispiel unternehmenseigene Mitarbeiter, Systembenutzer, Geschäftspartner und technische Objekte wie Netzwerkdrucker und technische Benutzer (Batch User für Hintergrundjobverarbeitung). Dabei werden alle Phasen des IAM-Lifecycles in einem ganzheitlichen System bearbeitet. Phasen sind dabei u. a.

  • Registrierung von Identitäten (Anfrage, Prüfung, Anlage)
  • Authentisierung (Zugangskontrolle)
  • Autorisierung (Berechtigungskontrolle, Provisionierung)
  • Administration, Audit
  • Terminierung
  • Archivierung

Ziele

Ziele eines umfassenden IAM sind:

  • Verwaltung aller personenbezogenen Daten einer Identität – so wird ein unternehmensweites, zentrales Verzeichnis ermöglicht
  • Zuordnung von Identitäten zu Organisations- und Werteeinheiten – Benutzer arbeiten mit bestimmten Rechten in Fachbereichen und sind so in der Lage, Arbeitsschritte in ihrem Verantwortungsbereich zu verrichten
  • Sicherung der Unternehmenswerte durch Risikomanagement in Bezug auf Identitäten und deren Berechtigungen auf Informationen und andere Unternehmenswerte
  • Automatisierte Kontrollen und administrative Prozesse für das IAM – dadurch werden Aktivitäten im IAM transparent, nachvollziehbar, effektiver, sicherer und einfacher
  • Komplettes Lifecycle Management für Identities – von der Erstanlage bis zur Auflösung/Archivierung

Herausforderungen

In den meisten Unternehmen und öffentlichen Organisationen sind die Ansätze für IAM stark diversifiziert und werden durch mehrere IT-Bereiche betreut. Das ist historisch entstanden, weil die notwendigen betriebswirtschaftlichen Abläufe und die verbundenen Anwendungen über Jahre Schritt für Schritt implementiert wurden. Zu host-basierten Systemen gesellten sich Windows- basierte Bürokommunikationsumgebungen und die Einführung von komplexen ERP-Systemen. Der Zusatz von web-basierten eCommerce und Internetanwendungen führte ebenfalls dazu, dass für jede einzelne Applikation eigene Benutzer- und Berechtigungslösungen entwickelt wurden. Klassischerweise wurde der Aufbau des Anwendungsportfolios durch verschiedene IT-Abteilungen durchgeführt, so dass die Verantwortung für die Benutzeradministration dezentralisiert und unüberschaubar wurde. Dieser Lösungsansatz führt zu inkongruenten Strukturen. Hohe Anlage-, Prüfungs- und Verwaltungsaufwände rechtfertigen sich nicht mehr durch die gewonnene Funktionalität. Da auch die Berechtigungsvergabe unterschiedlichen Anforderungen genügen muss (Beipiel Kombination von Rollen- und strukturellen Berechtigungen für eine HR-Anwendung), arbeiten alle Unternehmen mit mehr oder weniger komplexen Systemlandschaften und Berechtigungskonzepten. Diese Konzepte passen zum großen Teil nicht mehr in die diversifizierten Systemarchitekturen mit unterschiedlichsten Applikationen, der Anbindung von externen Partnern, der Integration von Zulieferern und des damit gestiegenen Allgemeinrisikos und sich wandelnder verschärfter gesetzlicher Anforderungen. Oftmals existiert kein geordnetes Berechtigungs- und Provisionierungsmanagement. Änderungen werden auf Zuruf und ohne fundierte Prüfungen auf Plausibilität und Risiko durchgeführt. Die entstandenen Insellösungen verzögern nicht nur die Abwicklung von administrativen Aufgaben, sondern machen in vielen Fällen auch eine durchgängige Kontrolle unmöglich. Beispiele sind die Anhäufung von Berechtigungen in Benutzerstammsätzen oder die Beibehaltung von Identitäten in den Anwendungssystemen, obgleich die Benutzer schon längst das Unternehmen verlassen haben. Das Management aller Aktivitäten in diesem Bereich ist daher sehr kostenintensiv, ineffizient und erhöht die Gefahr einer ständigen Erweiterung des Risikopotentials. Die Einhaltung gesetzlicher Anforderungen wird zum Balanceakt und ist nur in sehr eingeschränkten Teilbereichen zu erreichen.

Umsetzung

IAM bedeutet zunächst die Etablierung eines eindeutigen elektronischen Ausweises für alle Arten von Anwendern. Eine Identität muss immer eindeutig sein. Mit Hilfe einer Infrastrukturlösung müssen daher folgende grundsätzliche Sicherheitsziele abgebildet werden:

  • Registrierung: Im ersten Schritt eines IAM wird die Identität eindeutig bestimmt und und registriert. Hierzu muss die Infrastruktur eines Identitätsmanagements die geeigneten Überprüfungsmöglichkeiten in Form eines Registrierungsprozesses bieten. Dies ist vergleichbar mit einer Passstelle, die zunächst ebenfalls Geburtsurkunde und andere eindeutige Merkmale einer Person feststellt, bevor ein Pass ausgestellt wird.
  • Authentisierung: Die Authentisierung sichert die rechtmäßige Freigabe einer Identität auf eine bestimmte Anwendung oder einen Service. Bei jedem Zugriff muss die Identifizierung eindeutig erfolgen.
  • Autorisierung: Hat eine Anwendung oder ein Service eine Identität authentisiert, so darf diese nur diejenigen Funktionen aufrufen, für die sie zuvor auch berechtigt oder autorisiert wurde.

Eine IAM-Infrastruktur muss Möglichkeiten bieten, wie diese Berechtigungen einer Identität zugeteilt werden können. Hierbei sind speziell Genehmigungsabläufe notwendig, die die Geschäftsbereiche einbeziehen und die die Einhaltung der gesetzlichen Vorschriften unterstützen. Eines der wichtigsten Autorisierungsmechanismen ist das Berechtigungssystem. Hierbei ist es besonders wichtig, flexible und zugleich nachvollziehbare und transparente Lösungen zu etablieren, die integrativ ins Identity & Access Management als Teil des internen Risiko-Kontroll-Systems eingebunden werden. Berechtigungs- und Rollenkonzepte können durch komplexe und vielschichtige Anforderungen, die sich durch Funktionstrennungen, legale Bestimmungen oder innerbetriebliche Regelungen ergeben, ein Höchstmaß an Verständis erfordern. Dabei ist es wichtig, neben den funktionalen Anforderungen und organisatorischen Gegebenheiten auch die legalen, industriespezifischen und gesetzlichen Vorgaben zu kennen und in das Gesamtkonzept zu integrieren. Flexibilität, Transparenz, Verwendbarkeit der Berechtigungskomponenten, Zuordnungsfähigkeit und Nachvollziehbarkeit sind dabei wichtige Ziele eines effektiven Berechtigungsmanagements. Automatisierte Prüfungen, toolunterstützte Freigabemechanismen, interne Kontrollen, die Einhaltung des Vieraugenprinzips sind Mittel bei der Etablierung von notwendigen Autorisierungslösungen, die zum Beispiel durch die Verwendung von SAP GRC, Approva, Securinfo oder andere Lösungen realisiert werden. Die Kombination von Soft- und Hardwarelösungen, Sicherheitsprozessen, dokumentierten und aktuellen Vorgaben und einer gesicherten Datenbasis für Unternehmensrisiken sind die Grundbausteine für ein gesichertes Autorisierungsmanagement. Daraus ergeben sich wichtige Grundfunktionen für die notwendige Technologie, Organisation und unterstützenden Prozesse für die IAM-Infrastruktur.

Aus Sicht der Technologie ist besonders ein Verzeichnisdienst hervorzuheben, in welchem die (digitalen) Identitäten hinterlegt werden. Dies kann in unterschiedlichen Formaten, am besten aber in Form eines digitalen Zertifikates (auf Basis von X.509) erfolgen. In diesem Fall wäre der Verzeichnisdienst Teil einer Public Key Infrastructure (PKI). Wie bereits erwähnt, muss die IAM-Infrastruktur auch technische Dienste zur Authentisierung und zur Zugriffskontrolle bereitstellen. Um den Anwendern beim Zugriff auf die verschiedenen Ressourcen viel Komfort zu bieten und auch zur Vermeidung von „Passwort Post-Its“ am Bildschirm sollte zudem eine Single-sign-on(SSO)-Funktion realisiert werden, wobei sich ein Benutzer nur einmalig an seinem PC-Arbeitsplatz anmeldet und wiederholte Au-thentisierungen überflüssig werden.

IAM muss auch die organisatorischen Strukturen unterstützen. Die Verantwortung für die Zugriffsrechtevergabe müssen in die Geschäftsbereiche verlagert werden, um Berechtigungen nach dem Informationseignerprinzip zielgerichtet und auf Grundlage von gesicherten Informationen freigeben und verteilen zu können. Dabei müssen die Zuständigkeitsbereiche klar abgegrenzt und definiert werden. Der Zugriff auf sensitive Finanzinformationen sollte z. B. in den Verantwortungsbereich der Finanzabteilung eines Unternehmens fallen. Auch sollte die Identitätsmanagementlösung den Aufbau eines geschäftsorientierten Rollenmodells für die Identitäten unterstützen. Dieses Rollenmodell sollte dazu auch anwendungsübergreifend aufgebaut werden können und sich dabei nur nach funktionalen sowie rechtlichen Anforderungen richten. Die Einbindung des internen Sicherheitsmanagements (z. B. auch interne Revision) ist vor allem als Überwachungsfunktion für die Einhaltung des Risikomanagementansatzes zu sehen. Sehr wichtig ist ebenfalls die Integration der Personalabteilung in den unternehmensweiten Identitätsregistrierungsprozess, denn die Personalabteilung ist der zentrale Ort, an dem alle Änderungen eine Identität betreffend (soweit es sich um unternehmensinterne Anwender handelt), zunächst zusammenlaufen. Diese kennt den Neueintritt, Abteilungswechsel oder Austritt eines Mitarbeiters und sollte daher auch eine führende Rolle im Identitätsmanagement übernehmen.

Für die effektive Prozessgestaltung ist es wichtig, die Beantragung von Änderungen zu Identitäten und Berechtigungen identitäts- und risikogesteuert ablaufen zu lassen. Es muss einen Initiator im Genehmigungsprozess geben, und sämtliche Änderungsaktivitäten müssen logisch und harmonisch in einen Change-Management-Prozess mit integrierten Kontrollfunktionen eingegliedert werden. Auch sollte die Bereitstellung von weiteren Diensten in den Änderungsantrag integrierbar sein. Dazu zählen unter anderem auch die Beantragung der Zustellung eines Firmentelefons ebenso wie die eines Dienstwagens. Aus Sicht der Einhaltung von gesetzlichen Vorschriften sind zudem Funktionalitäten für den notwendigen Audit der Rechtevergabe für die Identitäten von unabdingbarer Bedeutung. Deshalb ist die Integration mit dem Risikomanagement von entscheidender Bedeutung für den erfolgreichen Einsatz von IAM-Lösungen. Daten-, System- oder Prozesseigner, kurzum, Informationseigner, übernehmen die geteilte und kontrollierte Verantwortung für das Risikomanagement und unternehmerische Entscheidungen bis in die letzte Fachabteilung. Das hat den Effekt, dass die Fachbereiche immer besser und verantwortungsvoller mit den von der IT gestellten Lösungen umgehen können, und der IT-Bereich übernimmt auf der anderen Seite immer stärker die Rolle des technologischen Vorreiters, da dort Geschäftsprozesse immer besser verstanden und somit effektiver lösungsfokussiert unterstützt werden können.

Initiativen

Mit der GenericIAM-Initiative (www.GenericIAM.org) haben sich Hersteller von IAM-Lösungen, namhafte Beratungshäuser und Kundenunternehmen, die an IAM-Lösungen interessiert sind, gefunden, um das Gesamtthema IAM theoretisch aufzubereiten und ein Gerüst aus standardisierten Prozessabläufen zu definieren. Immer mehr Wert wird dabei auch auf die Bewertung von Risiken, branchenspezifischen Inhalten und Gewichtung gelegt. Es wird also ersichtlich, in welchen Bereichen die größten Probleme liegen, bzw. welche Systeme am dringendsten an ein IAM angeschlossen werden müssen. Diese Prioritätenordnung hilft, den Umfang von IAM-Projekten zu begrenzen und die Einführung phasenweise zu planen und durchzuführen.

Eine Evaluierung von auf dem Markt befindlichen Lösungen ist kritisch für den Projekterfolg und einen hohen Return on Security Investment (RoSI). Bei der Entscheidung für bestimmte Produkte spielen neben rein praktischen bzw. technischen Erwägungen natürlich auch weitere Faktoren eine Rolle, wie z. B. existierende Lizenzvereinbarungen mit bestimmten Herstellern oder grundsätzliche strategische Entscheidungen für oder gegen bestimmte Produkte oder Hersteller. In jedem Fall ist angeraten, den funktionalen und branchenspezifischen Anforderungen die notwendige Gewichtung bei der Auswahl von IAM-Lösungen zu geben.

Neben allen guten technischen und prozessualen Lösungen und der Integration von administrativen Abläufen in das Sicherheitsmanagement eines Unternehmens ist die Einbindung aller Beteiligten eines der wesentlichen Erfolgskriterien eines jeden IAM-Projekts. Daher ist die frühzeitige transparente Kommunikation und Wertevermittlung mit entsprechender Einbindung von Verantwortlichen auf allen organisatorischen Ebenen eine wichtige Aktivität, die professionell im Rahmen einer Change-Management-Lösung verantwortungsbewusst betrieben werden muss.

Autor: Thomas Felder, Senior Manager IAM, SECUDE Global Consulting

CMS-HomeArchivSuchenE-3 MagazinE-3 AboE-3 MediadatenE-3 CommunityE-3 DateB4Bmedia.net AG